Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Atomovvy

Proszę o sprawdzenie logów FRST i GMER

dodany przez Atomovvy, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

Atomovvy    0

Atomovvy
Napisano

Witam, znajomy podrzucił mi zawirusowanego lapka (wyskakujące reklamy, samo otwierające się strony i duże obciążenie w spoczynku itp...), próba wyczyszczenia go adwcleaner'em i tdsskiller'em dała tylko chwilowy efekt, po tygodniu reklamy ponownie się pojawiły, a wykorzystanie zasobów było tak wysokie, że nawet folderu nie można było otworzyć...

 

 

Addition

FRST

Shortcut

GMER /w trybie awaryjnym, normalnie wywalało BSoD/

 

Pozdrawiam :)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

W systemie działa spora ekipa adware, która jest odpowiedzialna za niepożądane reklamy w przeglądarkach. Głównym problemem jest to, że przeglądarka Google Chrome uruchamia się z zarażonej lokalizacji + dodatkowo sama jest zarażone przez rozszerzenia adware. Nie zabrakło tu też szkodliwej modyfikacji proxy.

 

Dezynfekcja:

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
CreateRestorePoint:
RemoveDirectory: C:\Program Files (x86)\Guntony
RemoveDirectory: C:\Windows\Tasks\GuntonyCheckTask.job
RemoveDirectory: C:\Windows\Tasks\GuntonyBrowserUpdateCore.job
RemoveDirectory: C:\Windows\Tasks\GuntonyBrowserUpdateUA.job
RemoveDirectory: C:\Users\PurpleKush\AppData\Local\Guntony
RemoveDirectory: C:\Users\Public\Documents\Guntony
RemoveDirectory: C:\ProgramData\Guntony
C:\Users\PurpleKush\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Guntony\Guntony\chrome.exe (Google Inc.)
C:\Users\PurpleKush\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Guntony\Guntony\chrome.exe (Google Inc.)
Shortcut: C:\Users\PurpleKush\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Guntony\Guntony\chrome.exe (Google Inc.)
Shortcut: C:\Users\PurpleKush\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Guntony\Guntony\chrome.exe (Google Inc.)
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
ProxyEnable: [s-1-5-21-354637148-1953842767-2179613701-1001] => Proxy [funkcja włączona]
ProxyServer: [s-1-5-21-354637148-1953842767-2179613701-1001] => http=127.0.0.1:8080;https=127.0.0.1:8080
ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.qqovd.com?oem=mbtkplv3&uid=WD-WX61AA4AN37L_WDCWD10S21X-24R1BT0-SSHD-8GB&tm=1451507486
FF DefaultSearchEngine: Bezpieczne wyszukiwanie
FF SearchEngineOrder.1: Bezpieczne wyszukiwanie
FF SelectedSearchEngine: Bezpieczne wyszukiwanie
StartMenuInternet: FIREFOX.EXE - e:\programy\internet\firefox\firefox.exe
CHR Extension: (SavePages) - C:\Users\Szymon\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfcamfllailmlhibpelbdcpehpegbbjk [2016-01-07]
CHR Extension: (Easy Search) - C:\Users\Szymon\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdnadicfhkbpdafdildanpbjapjlmkab [2016-02-16]
R2 WindowsSecurity; C:\ProgramData\Windows Security\winsecurity.exe [2121728 2016-05-30] (Microsoft Corporation) [brak podpisu cyfrowego]
C:\ProgramData\Windows Security
S2 SkypeUpdateEx; C:\Program Files (x86)\SkypeUpdateEx\SkypeUpdateEx.exe [168376 2016-05-05] (skype.cog.cc)
C:\Program Files (x86)\SkypeUpdateEx
S4 cktSvc; "C:\Program Files (x86)\Uncheckit\cktSvc.exe" {92E162D7-70FD-48F7-A779-91154F8FD518} [X]
C:\Program Files (x86)\Uncheckit
2016-05-03 20:25 - 2016-05-03 20:25 - 00000000 ____D C:\ProgramData\yahoochrome
2016-04-23 10:26 - 2016-05-03 20:14 - 00003794 _____ C:\Windows\System32\Tasks\UncheckitTaskMN
Task: {085A857E-9225-45A8-A438-3A759D70C7A4} - System32\Tasks\Bubble Extension2 => Rundll32.exe "C:\Users\Szymon\AppData\Local\Bubble Extension\{154374DC-1B7C-3167-F5A1-801D1DE7A1FC}\zwqojm.dll",#1 <==== UWAGA
Task: {0BA7D964-B76D-4790-983F-C0AC5757D7DB} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe
Task: {38B485B0-1764-4779-AF8B-1F95CEA8635A} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
Task: {6364C3C6-49F0-4667-8492-5B3DCA7CA5DD} - System32\Tasks\Bubble Extension => Rundll32.exe "C:\Users\Szymon\AppData\Local\Bubble Extension\{154374DC-1B7C-3167-F5A1-801D1DE7A1FC}\BubbleExtension.dll",#1 <==== UWAGA
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v gmsd_pl_005010192 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v rec_pl_159 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v rec_pl_159 /f
CMD: netsh advfirewall reset
CMD: netsh firewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Szymon\AppData\Local
CMD: dir /a C:\Users\Szymon\AppData\LocalLow
CMD: dir /a C:\Users\Szymon\AppData\Roaming
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Wyczyść:

 

>> Google Chrome:

 

  • Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy search.mpc.am oraz inne niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

>> FireFox:

 

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.

 

3. Pobierz AdwCleaner uruchom go i kliknij szukaj a gdy uaktywni się przycisk usuń kliknij go.

 

4. Użyj >> Junkware Removal Tool

 

Po uruchomieniu:

 

  • Postępuj zgodnie z instrukcją wyświetlaną w programie.
  • Gdy skanowanie oraz usuwanie się zakończy, uruchomi się plik z raportem.
  • Raport wkleisz na wklej.org lub załączysz jako załącznik na forum.

 

5. Wstaw raport ze skryptu (Fixlog) i raport z Adwclaner (Raport z Adwcleaner znajduję się w tym folderze: C:\AdwCleaner) oraz raport z Junkware Removal Tool + zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano
Jak na razie nie zauważam żadnego z problemów występujących wcześniej.

 

Mimo to musimy poszerzyć diagnostykę, ponieważ jednego podejrzanego programu nie jestem w stanie rozpoznać. Ma mylącą nazwę, która sugeruję podpis cyfrowy Microsoft, ja jednak w raportach widzę, że nie jest ona podpisana cyfrowo i to jest wystarczający dowód na to, że program może być szkodliwy i trzeba go zweryfikować.

 

Wyślij poniższy plik do analizy w serwisie VirusTotal.com, cierpliwie czekaj na wynik analizy, którą może trwać do pięciu minut. Po zakończeniu analizy dostarcz do niej link, znajdujący się w pasku adresów URL.

 

C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

Wygląda na to, że plik jest OK, raporty również wyglądają już w porządku a skoro problem ustąpił to kończymy.

 

Do ręcznej kasacji:

 

C:\Users\Szymon\Downloads\SpyHunter 4.21.10.4585 eng-full- x32 bit.rar
C:\Users\Szymon\Downloads\SpyHunter 4.21.10.4585 eng-full- x32 bit

 

Powyższe pliki jak widać należą do bardzo kontrowersyjnego i wątpliwego programu SpyHunter (z tym, że to są jakieś cracki, prawda?), był na czarnej liście. Stanowczo odradzam instalacji.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Atomovvy    0

Atomovvy
Napisano

Pliki skasowane, prawdopodobnie znajomy sam próbował wyczyścić system. Dziękuję z pomoc. Zainstalowałem Kaspersky Total Security (z licencją na rok), Adblock'a+ i WOT'a do przeglądarki.

 

Pozdrawiam

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano
Zainstalowałem Kaspersky Total Security (z licencją na rok), Adblock'a+ i WOT'a do przeglądarki.

 

Ja też korzystam z rozwiązania Kasperskiego, dobry wybór :thumbup:

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • cichy45
      AMD RYZEN OC RAM

      Przez cichy45 · Napisano

      Właśnie o to mi chodzi. Tzn ja wiem że nie mogę oczekiwać 14-14-14 na tych goodramach tylko o tym, że nie wiem dlaczego ludzie ustawiają równe wartości a nie minimum które jest stabilne. No ale teraz podałeś przykład że żeby X miało sens na 8 to Y też musi być na 8 a nie więcej. Nie znalazłem po prostu nigdzie informacji czy każdy timing warto dać najmniej ile się da, czy są między nimi powiązania i nie ma sensu dawać najniższych, bo jak nie będą równe z innymi wartościami to nic nie zmieni.
    • PiPoLiNiO
      Monitory OLED - temat zbiorczy

      Przez PiPoLiNiO · Napisano

      Tyle teorii. A gdy idziesz miastem i neony dają 1100 nit zamiast 600-700 to różnica jest kosmiczna
    • MuziPL
      Monitory OLED - temat zbiorczy

      Przez MuziPL · Napisano

      Monitory qd oled w oknie 10% nie przekraczają 500 nitów, gdzie oledy od LG serii C w oknie 10% mają 700-800 nitów, więc sorry ale się nie zgadzam. Mam w domu DW (po 2 latach ten monitor jest wciąż w topce najbardziej ogarniętych hdr na monitorach) i C3 42 - ten drugi lepiej wypada w hdr (jasność w oknie 10% i większy ekran robią swoje). Co do  Cyberpunk to też obecnie gram w 4k i polecam te dwa mody i ustawienia (wklejam poniżej). Dzięki nim ta gry wygląda lepiej jak nigdy. I highly recommend Cyberpunk 2077 Nova LUT Mod (HDR variant under the Update section + Optional ENV File "Raster", even if you use PT in-game) + setting in-game HDR10PQ + Midpoint 3 + Max HDR Luminance 25% more than your actual display luminance in nits (e.g. 2.000 nits if you have a 1.500 nits TV) + Saturation 0. Then you can also install HD Reworked Project Mod for much better textures (Ultra Quality if you have 16GB VRAM, otherwise Balanced). Performance may take a small hit but you can recover it by just lowering both in-game Volumetric Clouds and Ambient Occlusion settings to Medium (with no noticeable differences).
    • Mr.Xavery
      Brak internetu/zintegrowana karta sieciowa

      Przez Mr.Xavery · Napisano

      To przy następnym wywaleniu sprawdzę. Jak nie mam internetu to w menadżerze urządzeń nie widać pozycji Intel i225 i w sumie to nic nie mogę zrobić z kartą wtedy.    win 11
    • egnever6
      Zestaw do gier - FHD

      Przez egnever6 · Napisano

      Dzięki za odpowiedź Dirian i wyjaśnienie z tą obudową. W takim przypadku i po domiarach stwierdzam, że obudowa się zmieści - trochę na styk na szerokość, ale z przodu i z tyłu będzie luźno i przestronnie:) No właśnie - dylematy, dylematy. Chyba jednak skłaniałbym się do tego RTX 4060 Ti 16GB, bo jeśli dobrze rozumiem, to jest on nawet nieznacznie szybszy od RX 7700 XT - oczywiście za dopłatą:) Tylko zastanawiam się, którą konkretnie wersję, bo myślałem o tej https://proline.pl/gigabyte-geforce-rtx-4060-ti-gaming-oc-16gb-gddr6-dlss-3-gv-n406tgaming-oc-16gd-p8118871, ale widzę, że już niedostępna i pytanie czy brać inną - jeśli tak, jaką, czy czekać aż będą mieli dostawę - pytanie czy będą mieli na ten model czy to już wychodzi ze sprzedaży. Druga kwestia, czy decydując się na tego RTX 4060 Ti 16GB pozostałe komponenty można zostawić według tego co podesłał forskoczek20 i będzie się to wszystko razem ładnie zgrywało i działało w sposób optymalny? Ostatecznie chyba jednak będę sam to składał, żeby móc w pełni odczuć fun z nowego sprzętu i wrócić trochę do tych lat minionych, kiedy jako dziecko rozpakowywało się prezenty:) Stąd pytanie - czy coś należałoby dorzucić do tej listy zakupów i czy są jakieś dobre programy, żeby ogarnąć sterowniki, aktualizację BIOS itd., czy jednak najlepiej brać wszystko ze stron producentów i instalować ręcznie? 

  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...