Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Atomovvy

Proszę o sprawdzenie logów FRST i GMER

dodany przez Atomovvy, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

Atomovvy    0

Atomovvy
Napisano

Witam, znajomy podrzucił mi zawirusowanego lapka (wyskakujące reklamy, samo otwierające się strony i duże obciążenie w spoczynku itp...), próba wyczyszczenia go adwcleaner'em i tdsskiller'em dała tylko chwilowy efekt, po tygodniu reklamy ponownie się pojawiły, a wykorzystanie zasobów było tak wysokie, że nawet folderu nie można było otworzyć...

 

 

Addition

FRST

Shortcut

GMER /w trybie awaryjnym, normalnie wywalało BSoD/

 

Pozdrawiam :)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

W systemie działa spora ekipa adware, która jest odpowiedzialna za niepożądane reklamy w przeglądarkach. Głównym problemem jest to, że przeglądarka Google Chrome uruchamia się z zarażonej lokalizacji + dodatkowo sama jest zarażone przez rozszerzenia adware. Nie zabrakło tu też szkodliwej modyfikacji proxy.

 

Dezynfekcja:

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
CreateRestorePoint:
RemoveDirectory: C:\Program Files (x86)\Guntony
RemoveDirectory: C:\Windows\Tasks\GuntonyCheckTask.job
RemoveDirectory: C:\Windows\Tasks\GuntonyBrowserUpdateCore.job
RemoveDirectory: C:\Windows\Tasks\GuntonyBrowserUpdateUA.job
RemoveDirectory: C:\Users\PurpleKush\AppData\Local\Guntony
RemoveDirectory: C:\Users\Public\Documents\Guntony
RemoveDirectory: C:\ProgramData\Guntony
C:\Users\PurpleKush\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Guntony\Guntony\chrome.exe (Google Inc.)
C:\Users\PurpleKush\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Guntony\Guntony\chrome.exe (Google Inc.)
Shortcut: C:\Users\PurpleKush\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Guntony\Guntony\chrome.exe (Google Inc.)
Shortcut: C:\Users\PurpleKush\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Guntony\Guntony\chrome.exe (Google Inc.)
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
ProxyEnable: [s-1-5-21-354637148-1953842767-2179613701-1001] => Proxy [funkcja włączona]
ProxyServer: [s-1-5-21-354637148-1953842767-2179613701-1001] => http=127.0.0.1:8080;https=127.0.0.1:8080
ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.qqovd.com?oem=mbtkplv3&uid=WD-WX61AA4AN37L_WDCWD10S21X-24R1BT0-SSHD-8GB&tm=1451507486
FF DefaultSearchEngine: Bezpieczne wyszukiwanie
FF SearchEngineOrder.1: Bezpieczne wyszukiwanie
FF SelectedSearchEngine: Bezpieczne wyszukiwanie
StartMenuInternet: FIREFOX.EXE - e:\programy\internet\firefox\firefox.exe
CHR Extension: (SavePages) - C:\Users\Szymon\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfcamfllailmlhibpelbdcpehpegbbjk [2016-01-07]
CHR Extension: (Easy Search) - C:\Users\Szymon\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdnadicfhkbpdafdildanpbjapjlmkab [2016-02-16]
R2 WindowsSecurity; C:\ProgramData\Windows Security\winsecurity.exe [2121728 2016-05-30] (Microsoft Corporation) [brak podpisu cyfrowego]
C:\ProgramData\Windows Security
S2 SkypeUpdateEx; C:\Program Files (x86)\SkypeUpdateEx\SkypeUpdateEx.exe [168376 2016-05-05] (skype.cog.cc)
C:\Program Files (x86)\SkypeUpdateEx
S4 cktSvc; "C:\Program Files (x86)\Uncheckit\cktSvc.exe" {92E162D7-70FD-48F7-A779-91154F8FD518} [X]
C:\Program Files (x86)\Uncheckit
2016-05-03 20:25 - 2016-05-03 20:25 - 00000000 ____D C:\ProgramData\yahoochrome
2016-04-23 10:26 - 2016-05-03 20:14 - 00003794 _____ C:\Windows\System32\Tasks\UncheckitTaskMN
Task: {085A857E-9225-45A8-A438-3A759D70C7A4} - System32\Tasks\Bubble Extension2 => Rundll32.exe "C:\Users\Szymon\AppData\Local\Bubble Extension\{154374DC-1B7C-3167-F5A1-801D1DE7A1FC}\zwqojm.dll",#1 <==== UWAGA
Task: {0BA7D964-B76D-4790-983F-C0AC5757D7DB} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe
Task: {38B485B0-1764-4779-AF8B-1F95CEA8635A} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
Task: {6364C3C6-49F0-4667-8492-5B3DCA7CA5DD} - System32\Tasks\Bubble Extension => Rundll32.exe "C:\Users\Szymon\AppData\Local\Bubble Extension\{154374DC-1B7C-3167-F5A1-801D1DE7A1FC}\BubbleExtension.dll",#1 <==== UWAGA
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v gmsd_pl_005010192 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v rec_pl_159 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v rec_pl_159 /f
CMD: netsh advfirewall reset
CMD: netsh firewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Szymon\AppData\Local
CMD: dir /a C:\Users\Szymon\AppData\LocalLow
CMD: dir /a C:\Users\Szymon\AppData\Roaming
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Wyczyść:

 

>> Google Chrome:

 

  • Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy search.mpc.am oraz inne niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

>> FireFox:

 

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.

 

3. Pobierz AdwCleaner uruchom go i kliknij szukaj a gdy uaktywni się przycisk usuń kliknij go.

 

4. Użyj >> Junkware Removal Tool

 

Po uruchomieniu:

 

  • Postępuj zgodnie z instrukcją wyświetlaną w programie.
  • Gdy skanowanie oraz usuwanie się zakończy, uruchomi się plik z raportem.
  • Raport wkleisz na wklej.org lub załączysz jako załącznik na forum.

 

5. Wstaw raport ze skryptu (Fixlog) i raport z Adwclaner (Raport z Adwcleaner znajduję się w tym folderze: C:\AdwCleaner) oraz raport z Junkware Removal Tool + zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano
Jak na razie nie zauważam żadnego z problemów występujących wcześniej.

 

Mimo to musimy poszerzyć diagnostykę, ponieważ jednego podejrzanego programu nie jestem w stanie rozpoznać. Ma mylącą nazwę, która sugeruję podpis cyfrowy Microsoft, ja jednak w raportach widzę, że nie jest ona podpisana cyfrowo i to jest wystarczający dowód na to, że program może być szkodliwy i trzeba go zweryfikować.

 

Wyślij poniższy plik do analizy w serwisie VirusTotal.com, cierpliwie czekaj na wynik analizy, którą może trwać do pięciu minut. Po zakończeniu analizy dostarcz do niej link, znajdujący się w pasku adresów URL.

 

C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

Wygląda na to, że plik jest OK, raporty również wyglądają już w porządku a skoro problem ustąpił to kończymy.

 

Do ręcznej kasacji:

 

C:\Users\Szymon\Downloads\SpyHunter 4.21.10.4585 eng-full- x32 bit.rar
C:\Users\Szymon\Downloads\SpyHunter 4.21.10.4585 eng-full- x32 bit

 

Powyższe pliki jak widać należą do bardzo kontrowersyjnego i wątpliwego programu SpyHunter (z tym, że to są jakieś cracki, prawda?), był na czarnej liście. Stanowczo odradzam instalacji.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Atomovvy    0

Atomovvy
Napisano

Pliki skasowane, prawdopodobnie znajomy sam próbował wyczyścić system. Dziękuję z pomoc. Zainstalowałem Kaspersky Total Security (z licencją na rok), Adblock'a+ i WOT'a do przeglądarki.

 

Pozdrawiam

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano
Zainstalowałem Kaspersky Total Security (z licencją na rok), Adblock'a+ i WOT'a do przeglądarki.

 

Ja też korzystam z rozwiązania Kasperskiego, dobry wybór :thumbup:

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...