SafeGroup

Objawy zainfekowania:
Na początku komputer bardzo mulił. Po iluś tam skanach różnymi programami (poniżej) to przestało być problemem. Aktualnie nie można odtwarzać filmów online. Po kilku minutach wyskakuje zielony ekran albo już na samym początku pojawia się czarne tło. Nie dotyczy to wszystkich stron. Po kolejnych skanach, bo chciałam sprawdzić czy może są jeszcze jakieś infekcje, nie wszystkie strony ładują się poprawnie, nic nie widać z grafiki, tylko pojedyncze linijki tekstu porozrzucane po ekranie. Na tym forum akurat nie, dlatego jestem w stanie coś napisać w ogóle.

Wykonywane działania:
Komputer skanowany był na samym początku avastem ale ten nic nie wykrył, a przy następnych skanach
Malwarebytes Anti-malware, AdwCleaner i YAC coś tam wykryło. Skanowałam również SPyHunterem i ten w ogóle przy pierwszym skanie wskazał ponad 150 infekcji, ale nie mogłam tego usunąć, bo trzeba wykupić jakąś licencję.Następnego dnia po wszystkich wspomnianych skanach znowu użyłam SpyHuntera, żeby sprawdzić czy coś jeszcze wykryje i wskazuje ponad 1300 infekcji....
Logi:
OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

Wklej logi na serwis wklej.org,notuje tutaj brak ukośników np. C Tongue

rogram FilesAVAST SoftwareAvastAvastSvc.exe

A powinno być C:\Program Files\AVAST Software\Avast\AvastSvc.exe

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

Infekcja strumieni danych.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKLM\...\Run: [] => [X]

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

BHO: No Name - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -No File

S2 ekrn; "C:\Program Files\ESET\ESET Smart Security\ekrn.exe" [X]

S3 iSafeKrnl; C:\Program Files\iSafe\iSafeKrnl.sys [202240 2014-05-20] (Elex do Brasil Participaçoes Ltda)

S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [38912 2014-05-20] (Elex do Brasil Participaçoes Ltda)

R1 iSafeKrnlKit; C:\Program Files\iSafe\iSafeKrnlKit.sys [59392 2014-05-20] (Elex do Brasil Participaçoes Ltda)

R1 iSafeNetFilter; C:\Program Files\iSafe\iSafeNetFilter.sys [42496 2014-05-20] (Elex do Brasil Participaçoes Ltda)

C:\Program Files\iSafe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC

C:\Windows\system32\Drivers\iSafeKrnlBoot.sys

C:\Program Files\Common Files\Wise Installation Wizard

C:\Windows\455F074C814E4520B69B5584BD90400C.TMP

C:\Users\Admin\AppData\Local\unins000.exe

C:\Users\Admin\AppData\Local\unins000.msg

C:\Users\Admin\AppData\Local\unins000.dat

C:\Users\Admin\AppData\Local\Temp\DeskMetrics.dll

C:\Users\Admin\AppData\Local\Temp\libcurl-4.dll

C:\Users\Admin\AppData\Local\Temp\ose00000.exe

C:\Users\Admin\AppData\Local\Temp\pthreadGC2.dll

C:\Users\Admin\AppData\Local\Temp\Quarantine.exe

C:\Users\Admin\AppData\Local\Temp\SHSetup.exe

C:\Users\Admin\AppData\Local\Temp\zlib1.dll

Task: {CE17B914-419F-49B7-8C2B-7798C2892871} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2014-01-09] (Enigma Software Group USA, LLC.)

AlternateDataStreams: C:\Temp:list3

AlternateDataStreams: C:\Temp:pid1

AlternateDataStreams: C:\Temp:pid2

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Odinstaluj: SpyHunter

Uruchom FRST kliknij skan i podaj nowe logi FRST.txt+Addition.txt

teraz wygląda to tak:

Fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

i jeszcze raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Strony dalej nie wyświetlają się poprawnie, a odtwarzaczy online nie da się odpalić, bo nie widać nawet strzałki "play"

jeszcze dodam, że problem występuję w Mozilli, w explorerze wszystko jest ok

Dzisiaj jest już wszystko ok. Dziękuję bardzo za pomoc Grin

damnit

tachion

damnit

tachion

damnit

damnit

damnit

damnit

damnit