SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Sprawdzenie Logów
Pełna wersja: Sprawdzenie Logów
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

jarek1986PL

14.10.2014, 16:56
Objawy zainfekowania:
Wyskakujące reklamy w google chrome, odłączanie od sieci
Wykonywane działania:
Skanowanie malwerbyates, Avast

Logi:
Tutaj umieść linki do logów z FRST i OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

14.10.2014, 23:57
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
HKLM\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&s=2&o=vp32&d=0814&m=aspire_5536
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://global.acer.com
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://global.acer.com
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&s=2&o=vp32&d=0814&m=aspire_5536
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&s=2&o=vp32&d=0814&m=aspire_5536
SearchScopes: HKLM - DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKLM - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKCU - DefaultScope {30752195-BF76-4C2A-B948-372971C811EC} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}
SearchScopes: HKCU - {30752195-BF76-4C2A-B948-372971C811EC} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}
CHR HomePage: Default -> hxxp://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=395049983_2101041_38890DAE&ts=1381841267
CHR StartupUrls: Default -> "hxxp://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=395049983_2101041_38890DAE&ts=1381841267", "hxxp://www.gazeta.pl/0,0.html?p=153"
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
R2 Update ClearThink; C:\Program Files\ClearThink\updateClearThink.exe [522480 2014-10-14] ()
R2 Util ClearThink; C:\Program Files\ClearThink\bin\utilClearThink.exe [522480 2014-10-14] ()
R1 {1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t; C:\Windows\System32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys [55824 2014-10-13] (StdLib)
R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys [55056 2014-09-04] (StdLib)
R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys [55824 2014-10-04] (StdLib)
R1 {c89879cb-75b8-4cb6-bc13-07c704396fd0}t; C:\Windows\System32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys [55824 2014-10-13] (StdLib)
R1 {fe90d265-3be8-45cd-8d93-3ca3523fd9ea}t; C:\Windows\System32\drivers\{fe90d265-3be8-45cd-8d93-3ca3523fd9ea}t.sys [55824 2014-10-12] (StdLib)
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
C:\Windows\system32\Drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys
C:\Windows\system32\Drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys
C:\Windows\system32\Drivers\{fe90d265-3be8-45cd-8d93-3ca3523fd9ea}t.sys
C:\Windows\system32\Drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys
C:\Users\Jarek\AppData\Roaming\Google
C:\ProgramData\Google
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

ClearThink

Google Chrome

Ustawienia > karta Rozszerzenia > usuń jeśli dostępne (ClearThink).

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
Pokaż raport z niego.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt+ OTL ale bez Extras.
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Sprawdzenie Logów