Objawy zainfekowania:
Zainstalował mi się jakiś dodatek do przeglądarek i nie mogłem zmienić żadnych ustawień. Częściowo się pozbyłem tego ale proszę o pomoc
Wykonywane działania:
Skanowałem Bitdefender IS, Malwarebytes Anti-Malware i 360 Total Security.
Logi:
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras
[Aby zobaczyć linki, zarejestruj się tutaj]
zobacz w dodaj usuń programy czy nie ma go do odinstalowania. Zeskanuj adwcleaner .
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} =>No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-2920404821-3459751299-2574936738-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/lobby/search.asp
HKU\S-1-5-21-2920404821-3459751299-2574936738-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2920404821-3459751299-2574936738-1001 -> DefaultScope {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=WDCXWD10EZRX-00L4HB0_WD-WMC4J005046350463&ts=1421954351&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2920404821-3459751299-2574936738-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=WDCXWD10EZRX-00L4HB0_WD-WMC4J005046350463&ts=1421954351&type=default&q={searchTerms}
S3 cleanhlp; No ImagePath
S3 cpuz137; No ImagePath
S3 PCFApiUtil; No ImagePath
U0 avc3; No ImagePath
S1 BdfNdisf; \??\C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\bdfndisf6.sys [X]
C:\Users\Administrator\AppData\Local\Packages
C:\ProgramData\1421964425.bdinstall.bin
C:\WINDOWS\system32\appmgmt
C:\Program Files\Common Files\Bitdefender
C:\Users\Adrian\Documents\Mobogenie
C:\Users\Adrian\AppData\Roaming\Mobogenie
C:\Users\Adrian\mobogenieP2sp
C:\Users\Adrian\AppData\Local\Akamai
C:\Users\Adrian\AppData\Roaming\XJTQ
C:\ProgramData\DP45977C.lfl
Task: {36E14E19-910B-48C4-87D5-9B0EC4E03931} - System32\Tasks\Baidu PC Faster Service => C:\Program Files (x86)\Baidu Security\PC Faster\5.0.0.0\PCFasterSvc.exe [2015-01-19] (Baidu Inc.)
Task: {3E6AB4B6-8503-4B86-9390-79851624211C} - System32\Tasks\ASC8_SkipUac_Adrian => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe [2014-12-30] (IObit)
Task: {438A507C-557E-4C43-B57A-5456423F03B5} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Duplicaterecord.js" <==== ATTENTION
Task: {BF3819DA-E767-4023-BCBF-D43C106D7112} - System32\Tasks\Baidu PC Faster Update => C:\Program Files (x86)\Baidu Security\PC Faster\5.0.0.0\Updater.exe [2015-01-19] (Baidu Inc.)
Task: {14165647-6B5C-4520-AEA0-B48B0B966AB0} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {8687C74D-2D79-48F1-8864-A6242BE9D688} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [2014-01-23] (Microsoft Corporation)
Task: {D8DAFEA7-E115-40F7-8AEC-6114C8EEE8E2} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [2014-01-23] (Microsoft Corpor
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
CMD: netsh advfirewall reset
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
Akamai NetSession Interface
Baidu PC Faster
Driver Booster
Surfing Protection
W przeglądarce
Firefox
Otwórz menu w górnym rogu po prawej stronie > otwórz menu pomoc oznaczone czerwoną ramką.
[Aby zobaczyć linki, zarejestruj się tutaj]
Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
Google Chrome chodzi ci w ogóle płynnie ? Skoryguj te dodatki w nim,z czego nie korzystasz to odinstaluj.
Wykonaj działania programem adwcleaner i podaj log.
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt + OTL ale bez extras
Nie usunąłem Baidu bo pomaga mi usunąć dodatki zawirusowane do przeglądarki i Driver booster bo aktualizuje mi sterowniki. Wiem miało być bez extras ale natknąłem się chyba na błędy.
Logi:
AdwCleaner
[Aby zobaczyć linki, zarejestruj się tutaj]
First
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition
[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut
[Aby zobaczyć linki, zarejestruj się tutaj]
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
Extras
[Aby zobaczyć linki, zarejestruj się tutaj]
Edit:
usunąłem programy i podesłałem ponownie.
Odinstaluj i po pomocy tachiona zainstalujesz ponownie, nie stosując się do zaleceni utrudniasz mu pomoc.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
CloseProcesses:
FF Keyword.URL:
FF NetworkProxy: "type", 0
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Bitdefender\Bitdefender 2015\antispam32\bdwteff
FF Extension: No Name - C:\Program Files (x86)\IObit Apps Toolbar\FF [Not Found]
FF Extension: No Name - C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\57jkavjx.default\extensions\[email protected] [Not Found]
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
S3 FairplayKD; No ImagePath
R1 AppProtectEx; C:\WINDOWS\System32\drivers\AppProtectEx.sys [89920 2014-10-23] (Baidu, Inc.)
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
CHR Extension: (360 Internet Protection) - C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\glcimepnljoholdmjchkloafkggfoijh [2015-01-22]
C:\ProgramData\360Quarant
C:\$360Section
C:\WINDOWS\Tasks\360Disabled
C:\Program Files (x86)\360
C:\Users\Public\Documents\Baidu
C:\Users\Adrian\AppData\Roaming\Baidu Security
C:\Program Files (x86)\Baidu Security
C:\Users\Public\Documents\Baidu Security
C:\ProgramData\Baidu Security
Task: {09835F07-74ED-4258-A09F-EFE35C9EFB6F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-23] (Google Inc.)
Task: {1E2AA6AA-3775-440C-A0FC-75D55D15AE6C} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-23] (Google Inc.)
Task: {89D36604-A4ED-4C2D-901D-87C024218A13} - System32\Tasks\GoogleUpdateTaskMachineCore1d03755a93d1947 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-23] (Google Inc.)
Task: {8D99E375-705E-4C6C-955B-C66A046F11B7} - System32\Tasks\GoogleUpdateTaskMachineCore1d03754f42b74e0 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-23] (Google Inc.)
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore1d03755a93d1947.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\Users\Adrian\Dane aplikacji:NT
AlternateDataStreams: C:\Users\Adrian\Dane aplikacji:NT2
AlternateDataStreams: C:\Users\Adrian\OneDrive:ms-properties
AlternateDataStreams: C:\Users\Adrian\AppData\Roaming:NT
AlternateDataStreams: C:\Users\Adrian\AppData\Roaming:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT
AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
Reg: reg delete HKU\S-1-5-21-2920404821-3459751299-2574936738-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Adrian\AppData\Local
CMD: dir /a C:\Users\Adrian\AppData\LocalLow
CMD: dir /a C:\Users\Adrian\AppData\Roaming
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Widzę profil z firefoxa ale nie widzę go w ogóle w programach i funkcjach. Rozumiem że został odinstalowany ?
Tak firefoxa nie mam bo coś z nim nie tak było.
Raport:
[Aby zobaczyć linki, zarejestruj się tutaj]
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
C:\ProgramData\Emsisoft
C:\ProgramData\Mozilla
C:\Users\Adrian\AppData\Local\Mozilla
C:\Users\Adrian\AppData\LocalLow\BAVData
C:\Users\Adrian\AppData\Roaming\BavMini
C:\Users\Adrian\AppData\Roaming\Mozilla
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Proszę
Raport:
[Aby zobaczyć linki, zarejestruj się tutaj]
To by było na tyle.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
A możesz mi jeszcze pomóc z uprawnieniami administratora bo jestem administratorem ale nic nie mogę zrobić gdyż ich tak naprawdę w pełni nie mam
Zdjęcia:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]