Malwarebytes-pytanie
#1
Witam,kontynuacja wątku z forum-

[Aby zobaczyć linki, zarejestruj się tutaj]

,za radą kolegi Ichito wrzucam logi z FRST-frst:

[Aby zobaczyć linki, zarejestruj się tutaj]

,addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

,shorcut:

[Aby zobaczyć linki, zarejestruj się tutaj]

.Prosze o diagnoze.Pozdrawiam.
Odpowiedz
#2
Odinstaluj potencjalne niechciane, fałszywe oprogramowanie:

ByteFence Anti-Malware


Log z frst.txt jest niepełny i niepotrzebnie zostały zaznaczone inne z niego opcje. Na razie skupimy się na tym co widać.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-1871177736-2599305724-3456934481-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
AppInit_DLLs: C:\ProgramData\Quotenamron\Tamlab.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Saoin.dll => Brak pliku
ShellExecuteHooks:  - {7AD1C0F5-07A2-40E5-8608-C6EAA0FF362F} -  Brak pliku [ ]
HKU\S-1-5-21-1871177736-2599305724-3456934481-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-1871177736-2599305724-3456934481-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
URLSearchHook: [S-1-5-21-1871177736-2599305724-3456934481-1000] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1871177736-2599305724-3456934481-1000 -> DefaultScope {85F971E0-5BED-42C5-AEDF-42F8068CB871} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1871177736-2599305724-3456934481-1000 -> {85F971E0-5BED-42C5-AEDF-42F8068CB871} URL = hxxp://www.google.com/search?q={searchTerms}
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
CHR HomePage: ChromeDefaultData -> hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqB3MtBHMpC0..&v=20160530&uid=42C42AE4B4EE8943267B7EEAB9F5767F&ptid=amz&mode=loadm
CHR StartupUrls: ChromeDefaultData -> "hxxp://192.168.8.1/"
CHR Extension: (Chrome Media Router) - C:\Users\Jaceksz\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-25]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - <Brak Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [ahmpjcflkgiildlgicmcieglgoilbfdp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
S3 dbx; system32\DRIVERS\dbx.sys [X]
S2 IDMWFP; system32\DRIVERS\idmwfp.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Task: {053D4637-D019-4458-BFFA-EE7F3A279CC2} - System32\Tasks\{E87C9958-FF99-49F8-B7B9-ABF981784A78} => pcalua.exe -a E:\Driver\setup.exe -d E:\Driver
Task: {30841F61-B16B-42BB-BF5E-16216D86E033} - System32\Tasks\JacekszTrompsFaroV2 => Rundll32.exe UnstainedBumps.dll,main 7 1 <==== UWAGA
Task: {632876A8-83BF-4AF8-A49F-7DDFD03F6B79} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-10-01] (Adobe Systems Incorporated)
Task: {B21EEDF3-3169-4B8C-8774-DE0953522279} - System32\Tasks\{0336D6CE-6729-467F-B082-57B5FEF64875} => pcalua.exe -a C:\Users\Jaceksz\AppData\Roaming\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}\NewShortcut1_42929F0FCE1447AF9FC7FF297A603021_1.exe -d C:\Users\Jaceksz\AppData\Roaming\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}
Task: {BC5B3DAF-3C6C-4E31-B0B3-93A72B9AA959} - \irMonitor -> Brak pliku <==== UWAGA
Task: {D99C9F44-1C0A-4CF9-B8A4-5E2D17B9508C} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-04-26] (Byte Technologies LLC) <==== UWAGA
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Google Chrome
Ślady instalacji adware w postaci podstawionego fałszywego profilu Chrome ChromeDefaultData (wyświetlana nazwa w opcjach Chrome to przypuszczalnie user0)

W opcjach Google Chrome. Z bieżącego profilu wyeksportuj zakładki, o ile w ogóle jest co eksportować... Następnie w Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, zaloguj się na nowy profil, zamknij okno poprzedniego, wróć do ustawień i skasuj user0. Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom, kliknij Skanuj i następnie Oczyść

Pokaż raport z tego działania.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt

Czy próbowano tutaj odinstalowywać McAfee SiteAdvisor za pomocą programu ?
Odpowiedz
#3
Sory za tak późną odpowiedź,nocna zmiana.Więc tak,usunołem byte fence,skopiowałem skrypt do notatnika,uruchomiłem napraw i oto 

[Aby zobaczyć linki, zarejestruj się tutaj]

 z działania skryptu.Nie moge sobie poradzić z tym ekportem ustawień w chrome,może najlepszym wyjściem będzie usunięcie a następnie instalacja chrome na nowo?Dodam że w chrome nic nie uległo zmianie jeśli mowa o zakładkach czy rozszerzeniach.Mcaffe samo się zainstalowało podczas instalacji FRST,program pobierany ze strony komputer świat,został odinstalowany.PS.coś się pochrzaniło,przed naprawą system startował w 40-50 sekund,obecnie czas się wydłużył do 110-120 sekund.Edit:Na karcie Osoby nie ma czegoś takiego jak"user0"czy tego typu podobne.
Odpowiedz
#4
Adwclener był wykonywany ? Jak tak daj raport z działań.

Odinstaluj Google Chrome i następnie usuń folder z tej lokalizacji C:\Users\Jaceksz\AppData\Local\Google usuwasz tylko folder Google. Jak to zrobisz to napisz.
Odpowiedz
#5
Wrzucam 

[Aby zobaczyć linki, zarejestruj się tutaj]

 z adwcleaner,mam usunąć wszystko jak leci?
Odpowiedz
#6
W adwclener masz wywalić to co znalazł przez funkcję oczyść. Następnie odinstalować google i wywalić folder. FRST miałeś pobrać z linku który jest przyklejony w dziale pomoc po zainfekowaniu a nie pobierać z innych źródeł. Pytanie o McAfee SiteAdvisor było przed zanim pobrałeś FRST z Komputerświat, czy ogólnie próbowałeś go usunąć.
Odpowiedz
#7
Witam,program mcaffe odinstalowałem wczoraj ręcznie z poziomu programy i funkcje-odinstaluj program,zrobiłem to wczoraj zaraz po wysłaniu logów z FRST.Reszte zrobie jutro jak będe pod laptopem.Pozdrawiam.
Odpowiedz
#8
Witam,więc tak usunołem chrome plus folder appdata/local/google,wywaliłem wszystko z adwcleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

po usunięciu.Następnie skan FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

i na wszelki wypadek

[Aby zobaczyć linki, zarejestruj się tutaj]

 .Na koniec zrobiłem skan malwarebytes i

[Aby zobaczyć linki, zarejestruj się tutaj]

.Pozdrawiam.
Odpowiedz
#9
Sytuacja zaczyna być bardziej klarowna.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
URLSearchHook: [S-1-5-21-1871177736-2599305724-3456934481-1000] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKU\S-1-5-21-1871177736-2599305724-3456934481-1000 -> DefaultScope {85F971E0-5BED-42C5-AEDF-42F8068CB871} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1871177736-2599305724-3456934481-1000 -> {85F971E0-5BED-42C5-AEDF-42F8068CB871} URL = hxxp://www.google.com/search?q={searchTerms}
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
S4 0218681478519570mcinstcleanup; C:\Users\Jaceksz\AppData\Local\Temp\021868~1.EXE -cleanup -nolog [X]
C:\Users\Jaceksz\AppData\Local\GDIPFONTCACHEV1.DAT
C:\Users\Jaceksz\AppData\Roaming\agent.dat
C:\Users\Jaceksz\AppData\Roaming\Config.xml
C:\Users\Jaceksz\AppData\Roaming\InstallationConfiguration.xml
C:\Users\Jaceksz\AppData\Roaming\Installer.dat
C:\Users\Jaceksz\AppData\Roaming\LogFile.txt
C:\Users\Jaceksz\AppData\Roaming\Main.dat
C:\Users\Jaceksz\AppData\Roaming\md.xml
C:\Users\Jaceksz\AppData\Roaming\noah.dat
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Usuń to co wykrył jeszcze MBAM. Wywal foldery po adwcleaner.

Sprawdź czy w menadżerze urządzeń masz wszystkie zainstalowane sterowniki.

Zainstaluj Google Chrome i wstaw jeszcze raz nowe logi z FRST.txt
Odpowiedz
#10
Ciesze się że finał jest coraz bliżej,jutro dam znać:-)Nara.
Odpowiedz
#11
Witam,wrzucam

[Aby zobaczyć linki, zarejestruj się tutaj]

z działania skryptu,usunąłem adw
cleaner,zainstalowałem chrome.Zrobiłem skan malwarebytes,oto

[Aby zobaczyć linki, zarejestruj się tutaj]

,wywaliłem wszystko,po restarcie pojawiły się na pulpicie dwie puste ikony-utorrent i frst.Przejrzałem menedżera i nigdzie nie występuje znak zapytania albo wykrzyknik więc chyba wszystko gra.Na końcu zrobiłem skan FRST,w oknie zaznaczyłem wszystko jak leci,może będzie potrzebne.Wrzucam logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

 

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz

[Aby zobaczyć linki, zarejestruj się tutaj]

 .PS:Wiem że zawracam d..e,kto pyta nie błądzi,co oznacza czerwony trójkąt przy ikonce malwarebyres?wyskoczył po przesiadce z chrome na explorera.Pozdro.
Odpowiedz
#12
Ciekawa sprawa z tym MBAM, czy ty poprzednio usuwałeś te wpisy które wykrył ? Wydaje się jakby w ogóle nie została ta czynność czyszczenia zrealizowana.
Usuń to co wykrył i zrób skan ponownie i pokaż raport.

Temat też do poczytania: 

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#13
Historia z MBM była taka,były 4 skany. Raport z pierwszego przesłałem na forum,drugi kolejnego dnia wykrył mi ponad 5000 zagrożeń,niestety nie zapisałem z niego raportu i nie da się tego odzyskać,chyba że jest na to jakiś trik.Trzeci wczorajszy włączył się automatycznie,zatrzymałem go i może wtedy coś się posypało?No i ten dzisiejszy z którego raport jest na forum.Niczego nie usuwałem,wszystko było w kwarantannie,po dzisiejszym skanie wyczyściłem.Kolejny skan plus raport zrobie najprawdopodobniej dopiero w sobote,chyba że jutro się wyrobie.Pozdrawiam.
Odpowiedz
#14
Ogólnie po wyczyszczeniu tych drobnych wpisów w MBAM, sprawę można zakończyć.
Odpowiedz
#15
Witam,przed chwilą zrobiłem skan MBAM,niczego nie wykrył więc nie wrzucam tu raportu.Usunołem z systemu FRST-a plus wszystkie foldery po nim.MBAM na razie zostaje,za 3 dni kończy się wersja premium,przyda się w roli skanera.Dzięki za link,pouczający artykuł.PS.Podziękowania za pochylenie się nad moim problemem i za wskazówki pomagające w rozwiązaniu go.Z moją wiedzą narobił bym więcej szkód niż pożytku z systemem.Pozdrawiam.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości