Infekcja w systemie. Proszę o sprawdzenie logów z FRSt-a
#1
Witam!
Bardzo proszę o pomoc. Od kilku dni wiesza mi się Firefox, często polegało to na tym że przeglądarka traciła połączeniez internetem. Dziś w ogóle nie chciała się uruchomić. Komputer wyraźnie jest spowolniony.

Komputer był skanowany tylko Avastem. Wydaje mi się że komputer został zainfekowany ściągnięciem programu Fotomix z str. dobreprogramy. Gdy zaczęłam czytać czym to grozi...cóż trochę mi się otworzyły oczy Facepalm
Potem próbowałam sprzątnąć za pomocą avasta, wyświetlilo mi się coś troszkę dziwnego ale z logo Avasta więc wyraziłam zgodę i zaraz zorientowałam się w wyglądzie przeglądarki. Przyczepiło się Search Protect i jeszcze wcześniej już we mnie wzbudzało podejrzenie Rewards Arcade

Ale wydaje mi się że to nie wszystko.

Dodam że jestem początkująca, a logi zrobiłam pierwszy raz w życiu.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hppp&ts=1427613892&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1427613860&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hppp&ts=1427613892&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1427613860&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-394342371-4236238766-2977118982-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006
HKU\S-1-5-21-394342371-4236238766-2977118982-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-394342371-4236238766-2977118982-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510&ts=1427613902&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510&ts=1427613902&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510&ts=1427613902&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510&ts=1427613902&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> {C560CD2A-9A48-4DD9-B73C-F331ECCAE587} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510&ts=1427613902&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BPVT-22ZEST0_WD-WXB1A709451094510&ts=1427613902&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms}
BHO-x32: No Name -> {597A9974-8CB0-4f41-B61F-ED065738A397} ->No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -No File
Toolbar: HKU\S-1-5-21-394342371-4236238766-2977118982-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -No File
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dcmagccbogebndpoodhhhafmofelpffh] - C:\Users\Basia\AppData\Local\RewardsArcade\498\Chrome\rewardsarcade.crx
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-29] (SysTool PasSame LIMITED)
S2 Update Steel Cut; "C:\Program Files (x86)\Steel Cut\updateSteelCut.exe" [X]
S2 Util Steel Cut; "C:\Program Files (x86)\Steel Cut\bin\utilSteelCut.exe" [X]
R1 {106d2c30-8c56-4ef5-afe7-b4aab1171196}Gw64; C:\Windows\System32\drivers\{106d2c30-8c56-4ef5-afe7-b4aab1171196}Gw64.sys [48776 2015-03-28] (StdLib)
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
C:\Windows\system32\Drivers\{106d2c30-8c56-4ef5-afe7-b4aab1171196}Gw64.sys
C:\Users\Basia\AppData\Roaming\systweak
C:\Windows\system32\roboot64.exe
C:\Program Files (x86)\Steel Cut
C:\ProgramData\IHProtectUpDate
C:\ProgramData\WindowsMangerProtect
C:\Users\Basia\Downloads\FotoMix(15302)-dp.exe
C:\ProgramData\hpzinstall.log
C:\Users\Basia\AppData\Local\*.html
Task: {1F804925-4BA1-465D-9A35-53B2B00378B2} - System32\Tasks\InstallShield Update Service => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe [2005-02-16] (InstallShield Software Corporation)
Task: {1FE7EFB9-1F19-44AC-B010-65F80CDACD14} - System32\Tasks\{B6074C76-0275-4C0F-B73E-7D458E29BCEF} => C:\Program Files (x86)\Skype\Phone\Skype.exe
Task: {3809C8C0-8608-4F69-80C2-9C381A9B9210} - System32\Tasks\Adobe Reader and Acrobat Manager => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)
Task: {4FDFA49C-487D-4100-BAB9-4A49AA67DF99} - System32\Tasks\{87BE9C71-90B9-454E-91CD-C8EC467518BD} => pcalua.exe -a "C:\Users\Basia\Desktop\Adobe Photoshop CS4 11.0\Setup.exe" -d "C:\Users\Basia\Desktop\Adobe
Task: {E478D400-3B56-4275-9132-1D2F9AA24357} - System32\Tasks\{8932F645-AA0A-4563-8CB8-1A6F50703B7F} => pcalua.exe -a F:\blueconnect\Setup.exe -d F:\blueconnect
Task: {F6FDF457-D3AD-45AE-9F7F-4DCB44BD9ACF} - System32\Tasks\{2EF3CAEE-6AEB-428D-90CB-4132F4375CFE} => pcalua.exe -a "D:\Sterownik huwai\DriverSetup.exe" -d "D:\Sterownik huwai"
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Acrobat.com
Adobe AIR
Adobe Download Assistan
Java 7 Update 45 (64-bit)
Java 7 Update 45
Java™ 6 Update 27
Java™ 6 Update 30
McAfee Security Scan Plus
RewardsArcade

Google Chrome

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

W przeglądarce Firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł

W przeglądarce Firefox

Otwórz menu w górnym rogu po prawej stronie > otwórz menu pomoc oznaczone czerwoną ramką.

[Aby zobaczyć linki, zarejestruj się tutaj]


Informacje dla pomocy technicznej > Zresetuj program Firefox.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
Pokaż raport z niego.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#3
Witam.
Dziękuję za pomoc.
Zrobiłam wszystko wg. instrukcji. Dobrze?

fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]


AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Komputer chyba działa lepiej. Natomiast w przeglądarkach mnóstwo reklam.
Co dalej?
Odpowiedz
#4
Jakiego typu te reklamy ?

Reklamy zwyczajnie występują jeśli nie są blokowane. Coś nie tak zostało tu wykonane z firefoxem bo nie widzę jego profilu.

Odinstaluj całkowicie firefoxa.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
SearchScopes: HKU\S-1-5-21-394342371-4236238766-2977118982-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} ->No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
RemoveDirectory: C:\Users\Basia\Desktop\Stare dane programu Firefox
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.


Zrób nowy log i przedstaw z FRST.txt
Odpowiedz
#5
Masz rację z tymi reklamami. Zawsze miałam AdBlock itp...
Firefox odinstalowany.

fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]


FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]


Coś jeszcze tu można zdziałać?
Dzięki i Wesołych Świąt!
Odpowiedz
#6
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Opera
C:\Program Files (x86)\Panda Security
C:\Program Files (x86)\Common Files\Symantec Shared
C:\ProgramData\Mozilla
C:\ProgramData\Norton
C:\ProgramData\McAfee
C:\ProgramData\Panda Security
C:\ProgramData\Symantec
C:\Users\Basia\AppData\Local\Mozilla
C:\Users\Basia\AppData\Roaming\Mozilla
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: dir /a C:\Users\Basia\AppData\Local
CMD: dir /a C:\Users\Basia\AppData\LocalLow
CMD: dir /a C:\Users\Basia\AppData\Roaming
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Zainstaluj ponownie Firefoxa

[Aby zobaczyć linki, zarejestruj się tutaj]


Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#7
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]


Firefox zainstalowany.

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]


Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#8
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
C:\Program Files (x86)\AVG
C:\ProgramData\AVG
C:\ProgramData\Avg2015
C:\Users\Basia\AppData\Local\Avg
C:\Users\Basia\AppData\Local\Avg2015
C:\Users\Basia\AppData\Local\Symantec_Corporation
C:\Users\Basia\AppData\Local\Opera Software
C:\Users\Basia\AppData\Roaming\AVG
C:\Users\Basia\AppData\Roaming\Avg2015
C:\Users\Basia\AppData\Roaming\Opera Software
C:\Users\Basia\AppData\Roaming\Panda Security
C:\Users\Basia\AppData\Roaming\Symantec
C:\Users\Basia\AppData\Roaming\TuneUp Software
RemoveDirectory: C:\AdwCleaner
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Na koniec

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Zainstaluj najnowsząJave

[Aby zobaczyć linki, zarejestruj się tutaj]


Jeśli jest niepotrzebna to nie instaluj.

Nowszą wersję 7zip można pobrać od nas

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#9
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]


-Javy nie instalowałam
-Delfix zrobione
-7-zip zrobione

Bardzo dziękuje. Czyli już koniec?Smile

Teraz myślę nad jakimś zabezpieczeniem systemu.
Wiem że to nie temat na ten dział, ale może byś mógł coś polecić dla mnie? Grin
Nie za bardzo się orientuję w tym temacie...


Teraz nie wiem czy mam problem z internetem czy znów z mozzilą. W firefoxie nie mogę się zalogować do tego forum, podczas gdy w chrome nie ma takich problemow. Zaczęło mi przerywać połączenie (widok z strony), a na pasku jest że połączono z siecią Sad

Czy to może być spowodowane rozszerzeniem AdBlock Plus, które niedługo wcześniej zainstalowałam z menu dodatków firefoxa? Nic więcej nie instalowałam, tylko AdBlock i Delfix oraz 7-Zip. None
Odpowiedz
#10
batiNka napisał(a):W firefoxie nie mogę się zalogować do tego forum

Może problemy były po naszej stronie.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#11
Chyba masz rację, u mnie też wczoraj występował taki błąd 522...
Teraz piszę z Chrome bo w firefox problem nadal występuje....

Ale dzięki za nakierowanie, bo już się martwiłam że znów coś się po cichu "przypięło".
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości