Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Infekcja safeFinder i Lightzap -

aksior 09 Lut 2016 15:37 897 13
  • #1 09 Lut 2016 15:37
    aksior
    Poziom 9  

    Witam.
    Mam problem z przeglądarkami i siecią - złapałem z DobreProgramy jakaś infekcję Safefinder i podejrzane pliki Lightzap (procesy). Nie da się odinstalować Safefinder, ani usunąć kluczy z rejestru Lightzap.
    Skanowałem Antimalware Malwarebytes, Adwcleaner i Combofix - nic nie pomaga całkowicie oraz Spyhunter, po którym musiałem kopiować z płytki plik NTDLR.

    Podczas skanowania na potrzeby ekspertów forum FRST - wyskakują jakieś błędy, ale wrzucam na razie logi wg instrukcji.

    Proszę o pomoc!

    0 13
  • Pomocny post
    #2 09 Lut 2016 15:43
    Domino_2
    Pomocny dla użytkowników

    Odinstaluj SpyHunter.

    Cytat:

    ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ]
    BootExecute: autocheck autochk * lsdelete
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1229272821-1409082233-1417001333-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1229272821-1409082233-1417001333-1003 -> {16683E50-812B-4C71-8D07-6C2F6A129E3D} URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
    S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [784256 2015-12-16] (Enigma Software Group USA, LLC.)
    R3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2015-12-16] (Enigma Software Group USA, LLC.)
    U3 adn7vkml; C:\WINDOWS\system32\Drivers\adn7vkml.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 Ambfilt; system32\drivers\Ambfilt.sys [X]
    S3 catchme; \??\C:\DOCUME~1\aksiu\USTAWI~1\Temp\catchme.sys [X]
    S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X]
    S3 GenericMount; system32\DRIVERS\GenericMount.sys [X]
    S3 IntcAzAudAddService; system32\drivers\RtkHDAud.sys [X]
    S4 IntelIde; Brak ImagePath
    S3 Monfilt; system32\drivers\Monfilt.sys [X]
    S3 RTHDMIAzAudService; system32\drivers\RtKHDMI.sys [X]
    U2 V2iMount; Brak ImagePath
    2016-02-09 13:52 - 2016-02-09 13:52 - 00000899 _____ C:\Documents and Settings\aksiu\Pulpit\SpyHunter4.lnk
    2016-02-09 13:52 - 2016-02-09 13:52 - 00000000 ____D C:\Program Files\Enigma Software Group
    2016-02-09 13:52 - 2016-02-09 13:52 - 00000000 ____D C:\Documents and Settings\All Users\Menu Start\Programy\SpyHunter4
    2016-02-09 13:51 - 2015-12-16 12:27 - 50358723 _____ ( ) C:\Documents and Settings\aksiu\Pulpit\SpyHunter 4.21.10.4585 eng-full- x32 bit.exe
    2016-02-09 13:20 - 2016-02-09 13:32 - 00000000 ____D C:\ComboFix
    2016-02-09 12:59 - 2016-02-09 12:59 - 00000000 ____D C:\Documents and Settings\aksiu\Dane aplikacji\Enigma Software Group
    2016-02-09 12:40 - 2016-02-09 12:41 - 00000000 ____D C:\AdwCleaner
    2016-02-09 12:26 - 2016-02-09 13:20 - 05657611 ____R (Swearware) C:\Documents and Settings\aksiu\Pulpit\ComboFix.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
    C:\Windows\System32\re53mvu.dll
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go jako administrator i kliknij Fix.

    0
  • Pomocny post
    #3 09 Lut 2016 15:58
    Kolobos
    Spec od komputerów

    Nie uzywaj Combofix.

    Odinstaluj:
    Ad-Aware 2007
    Adobe Reader 9.3 - Polish, zmien na najnowsza wersje lub na Foxit: http://ninite.com/foxit/
    SpyHunter 4
    SpyHunter4 wersja 4.21.10.4585

    Fixlist.txt dla FRST:
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\aawservice => ""="Service"
    HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
    ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ]
    BootExecute: autocheck autochk * lsdelete
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1229272821-1409082233-1417001333-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [784256 2015-12-16] (Enigma Software Group USA, LLC.)
    R3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2015-12-16] (Enigma Software Group USA, LLC.)
    S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-12-16] ()
    U3 adn7vkml; C:\WINDOWS\system32\Drivers\adn7vkml.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 Ambfilt; system32\drivers\Ambfilt.sys [X]
    S3 catchme; \??\C:\DOCUME~1\aksiu\USTAWI~1\Temp\catchme.sys [X]
    S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X]
    S3 GenericMount; system32\DRIVERS\GenericMount.sys [X]
    S3 IntcAzAudAddService; system32\drivers\RtkHDAud.sys [X]
    S3 Monfilt; system32\drivers\Monfilt.sys [X]
    S3 RTHDMIAzAudService; system32\drivers\RtKHDMI.sys [X]
    U2 V2iMount; Brak ImagePath
    2016-02-09 13:52 - 2016-02-09 13:52 - 00000899 _____ C:\Documents and Settings\aksiu\Pulpit\SpyHunter4.lnk
    2016-02-09 13:52 - 2016-02-09 13:52 - 00000000 ____D C:\Program Files\Enigma Software Group
    2016-02-09 13:52 - 2016-02-09 13:52 - 00000000 ____D C:\Documents and Settings\All Users\Menu Start\Programy\SpyHunter4
    2016-02-09 13:51 - 2015-12-16 12:27 - 50358723 _____ ( ) C:\Documents and Settings\aksiu\Pulpit\SpyHunter 4.21.10.4585 eng-full- x32 bit.exe
    2016-02-09 13:20 - 2016-02-09 13:32 - 00000000 ____D C:\ComboFix
    2016-02-09 13:20 - 2016-02-09 13:26 - 00000000 ____D C:\Qoobox
    2016-02-09 13:20 - 2011-06-26 07:45 - 00256000 _____ C:\WINDOWS\PEV.exe
    2016-02-09 13:20 - 2010-11-07 18:20 - 00208896 _____ C:\WINDOWS\MBR.exe
    2016-02-09 13:20 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00098816 _____ C:\WINDOWS\sed.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00080412 _____ C:\WINDOWS\grep.exe
    2016-02-09 13:20 - 2000-08-31 01:00 - 00068096 _____ C:\WINDOWS\zip.exe
    2016-02-09 12:59 - 2016-02-09 12:59 - 00000000 ____D C:\sh4ldr
    2016-02-09 12:59 - 2016-02-09 12:59 - 00000000 ____D C:\Documents and Settings\aksiu\Dane aplikacji\Enigma Software Group
    2016-02-09 12:56 - 2015-12-16 10:38 - 00019984 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
    2016-02-09 12:40 - 2016-02-09 12:41 - 00000000 ____D C:\AdwCleaner
    2016-02-09 12:26 - 2016-02-09 13:20 - 05657611 ____R (Swearware) C:\Documents and Settings\aksiu\Pulpit\ComboFix.exe

    0
  • #4 09 Lut 2016 16:43
    aksior
    Poziom 9  

    Panowie, ale jak zapisuję wasze treści jako fixlist.txt w Notatniku, to pojawia się zwykły plik notatnika - jak to odpalić?

    Po odpaleniu programu FRST z pulpitu tworzy mi dwa pliki z logami na pulpicie oraz folder FRST na C:\ (w którym jest Hives, Logs, Quarantine).
    Gdzie mam ten zapisany plik notatnika umieścić i jak go odpalić, żeby coś się działo?

    PS. Wywaliłem Spyhunter i wyczyściłem Ccleanerem - jak dodatkowo wywalić Combofix i pozostałości?

    0
  • Pomocny post
    #5 09 Lut 2016 16:45
    Kolobos
    Spec od komputerów

    Fixlist.txt masz utworzyc na pulpicie, obok frst.exe. Nastepnie w FRST nacisnac Napraw.

    0
  • #6 09 Lut 2016 16:57
    aksior
    Poziom 9  

    Ok, teraz ogarniam.:)
    Wrzucam log po naprawieniu - rezultat naprawy.
    Wygląda na to, że usunęło Lightzap z rejestru i chyba czysty PC, ale oceńcie sami.:)
    Przy okazji odinstalowało Combofix.

    Jak wy robicie te pliki tekstowe?:) Jakimś programem? Bo oprócz wiedzy musicie jakoś generować w tak szybkim czasie te pliki z danymi.

    0
  • #7 09 Lut 2016 17:02
    Kolobos
    Spec od komputerów

    To wszystko, usun katalog C:\FRST.

    Fixlist robi sie recznie, nie ma do tego programow.

    0
  • #8 09 Lut 2016 17:02
    aksior
    Poziom 9  

    Pomyliłem się - Lightzap jest nadal w rejestrze...nie da się go usunąć -błąd klucza ;/
    W folderze c: mam jakiś folder Boot z wieloma folderami językowymi i plikiem mtest, nawet unlocker nie chce tego usunąć.

    0
  • #9 09 Lut 2016 17:05
    Acorus 20
    Spec od komputerów

    Wyczyść rejestr CCleanerem.

    0
  • #10 09 Lut 2016 17:17
    Kolobos
    Spec od komputerów

    Wklej do okna FRST: Lightzap i w FRST wybierz Szukaj w rejestrze, po zakonczeniu zamiesc log, ktory sie utworzy.

    0
  • #12 10 Lut 2016 14:21
    Kolobos
    Spec od komputerów

    Utworz plik fix.reg, wklej do niego i uruchom:
    Windows Registry Editor Version 5.00

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LIGHTZAP]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_LIGHTZAP]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LIGHTZAP]

    0
  • #13 10 Lut 2016 14:40
    aksior
    Poziom 9  

    Nic to nie daje- nadal są te pliki i nie da się ich usunąć z rejestru.

    0
  • #14 10 Lut 2016 14:57
    Kolobos
    Spec od komputerów

    W rejestrze nie ma plikow.

    Napisz o co dokladnie chodzi lub zamiesc screen.

    0