Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Chrome i Firefox - Pozostałości po atakach Trojanów i Wirusów

Soldier13 06 Sty 2017 23:56 924 26
  • #1 06 Sty 2017 23:56
    Soldier13
    Poziom 10  

    Witam

    Mój laptop Acer Windows 7 32bit

    Ostatnio przez tydzień borykałem się z atakiem wirusów. Komputer oszalał mimo aktualnego antywirusa ESET.
    Nie mogłem go już prawie włączyć, sam się wyłączał, ESET przestał działać, pliki EXE, explorer musiałem włączać z menedżera plików......

    Nie pomógł aktualny AVG Rescue, pomógł Kaspersky Rescue.

    Dzisiaj komputer uruchomiony, przeskanowany Kaspersky Anti-Virus z aktualną bazą wirusów. Niby wszystko ok. Niby czysto, ale...

    Próbuje włączyć swoją przeglądarkę Firefox - wyrzuca błąd, ciągle się restartuje, ale to nie pomaga.

    Próbuje więc włączyć przeglądarkę G Chrome - wyskakuje komunikat "Kurza Twarz Podczas wyświetlania strony wystąpił błąd."

    Reinstalacja tych programów oczywiście nie pomogła.

    Skorzystałem już z pomocy google oraz firefox, ale cały ich suport nie był w stanie mi pomóc. Poczytałem też i tutaj o podobnych problemach i sądzę, że problem może być jeszcze po stronie komputera. Coś zostało uszkodzone z systemem?

    Jak to jeszcze mogę sprawdzić?

    Pozdrawiam

    0 26
  • #4 07 Sty 2017 01:10
    Soldier13
    Poziom 10  

    Kolobos napisał:
    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun:

    użyłem, fajny program, usunięte 83 zagrożenia. Firefox i chrome nadal nie zadziało, ale myślę, że chociaż tych reklam się pozbyłem :)

    Kolobos napisał:
    Zamiesc w zalaczniku logi z FRST (Frst.txt oraz Addition.txt):

    logi w załącznikach

    Kolobos napisał:
    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:

    Coś mi ten program nie działa. Po działaniu wstępnym kończy się skanowanie....
    wyodrębniłem plik z tego skanowania w załączniku.

    pidar napisał:
    Użyj też Zemana AntiMalware Portable.


    Włączyłem skanowanie, ale trochę wolno idzie, także wyniki wrzucę z rana.

    Aktualnie jeszcze FIREFOX i CHROME nie wstały :(

    Dziękuje i pozdrawiam :)

    0
  • Pomocny post
    #5 07 Sty 2017 01:26
    Kolobos
    Spec od komputerów

    W Chrome masz tylko profil utworzony przez infekcje, trzeba go usunac. Jezeli masz tam jakies zakladki to zgraj je z C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\ChromeDefaultData

    W FF ustaw domyslny profil na ioyg8zhb.default-1443342339730

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    CustomCLSID: HKU\S-1-5-21-3007836880-2433736959-1122967492-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Rafal\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-3007836880-2433736959-1122967492-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Rafal\AppData\Local\Google\Update\1.3.31.5\psuser.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-3007836880-2433736959-1122967492-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Rafal\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-3007836880-2433736959-1122967492-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Rafal\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-3007836880-2433736959-1122967492-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Rafal\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku
    Task: {091B9CEE-EFCC-4B32-A4D2-1AEC9DCA33C6} - System32\Tasks\{04D78B8F-044C-4798-B993-AC427C9EB863} => pcalua.exe -a "E:\Programy do aut\VAG_PELNY_311 od kosmo\VagCom.exe" -d "E:\Programy do aut\VAG_PELNY_311 od kosmo"
    Task: {10480CB3-0069-4F1D-993B-ED554D4BDC81} - System32\Tasks\{51435F8B-3EA1-424A-8E9B-D6472AC55078} => E:\happy131\maped.exe [2003-09-14] ()
    Task: {1C5F8FDA-2783-45E0-A2C5-61E7DDD0D96A} - \Rotockclajent Core -> Brak pliku <==== UWAGA
    Task: {567D8530-DD26-4D78-B761-2064B3BDED9F} - System32\Tasks\{25A2DF75-3E86-48E6-AE55-2AE2282FFD5D} => E:\happy131\maped.exe [2003-09-14] ()
    Task: {74F98C71-C1A4-4462-8939-A5B70E2F46AA} - System32\Tasks\{42119878-9D87-4602-8700-90CF32C3EB81} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar
    Task: {8AC47E28-AE0F-412A-B44F-0BD3C239E9E4} - System32\Tasks\{AE8FE363-5EA9-4C8B-A7B7-F36F61B5C173} => E:\happy131\happy.exe [2003-10-27] ()
    Task: {9D05DF6F-B87F-4548-B946-20880E91097E} - System32\Tasks\{238B0D3C-F7A3-4EC8-A61B-A96E196BC77F} => pcalua.exe -a "E:\Programy do aut\Vag-Com 311\VagComEN.exe" -d "E:\Programy do aut\Vag-Com 311"
    Task: {A2D0D7AF-C14E-4DF7-B495-394759D106B4} - System32\Tasks\{B324329D-1C4A-4B5F-A0E5-FF49906E8DDC} => E:\happy131\happy.exe [2003-10-27] ()
    Task: {B3AB9701-67DE-4658-B472-5C3AF564242A} - System32\Tasks\{7BBD6931-0592-422A-8374-EEFA2BD6B230} => D:\Pobrane\FIFA_14\FIFA 14\Game\fifa14-crack_v4.exe
    Task: {B67FA284-DEEC-468D-AB1F-ED605475412B} - System32\Tasks\{3B9AA664-74FF-4F78-916C-A521330491FC} => D:\Pobrane\FIFA_14\FIFA 14\Game\fifa14-crack_v4.exe
    Task: {E1BF22AF-2D65-4476-9707-C50D273A744A} - System32\Tasks\674585v7a338h96 => Rundll32.exe "C:\ProgramData\674585v7a338h96\674585v7a338h96.dll",bgozrak <==== UWAGA
    Task: {E8F851AA-C2DC-4333-BE1B-E7813C09CA1F} - System32\Tasks\{4E9E07B7-2FB9-477F-82E8-B625B216C58C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.2.0.106/pl/abandon...l?source=lightinstaller&amp;page=tsPlugin
    Task: {F68DC173-6B83-4A39-A1FE-6FCB5D1E1CA7} - System32\Tasks\{A48CFCCA-151A-4687-9777-EE9C0B04C1AF} => E:\happy131\maped.exe [2003-09-14] ()
    2016-12-30 17:20 - 2014-03-22 19:17 - 03099648 _____ () C:\ProgramData\674585v7a338h96\674585v7a338h96.dll
    2017-01-06 15:56 - 2017-01-07 00:25 - 00199168 _____ () C:\Windows\TEMP\gD3C3.tmp.exe
    2017-01-06 15:55 - 2017-01-07 00:25 - 03603456 _____ () C:\Windows\TEMP\gD3C2.tmp
    AlternateDataStreams: C:\ProgramData:3f80b7866a646e [4188]
    AlternateDataStreams: C:\ProgramData:fe93a19e34e9a [2918]
    AlternateDataStreams: C:\Users\All Users:3f80b7866a646e [4188]
    AlternateDataStreams: C:\Users\All Users:fe93a19e34e9a [2918]
    AlternateDataStreams: C:\Users\Rafal:a776da6e6d [6442]
    AlternateDataStreams: C:\ProgramData\Application Data:3f80b7866a646e [4188]
    AlternateDataStreams: C:\ProgramData\Application Data:fe93a19e34e9a [2918]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:3f80b7866a646e [4188]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:fe93a19e34e9a [2918]
    AlternateDataStreams: C:\Users\Rafal\Dane aplikacji:4e6d0dac13ef96 [8274]
    AlternateDataStreams: C:\Users\Rafal\Ustawienia lokalne:1f6ef619ae1af [8370]
    AlternateDataStreams: C:\Users\Rafal\AppData\Local:1f6ef619ae1af [8370]
    AlternateDataStreams: C:\Users\Rafal\AppData\Roaming:4e6d0dac13ef96 [8274]
    AlternateDataStreams: C:\Users\Rafal\AppData\Local\Dane aplikacji:1f6ef619ae1af [8370]
    AlternateDataStreams: C:\Users\Rafal\AppData\Local\Historia:164f2693703c [3196]
    AlternateDataStreams: C:\Users\Rafal\AppData\Local\Temp:8aeb5e86 [7832]
    Hosts:
    () C:\Windows\Temp\gD3C3.tmp.exe
    HKLM\...\Run: [NWEReboot] => [X]
    HKU\S-1-5-21-3007836880-2433736959-1122967492-1000\...\Run: [Codec Pack Update Checker] => C:\Windows\system32\Codecs\UpdateChecker.exe [64392 2016-08-20] ()
    HKU\S-1-5-21-3007836880-2433736959-1122967492-1000\...\MountPoints2: H - H:\Autorun.exe
    HKU\S-1-5-21-3007836880-2433736959-1122967492-1000\...\MountPoints2: {4c261f7e-09b3-11e4-bd43-f733277b5b6f} - H:\Startme.exe
    HKU\S-1-5-21-3007836880-2433736959-1122967492-1000\...\MountPoints2: {708234cf-4be6-11e4-b0e5-08002700f0f2} - J:\Startme.exe
    HKU\S-1-5-21-3007836880-2433736959-1122967492-1000\...\MountPoints2: {7c4a4518-5222-11e3-a838-d20785823bad} - H:\Autorun.exe
    HKU\S-1-5-21-3007836880-2433736959-1122967492-1000\...\MountPoints2: {7c4a4529-5222-11e3-a838-d20785823bad} - H:\Autorun.exe
    HKU\S-1-5-21-3007836880-2433736959-1122967492-1000\...\MountPoints2: {d2dda4b7-ebb6-11e2-9936-c3250164437d} - H:\Startme.exe
    HKU\S-1-5-21-3007836880-2433736959-1122967492-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
    HKU\S-1-5-18\...\RunOnce: [SpUninstallDeleteDir] => rmdir /s /q "\SearchProtect"
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku
    BootExecute: ampa
    Tcpip\..\Interfaces\{96985D7A-CD29-46F4-839D-C81A3D77F443}: [DhcpNameServer] 62.212.82.91 5.79.86.202
    SearchScopes: HKLM -> DefaultScope - brak wartości
    FF DefaultProfile: 41A66E7E5EE1
    C:\Users\Rafal\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1
    C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    FF user.js: detected! => C:\Users\Rafal\AppData\Roaming\Mozilla\Firefox\Profiles\ioyg8zhb.default-1443342339730\user.js [2016-10-28]
    CHR DefaultProfile: ChromeDefaultData
    CHR Profile: C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-07] <==== UWAGA
    CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    S2 eins3089; C:\Windows\system32\rundll32.exe C:\Windows\eins3089.dll,RDServiceStart eins3089 "C:\Windows\TEMP\inxFA44.tmp"
    S3 ESETCleanersDriver; \??\C:\Windows\system32\Drivers\ESETCleanersDriver.sys [X]
    S2 PStrip; system32\drivers\pstrip.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-12-30 17:20 - 2016-12-30 17:20 - 00000000 ___HD C:\ProgramData\674585v7a338h96
    EmtpyTemp:

    W FRST wybierz Napraw.

    0
  • Pomocny post
    #6 07 Sty 2017 12:00
    pidar
    Spec od pamięci masowych

    Soldier13 napisał:
    Aktualnie jeszcze FIREFOX i CHROME nie wstały :(

    Co do Firefox-a proponuję mieć na przyszłość (w przypadku ponownego zainfekowania) wersję portable.
    http://sourceforge.net/projects/portableapps/...e-d4c8-11e6-8b8f-0200ac1d1d9b-13&source=accel

    0
  • #7 07 Sty 2017 16:44
    Soldier13
    Poziom 10  

    Kolobos, pidar

    Dzięki wielkie, zadziałało :)

    w chrome zrobiłem tak jak mówiłeś, kopiowanie zakładek nie było konieczne, bo gdy zalogowałem się na nowo na konto google, zakładki się same aktualizowały, widocznie gdzieś są jeszcze zachowane kopie w sieci :)

    Zrobiłem tego Fixlist.txt i następnie system po naprawie zrestartował.

    W firefox za bardzo nie wiedziałem jak to zrobić, ale przeszukałem google, wpisałem w wiersz polecen "firefox.exe -p" i tam uruchomiłem ten profil ioyg8zhb.default-1443342339730 . Nie wiem czy dobrze zrobiłem, ale zadziałało.

    Wydaje mi się, że wszystko ok już z moim systemem. Poza tym, że wolno się włącza. Wolno się ładuje pulpit - explorer.

    Czy to może wina KASPERSKY -iego ? W menedżerze zadań wyświetla mi, że zabiera on sobie tylko 2MB pamieci.

    Czy to może wina czegoś innego?

    0
  • #8 07 Sty 2017 16:45
    Kolobos
    Spec od komputerów

    Zamieść nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #11 07 Sty 2017 17:18
    Kolobos
    Spec od komputerów

    Odinstaluj: SpyHunter 4

    W ustawieniach Chrome usun przywracanie zestawu stron po starcie przegladarki.

    Nowy Fixlist.txt dla FRST:
    Task: {42131015-16A4-446D-82C7-F58556F00E5D} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET Smart Security 6.0\upgrade.exe [2016-11-11] (ESET)
    FF ProfilePath: C:\Users\Rafal\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1 [nie znaleziono]
    FF Extension: (Browser-Security) - C:\Users\Rafal\AppData\Roaming\Mozilla\Firefox\Profiles\ioyg8zhb.default-1443342339730\Extensions\firefox@browser-security.de.xpi [2017-01-07]
    CHR StartupUrls: Default -> "hxxp://www.hohosearch.com/?mode=nnnb&ptid=isr&uid=F6F5F4C0A6BF5E9A5782A0405B69162E&v=20160329&ts=AHEpCHQkAH0pAk..","search.mpc.am","hxxp://www.trotux.com/?z=92bb5c468f924a6dfeee476g0z2m7z0m0t0b6eam0z&from=isr&uid=WDCXWD3200BEVT-22ZCT0_WD-WXF0A69K0428K0428&type=hp"
    CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    2017-01-07 00:57 - 2017-01-07 17:02 - 00068434 _____ C:\Windows\ZAM.krnl.trace
    2017-01-07 00:57 - 2017-01-07 17:02 - 00036815 _____ C:\Windows\ZAM_Guard.krnl.trace
    2017-01-07 00:57 - 2017-01-07 00:57 - 00181496 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zamguard32.sys
    2017-01-07 00:57 - 2017-01-07 00:57 - 00181496 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zam32.sys
    2017-01-07 00:57 - 2017-01-07 00:57 - 00000000 ____D C:\Users\Rafal\AppData\Local\Zemana

    Zamiesc screen calego okna z PE: https://technet.microsoft.com/pl-pl/sysinternals/processexplorer

    0
  • #12 07 Sty 2017 19:54
    Soldier13
    Poziom 10  

    Gdy wszedłem w panel sterowania i próbowałem usunąć ten program, to mi wyskoczyło:
    Chrome i Firefox - Pozostałości po atakach Trojanów i Wirusów
    a gdy przeszukuję pliki pod nazwą "SpyHunter", to nic Windows nie znajduje :(

    dziwna sprawa....

    2 screeny z procesami :)

    Chrome i Firefox - Pozostałości po atakach Trojanów i Wirusów Chrome i Firefox - Pozostałości po atakach Trojanów i Wirusów

    Zrobiłem nowego fixlista :)

    0
  • #15 07 Sty 2017 20:12
    Kolobos
    Spec od komputerów

    Logi z FRST są już zbędne.

    > przerwania (interrupts) obciążają procesor, czy to obciążenie jest ciągłe?

    0
  • #16 07 Sty 2017 20:14
    Soldier13
    Poziom 10  

    edytowałem wcześniej wiadomość bo zapomniałem Ci odpowiedzieć...

    mam nagrać film może z ekranu? jakaś podpowiedź..

    0
  • #17 07 Sty 2017 20:16
    Kolobos
    Spec od komputerów

    Uruchom ponownie system i sprawdź w PE czy nadal obciąża.

    0
  • #18 07 Sty 2017 20:24
    pidar
    Spec od pamięci masowych

    Soldier13 napisał:
    a gdy przeszukuje pliki pod nazwą "SpyHunter" to nic windows nie znajduje :(

    Jest na liście w programie Windows Installer CleanUp Utility :?:
    http://www.majorgeeks.com/files/details/windows_installer_cleanup_utility.html

    1
  • #19 07 Sty 2017 20:54
    Kolobos
    Spec od komputerów

    To tylko pusty wpis, można go usunąć przy pomocy regedit z klucza uninstall. Nie ma to znaczenia.

    0
  • #20 07 Sty 2017 23:30
    RADU23
    Moderator - Komputery Serwis

    Soldier13 napisał:
    CRYSTAL

    Dysk jest ok, SMART nie komunikuje niczego niepokojącego.

    0
  • #21 08 Sty 2017 01:05
    Soldier13
    Poziom 10  

    pidar napisał:
    Jest na liście w programie Windows Installer CleanUp Utility :?:

    nie ma na tej liscie.... czyli mogę normalnie usunąc to z listy w panelu sterowania i normalnie zniknie?


    Kolobos napisał:
    Uruchom ponownie system i sprawdź w PE czy nadal obciąża.

    Chrome i Firefox - Pozostałości po atakach Trojanów i Wirusów

    chyba nie.... jeśli dobrze widzę...


    Cytat:
    przerwania (interrupts) obciążają procesor,

    w sumie to nie widzę tej pozycji interrupts...

    jeszcze raz zrestartowałem system i zrobiłem screena CRYSTALA
    Chrome i Firefox - Pozostałości po atakach Trojanów i Wirusów

    0
  • #22 08 Sty 2017 01:45
    Kolobos
    Spec od komputerów

    Miales to sprawdzic w Process Explorer, a nie w CDI.

    0
  • #23 08 Sty 2017 06:33
    ALIBABA I
    Poziom 22  

    Witajcie koledzy, też miałem cyrki z przeglądarkami , co sądzicie o Comodo ?

    0
  • #24 08 Sty 2017 08:59
    Soldier13
    Poziom 10  

    a już widzę, wartość interrupts CPU w PE skacze tak od 2 do 5, czasem wyskoczy 11....

    0
  • Pomocny post
    #26 08 Sty 2017 11:09
    pidar
    Spec od pamięci masowych

    Soldier13 napisał:
    nie ma na tej liscie.... czyli mogę normalnie usunąc to z listy w panelu sterowania i normalnie zniknie?

    Tak.

    Zwiększ dostępne wolne miejsce na partycji systemowej.
    https://privazer.com/

    Pomyśl też o zwiększeniu RAM-u.
    Kości RAM pracują w DUAL-u :?:
    http://www.cpuid.com/softwares/cpu-z.html

    1
  • #27 08 Sty 2017 12:52
    Soldier13
    Poziom 10  

    Koledzy Kolobos i pidar dziękuje za pomoc. Problem uważam za rozwiązany. Wydaje mi się, że ten komputer już nie będzie szybszy bo jest dość stary. Zwiększenie RAMU nie wchodzi w grę, bo ta płyta nie obsługuje więcej niż 4GB z tego co pamiętam. Myślę, że jakoś się jeszcze na nim pomęczę, a za rok kupie nówkę.

    Jeszcze raz dziękuje za pomoc i pozdrawiam :)

    0