Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Lenovo Ideapad 700 - SEC_ERROR_UNKNOWN_ISSUER po zainstalowaniu szkodliwej aplik

MohoMofi 07 Sty 2017 02:08 462 5
  • #1 07 Sty 2017 02:08
    MohoMofi
    Poziom 2  

    Witam,
    postanowiłem wczoraj pobrać ResEdit, aplikację do edycji i tworzenia ikon aplikacji, rozszerzenia *.rc. Niestety nie mogłem tego zrobić z oficjalnej strony, z nieznanych mi przyczyn. Dlatego kliknąłem w kolejny odnośnik w googlu, pobrałem i odpaliłem apkę. Niestety aplikacja okazała się downloaderem aplikacji ResEdit, wbrew temu, co pisało przy przycisku download. Od razu, czym prędzej chwyciłem za "Cancel". Downloader zamknął się i wszystko było ok. Po 5minutach wyskoczył komunikat o skończeniu instalacji jakichś 3 aplikacji. Kodeki, toolbary i jakieś syfy. Nie mając pojęcia dlaczego, przecież anulowałem... No ale tu się zaczęło. Pierdyliard toolbarów i tym podobnego syfu. Odinstalowałem wszystko, przeleciałem Malwarebytes, i avastem, w porywach wariacji nawet win-defenderem. Jednak nie pozbyłem się najwidoczniej wszystkiego, albo to gó*no wprowadziło jakieś zmiany na komputerze. Mozilla przestała współpracować i po wpisaniu czegoś pasku "szukaj" (wyszukuje przez googla) odpowiada kodem SEC_ERROR_UNKNOWN_ISSUER (screen niżej). Chrom na swój sposób podobnie, bo też jakieś brednie o bezpieczeństwie. Jak wpisuję URL wszelakich stron, działa, jak wpisuję www.google.com,, to błąd. Natomiast, co ciekawe, jak wyszukuję przez bing, albo wyszukiwarkę zaproponowaną przez toolbar, to wszystko gra. Ma ktoś jakieś pomysły? Dodam, że próbowałem na wyłączonych zabezpieczeniach defendera i antywirusów, ale to nic nie dało.


    Win 10 Home, Lenovo Ideapad 700, i7-6700, GTX 950M, 8 RAMu, zielone oczy, 188cm wzrostu ;)

    Lenovo Ideapad 700 - SEC_ERROR_UNKNOWN_ISSUER po zainstalowaniu szkodliwej aplik

    0 5
  • #4 07 Sty 2017 09:12
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    Hosts:
    ShellExecuteHooks: Brak nazwy - {41A4229E-D0F5-11E6-BA6F-64006A5CFC23} - C:\Users\filip\AppData\Roaming\Reerhaghrewech\Plogtain.dll -> Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-1769162373-3886116638-132332917-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    HKU\S-1-5-21-1769162373-3886116638-132332917-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?bcutc=sp-006
    SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1769162373-3886116638-132332917-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1769162373-3886116638-132332917-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
    BHO: Brak nazwy -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> Brak pliku
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?bcutc=sp-006
    CHR HomePage: ChromeDefaultData2 -> hxxp://www.trotux.com/?z=3cf33eb3665f7e598049...SPCX-24HWST1_WD-WXJ1AC5LSF67LSF67&type=hp
    CHR StartupUrls: ChromeDefaultData2 -> "hxxp://www.trotux.com/?z=3cf33eb3665f7e598049efegbz6b5ccm6cao0w6g8g&from=isr&uid=WDCXWD10SPCX-24HWST1_WD-WXJ1AC5LSF67LSF67&type=hp"
    CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.trotux.com/search/?q={searchTerms}&z=3cf33eb3665f7e598049efegbz6b5ccm6cao0w6g8g&from=isr&uid=WDCXWD10SPCX-24HWST1_WD-WXJ1AC5LSF67LSF67&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData2 -> trotux
    CHR Profile: C:\Users\filip\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-01-06] <==== UWAGA
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    S2 Ariloiedgeperther; C:\Program Files (x86)\Sirespbebege\MwdMonitor.dll [X]
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
    2017-01-07 02:34 - 2017-01-07 02:49 - 00000000 ____D C:\AdwCleaner
    2017-01-06 20:56 - 2017-01-07 00:32 - 00006110 _____ C:\WINDOWS\System32\Tasks\Kejaseckamotain System
    2017-01-06 20:56 - 2017-01-06 20:56 - 00140288 _____ C:\Users\filip\AppData\Roaming\Installer.dat
    2017-01-06 20:56 - 2017-01-06 20:56 - 00000000 _____ C:\TOSTACK
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #5 07 Sty 2017 11:14
    Kolobos
    Spec od komputerów

    @MohoMofi pomin to co podal @krzychupar
    Jezeli Chrome dziala to zgraj zakladki, trzeba bedzie usunac katalog profilu utworzony przez infekcje.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {0F423994-1405-47AE-89C1-0B6F6AC24EB3} - System32\Tasks\Kejaseckamotain System => C:\Program Files (x86)\Sirespbebege\tubeent.exe
    Task: {82783FAB-9A38-4674-8526-AC13355F4628} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\Scheduler.exe [2016-09-20] (IObit)
    Task: {94138ACB-B550-49F0-B3C4-46F74C79D2D5} - System32\Tasks\Driver Booster SkipUAC (filip) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe [2016-10-09] (IObit)
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    Hosts:
    ShellExecuteHooks: Brak nazwy - {41A4229E-D0F5-11E6-BA6F-64006A5CFC23} - C:\Users\filip\AppData\Roaming\Reerhaghrewech\Plogtain.dll -> Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    BHO: Brak nazwy -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> Brak pliku
    Edge HomeButtonPage: HKU\S-1-5-21-1769162373-3886116638-132332917-1001 -> hxxp://www.x-kom.pl/l/dziekujemy-za-zakupy
    CHR DefaultProfile: ChromeDefaultData2
    CHR HomePage: ChromeDefaultData2 -> hxxp://www.trotux.com/?z=3cf33eb3665f7e598049...SPCX-24HWST1_WD-WXJ1AC5LSF67LSF67&type=hp
    CHR StartupUrls: ChromeDefaultData2 -> "hxxp://www.trotux.com/?z=3cf33eb3665f7e598049efegbz6b5ccm6cao0w6g8g&from=isr&uid=WDCXWD10SPCX-24HWST1_WD-WXJ1AC5LSF67LSF67&type=hp"
    CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.trotux.com/search/?q={searchTerms}&z=3cf33eb3665f7e598049efegbz6b5ccm6cao0w6g8g&from=isr&uid=WDCXWD10SPCX-24HWST1_WD-WXJ1AC5LSF67LSF67&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData2 -> trotux
    CHR Profile: C:\Users\filip\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-01-06] <==== UWAGA
    C:\Users\filip\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    S2 Ariloiedgeperther; C:\Program Files (x86)\Sirespbebege\MwdMonitor.dll [X]
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
    2017-01-07 02:34 - 2017-01-07 02:49 - 00000000 ____D C:\AdwCleaner
    2017-01-07 00:57 - 2017-01-07 00:57 - 00000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
    2017-01-06 20:56 - 2017-01-07 00:32 - 00006110 _____ C:\WINDOWS\System32\Tasks\Kejaseckamotain System
    2017-01-06 20:56 - 2017-01-06 20:56 - 00140288 _____ C:\Users\filip\AppData\Roaming\Installer.dat
    2017-01-06 20:56 - 2017-01-06 20:56 - 00000000 _____ C:\TOSTACK
    2017-01-06 20:55 - 2017-01-07 00:31 - 00000000 ____D C:\Users\filip\AppData\Local\Phpage
    2017-01-06 20:55 - 2017-01-06 22:41 - 00000000 ____D C:\Users\filip\AppData\Roaming\Reerhaghrewech
    2017-01-06 20:53 - 2017-01-06 20:53 - 04588712 _____ (Software company) C:\Users\filip\Downloads\ResEdit_32exe.exe
    2017-01-06 20:56 - 2017-01-06 20:56 - 0013698 _____ () C:\Users\filip\AppData\Roaming\booking.ico
    2017-01-06 20:56 - 2017-01-06 20:56 - 0140288 _____ () C:\Users\filip\AppData\Roaming\Installer.dat
    EmptyTemp:


    @krzychupar skoro usuwasz profil Chrome to chyba warto o tym wspomniec autorowi zeby mogl np. zgrac zakladki itp?

    0
  • #6 07 Sty 2017 18:49
    MohoMofi
    Poziom 2  

    Problem załatwiony ;) Dziękuje Kolobos.
    Lenovo Ideapad 700 - SEC_ERROR_UNKNOWN_ISSUER po zainstalowaniu szkodliwej aplik

    0