Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

SZBrowser przejął antywirusa.

baphomet 11 Maj 2017 19:55 1017 3
  • #1 11 Maj 2017 19:55
    baphomet
    Poziom 6  

    Witam.
    Mój komputer zainfekowany został przez jakiegoś szpiega. Zorientowałem się gdy ikona avasta wskazywała, że ochrona jest wyłączona. Po włączeniu osłony antywirus zaczął się aktualizować i wtedy zobaczyłem, że łączy się przez SZBrowser. Przeskanowałem kompa mbamem i wykrył wpisy w rejestrze Adware.Ghokswa i PUP.Optional.MaohaWifi. MBAM też oczywiście został przekierowany. W menadżerze zadań Windows dotychczasowe usługi zostały zatrzymane, zamiast nich jest mnóstwo innych. Instalki przeglądarek internetowych i innych programów zostały podmienione. Pojawiło się konto "Administratorzy" do którego plików nie mam dostępu. Dokopałem się do logów z avasta po chińsku czy japońsku a ostatnio pomogliście mi na forum z usunięciem chińskiego UCBrowsera, może jednak nie do końca został usunięty. Ogólnie na dyskach mam dużo logów z których wynika, że jakiekolwiek osłony, przeglądarki, aktualizacje zostały przekierowane a mój komputer jest sterowany z zewnątrz (tak wywnioskowałem), jeżeli będzie potrzeba to wrzucę. Generalnie nie ma zmian w pracy komputera, oprócz opóźnionego uruchamiania (nie za każdym razem). Przez długi czas jest czarny ekran i dopiero startuje. Zauważyłem też, że dużo dzieje się w tle, głównie przy przeglądaniu internetu. To chyba wszystko.
    Proszę o pomoc. Sam nie mam pojęcia jak się do tego zabrać a nie wiem czy reinstalka Windowsa ma sens bo pewnie zostały ukryte na dysku pliki, które przywracają ten cały śmietnik. Wrzucam logi z FRSTa z włączonego w normalnym trybie windowsa.

    0 3
  • #2 11 Maj 2017 20:23
    Kolobos
    Spec od komputerów

    Chyba cos wymyslasz...

    Przeciez SZBrowser to przegladarka Avast'a.

    Nie masz takiego konta jak "Administratorzy", masz tylko te:
    Administrator
    Gość
    HomeGroupUser$
    trash
    UpdatusUser


    Zmien Adobe Reader 9.1 - Polish na najnowsza wersje AR.

    Odinstaluj: Java(TM) 6 Update 16

    Zainstaluj http://ninite.com/java/

    W logach nie widac infekcji.

    0
  • #3 11 Maj 2017 23:55
    baphomet
    Poziom 6  

    Uwierz mi, że nie wymyślam. Nie znam się na interpretowaniu logów dlatego napisałem z prośbą o pomoc do specjalistów. Postaram się przedstawić po czym wnoszę, że coś się dzieje. Oto zrzut ekranu z kontami dostępnymi na moim kompie. SZBrowser przejął antywirusa.
    Jak widać konto administratorzy ma pełny dostęp. Nie mogę na nim niczego modyfikować, pokazuje się monit odmowa dostępu.
    W menadżerz e urządzeń proces chrome uruchomiony jest 9 razy i nie mogę go zatrzymać, też brak dostępu. Systemowe usługi są zatrzymane a włączone są jakieś podejrzane (na moje oko) i też nie mam do nich dostępu.
    Przekopałem foldery systemowe i znalazłem przy awaście taki log "Avastbackend" Avastbac..d.txt Download (4.05 kB) . Przy tym Safe Zone znalazłem log "safezone" safezo..txt Download (3 kB) w którym podana jest nazwa backend i pozmieniane ścieżki dostępu. Jeszcze kilka logów do przejrzenia "Instup_" Instup..txt Download (504.6 kB) , "Update" Update..txt Download (261.54 kB) , "event manager" event man..er.txt Download (1.2 MB)
    W tym logu z FRSTa przy Internet Explorer jest: HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp.. Myślałem, że to jest właśnie przekierowanie.
    Gdy próbuję otworzyć chroma nic się nie dzieje, dopiero po wpisaniu w wyszukiwarkę windows otwieram gdzieś z systemowych plików spakowany rarem chrome. Wtedy pokazuje się komunikat, że zapora ogniowa systemu poblokowała niektóre elementy chroma bo jest podejrzanym plikiem. Dopiero po przepuszczeniu przez zaporę otwiera mi się przeglądarka.
    Wracając do konta "administratorzy" znalazłem log w folderze MigWiz. Wydaje mi się, że to też jest istotne. "setupact" setupac...txt Download (89.11 kB) .
    Jestem pewien na 100%, że mój komp złapał jakiś syf. Jak już mówiłem nie znam sie na logach ale mam nadzieje, że przynajmniej rzucisz okiem na to co wysłałem.
    Z góry dziękuję.

    0
  • #4 12 Maj 2017 07:13
    Kolobos
    Spec od komputerów

    Konto to trash, to Twoje konto na ktore jestes zalogowany, a Administratorzy to grupa, do ktorej nalezy Twoje konto.

    W FRST nie widac zeby Chrome byl uruchomiony. Jednak po uruchomieniu wlacza pare procesow, to normalne.

    Nie masz podstawowej wiedzy i przegladasz jakies losowe pliki...

    Moze zostaw to juz w spokoju? Szkoda marnowac czas.

    Co do Chrome to zgraj zakladki, odinstaluj, usun katalog profilu: C:\Users\trash\AppData\Local\Google\Chrome\User Data\Default i zainstaluj ponownie.

    > Jestem pewien na 100%, że mój komp złapał jakiś syf.

    Ja jestem pewien, ze nie wiesz co robisz i wymyslasz jakies bzdury.

    0