Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Proszę o przejrzenie logów, omyłkowo zainstalowałem paczkę wszelkiego śmiecia

Flocculus 31 Maj 2018 14:36 249 8
  • #1 31 Maj 2018 14:36
    Flocculus
    Poziom 3  

    Witam, zainstalowałem przez przypadek wczoraj dużo śmiecia i trochę utknąłem z walką.
    Objawy:
    - wolniejsze działanie sprzętu
    - błędy przy uruchomieniu
    - co chwila otwierający się firefox z reklamami (przeglądarka domyślna)
    - próby korzystania z firefoxa kończą się komunikatem że połączenie nie jest bezpieczne
    - w trakcie walki natrafiłem na CloudNet ale nie wiem jak skutecznie go usunąłem

    Poniżej załączniki z logami


    P.S.
    Proszę o pomoc w wersji "jak dla idioty"

    0 8
  • #2 31 Maj 2018 14:55
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== UWAGA
    HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== UWAGA
    HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== UWAGA
    HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== UWAGA
    HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== UWAGA
    HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== UWAGA
    HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== UWAGA
    HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== UWAGA
    HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== UWAGA
    HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== UWAGA
    HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== UWAGA
    HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== UWAGA
    HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== UWAGA
    HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== UWAGA
    HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== UWAGA
    HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== UWAGA
    HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== UWAGA
    HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== UWAGA
    HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== UWAGA




    HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== UWAGA
    HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== UWAGA
    HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== UWAGA
    HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== UWAGA
    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== UWAGA
    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== UWAGA
    HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== UWAGA
    HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== UWAGA
    HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== UWAGA
    HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== UWAGA
    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== UWAGA
    HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== UWAGA
    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== UWAGA
    HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== UWAGA
    HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== UWAGA
    HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== UWAGA
    HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-3442732590-611199381-3682100418-1000\...\Run: [FloralFire] => "C:\Windows\rss\csrss.exe" <==== UWAGA
    GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    Winsock: Catalog5 05 C:\Program Files (x86)\Bonjour\mdnsNSP.dll => Brak pliku
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-3442732590-611199381-3682100418-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...DveMBP8NBRHr8xmnfwTQ4nQYjFBUHMbif4cw,,&q={searchTerms}
    HKU\S-1-5-21-3442732590-611199381-3682100418-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...Fb1ssJ85CpfPTJ9LFJFq7kiiMbjPQTKj9VHSqcPDHow,,,,
    HKU\S-1-5-21-3442732590-611199381-3682100418-501\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://pl.msn.com/
    SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts...amp;uid=SAMSUNGXHD103SJ_S246J9FZ924484&q={searchTerms}
    SearchScopes: HKLM-x32 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts...amp;uid=SAMSUNGXHD103SJ_S246J9FZ924484&q={searchTerms}
    SearchScopes: HKU\S-1-5-19 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-20 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3442732590-611199381-3682100418-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3442732590-611199381-3682100418-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts...amp;uid=SAMSUNGXHD103SJ_S246J9FZ924484&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3442732590-611199381-3682100418-1000 -> {CA6F8D87-0165-4BCE-B569-B03BFD77CF4C} URL = hxxps://www.google.com/search?q={searchTerms}
    BHO: Brak nazwy -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> Brak pliku
    BHO-x32: Brak nazwy -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> Brak pliku
    FF HKU\S-1-5-21-3442732590-611199381-3682100418-1000\...\Firefox\Extensions: [{b9aa91db-385d-4c69-8a2f-96790aa9405b}] - c:\program files (x86)\copernic\desktopsearch4\firefoxconnector => nie znaleziono
    FF HKU\S-1-5-21-3442732590-611199381-3682100418-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi => nie znaleziono
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Brak pliku]
    FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Brak pliku]
    CHR res: Zainfekowany resources.pak (Adware script). Przeinstaluj Chrome. <==== UWAGA
    CHR HKU\S-1-5-21-3442732590-611199381-3682100418-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cnnbdaahphjgdgfhliignpepgnbnfomp] - c:\program files (x86)\copernic\desktopsearch4\ChromeConnector\ChromeConnector.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
    R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA
    R2 WNetworkMgmt; C:\ProgramData\Microsoft\Windows\WNetworkMgmt\WNetworkMgmt.exe [6232185 2018-05-22] () [Brak podpisu cyfrowego] <==== UWAGA
    S3 Netman; %SystemRoot%\System32\netman.dll [X]
    S2 SoftwareUpdater; "C:\Users\oem\AppData\Roaming\Software Updater\SoftwareUpdater.exe" [X]
    U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
    U3 a2n7ylah; C:\Windows\System32\Drivers\a2n7ylah.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    2018-05-31 00:27 - 2014-04-13 09:27 - 000000000 ____D C:\AdwCleaner


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    Po wykonaniu, puść skanowanie MBAM i usuń to co wykryje =>
    https://www.malwarebytes.org/dl-confirm/

    0
  • #3 31 Maj 2018 16:27
    Flocculus
    Poziom 3  

    No ok, zrobiłem i wywalił mi neta więc nie mogę zeskanować, mam komunikat 'serwer proxy działa nieprawidlowo'

    0
  • #4 31 Maj 2018 16:37
    RADU23
    Moderator - Komputery Serwis

    Jaki masz obecnie DNS?.

    Zamieść ponownie logi z FRST.

    0
  • #5 31 Maj 2018 17:04
    Flocculus
    Poziom 3  

    31.11.202.254 z logami będzie problem bo net

    Dodano po 10 [minuty]:

    ok, jakoś sobie poradziłem internety działają, skanuje i zobaczę czy reszta problemów się rozwiąze

    Dodano po 9 [minuty]:

    Jak staram się uruchomić Malwarebytes "System Windows nie może uzyskać dostępu do określonego rządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzsyskać dostęp do elementu.""

    dorzucam skany

    0
  • #6 31 Maj 2018 17:24
    RADU23
    Moderator - Komputery Serwis

    Wykonaj jeszcze taki fixlist:

    Cytat:
    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== UWAGA
    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== UWAGA
    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== UWAGA
    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== UWAGA
    HKU\S-1-5-21-3442732590-611199381-3682100418-1000\...\Run: [FloralFire] => C:\Windows\rss\csrss.exe [3167232 2018-05-31] () <==== UWAGA
    SearchScopes: HKU\S-1-5-21-3442732590-611199381-3682100418-1000 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3442732590-611199381-3682100418-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
    CHR res: Zainfekowany resources.pak (Adware script). Przeinstaluj Chrome. <==== UWAGA
    R2 WinDefender; C:\Windows\windefender.exe [0 ] () <==== UWAGA (zerobajtowy plik/folder)
    R2 TCPSvc; "C:\Users\oem\AppData\Local\Temp\csrss\proxy\tor.exe" --nt-service -f "C:\Users\oem\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\oem\AppData\Local\Temp\csrss\proxy\t" <==== UWAGA
    R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== UWAGA (zerobajtowy plik/folder)
    R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== UWAGA (zerobajtowy plik/folder)
    U3 a2paxco8; C:\Windows\System32\Drivers\a2paxco8.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)


    Dodano po 1 [minuty]:

    Flocculus napisał:
    Jak staram się uruchomić Malwarebytes "System Windows nie może uzyskać dostępu do określonego rządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzsyskać dostęp do elementu.""

    Uruchamiasz z poziomu Administratora?

    0
  • #8 31 Maj 2018 18:05
    RADU23
    Moderator - Komputery Serwis

    Straszny bałagan. Widać w logach że używałeś Combofix'a.
    Wejdź w menadżer urządzeń i sprawdź czy nie ma jakiś żółtych wykrzykników.

    0
  • #9 31 Maj 2018 18:12
    Flocculus
    Poziom 3  

    Tja, wiem, ogólnie pewnie format by już się przydał ale jakoś nie mam kiedy zrobić kopii zapasowej plików :/

    Co do wykrzykników żółtych to tylko przy kamerce USB płacze, ale to już nie od dziś i nie od wczoraj i tak nie używam jej, po za tym czysto.

    0