Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus zamykający przeglądarkę i programy antywirusowe

ForesterPL 31 Sie 2018 19:12 294 18
  • #1 31 Sie 2018 19:12
    ForesterPL
    Poziom 4  

    Witam
    mam problem z wirusem otwiera co jakiś czas reklamy gier i portali w przeglądarce,
    dodatkowo zamyka przeglądarki po wpisaniu : adware malware itp..
    zablokował mi również możliwość odpalenia trybu awaryjnego z panelu logowania windows 10
    musiałem wymusić to ryzykując kilkoma resetami .
    Załączam logi z FARBAR:

    0 18
  • Pomocny post
    #2 31 Sie 2018 19:19
    safbot1st
    Poziom 43  

    Wykonaj taki fixlist.txt:

    CloseProcesses:
    Task: {28F2F964-939B-4A53-98C8-CCE5397D0328} - System32\Tasks\{56B169F9-23C8-382A-D4CB-BCC6AA032864} => C:\Users\raf07\AppData\Roaming\itEVi.exe [2018-04-12] (Microsoft Corporation) <==== UWAGA
    2018-08-31 14:58 - 2018-08-31 14:58 - 000000000 _____ C:\Users\raf07\AppData\Local\{068FB1FC-4A41-4F55-B789-944AFCE8B3D2}
    2018-08-29 17:58 - 2018-08-31 18:54 - 000000000 ____D C:\WINDOWS\{B58AFBDA-7D5B-40C0-BE79-D9F3286E2165}
    2018-08-29 15:58 - 2018-08-29 15:58 - 000003874 _____ C:\WINDOWS\System32\Tasks\{97C30BEE-56F3-F74D-3AAC-C953248C59A6}
    2018-08-29 15:58 - 2018-08-29 15:58 - 000003790 _____ C:\WINDOWS\System32\Tasks\{937B7CE3-803A-AE58-3C24-E44B19009D5A}
    2018-08-29 15:58 - 2018-08-29 15:58 - 000003582 _____ C:\WINDOWS\System32\Tasks\{56B169F9-23C8-382A-D4CB-BCC6AA032864}
    2018-08-29 15:58 - 2018-08-29 15:58 - 000000002 _____ C:\Users\raf07\AppData\Local\imw.ini
    2018-08-15 11:34 - 2018-08-03 03:54 - 000001312 _____ C:\WINDOWS\system32\tcbres.wim
    2018-04-12 01:34 - 2018-04-12 01:34 - 000060416 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\ENDj.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000060416 ____N (Microsoft Corporation) C:\Users\raf07\AppData\Roaming\itEVi.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Users\raf07\AppData\Roaming\wYoanprb.exe
    2018-08-29 15:58 - 2018-08-29 15:58 - 000000002 _____ () C:\Users\raf07\AppData\Local\imw.ini
    2018-08-31 14:58 - 2018-08-31 14:58 - 000000000 _____ () C:\Users\raf07\AppData\Local\{068FB1FC-4A41-4F55-B789-944AFCE8B3D2}
    FirewallRules: [{C12539FB-A832-4A87-92D4-C9CF1EDC4743}] => (Allow) C:\Program Files (x86)\Common Files\ENDj.exe
    FirewallRules: [{D44B6E47-A149-4643-A8F5-9AC5C623DF58}] => (Allow) C:\Users\raf07\AppData\Roaming\itEVi.exe
    EmptyTemp:

    0
  • #3 31 Sie 2018 20:11
    ForesterPL
    Poziom 4  

    Dzięki
    Problem rozwiązany.

    Dodano po 22 [minuty]:

    Jednak to nie koniec .
    Komputer już nie zamyka programów typu Farbar , oraz przeglądarki po wpisaniu pewnych chaseł.
    Jednak reklama gry znowu się otworzyła w FireFox.

    Dodam jeszcze że 2dni wcześniej wystąpił problem z programem OpenOffice
    Nagle nie mogłem zapisać zmian w pliku , na dysku systemowym ,a Windows zaczął wyświetlać komunikat o blokadzie dostępu do dysku C:\
    Po zmianie opcji "kontrolowany dostęp do folderu" na wyłączone problem ustąpił ,a dzisiaj zaczęła wariować przeglądarka z tym zamykaniem .

    0
  • #4 31 Sie 2018 20:36
    safbot1st
    Poziom 43  

    Zamieść ponownie logi z FRST.

    ForesterPL napisał:
    Jednak reklama gry znowu się otworzyła w FireFox.

    Gdzie w "Firefox"? Może ta reklama tam się otwiera normalnie.

    0
  • Pomocny post
    #6 31 Sie 2018 20:58
    safbot1st
    Poziom 43  

    Otwórz notatnik systemowy i wklej:

    Code:


    CloseProcesses:
    2018-08-31 12:19 - 2018-08-31 19:06 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
    2018-08-05 09:38 - 2018-08-05 09:38 - 000249856 ____N (Microsoft Corporation) C:\WINDOWS\Setup1.exe
    2018-08-05 09:38 - 2018-08-05 09:38 - 000073216 _____ (Microsoft Corporation) C:\WINDOWS\ST6UNST.EXE
    2018-08-03 11:52 - 2018-08-03 11:52 - 000000000 ____D C:\Users\raf07\AppData\Roaming\TDAgg
    2018-08-03 11:52 - 2018-08-03 11:52 - 000000000 ____D C:\Users\raf07\AppData\Local\TDAgg
    2018-08-03 11:52 - 2018-08-03 11:52 - 000000000 ____D C:\ProgramData\TDAgg
    2018-08-01 08:19 - 2018-07-30 22:41 - 000000000 ____D C:\Program Files (x86)\Nmana
    2018-08-01 03:43 - 2018-06-21 10:10 - 000000000 ____D C:\ProgramData\Packages
    Task: {76666809-4601-484D-B672-C5A4778D756F} - \{97C30BEE-56F3-F74D-3AAC-C953248C59A6} -> Brak pliku <==== UWAGA
    Task: {C2B55E74-47BB-4D44-A180-CA1A82D4CE81} - \{937B7CE3-803A-AE58-3C24-E44B19009D5A} -> Brak pliku <==== UWAGA
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #7 31 Sie 2018 21:08
    Kolobos
    Spec od komputerów

    Jeszcze to:
    Task: {76666809-4601-484D-B672-C5A4778D756F} - \{97C30BEE-56F3-F74D-3AAC-C953248C59A6} -> Brak pliku <==== UWAGA
    Task: {C2B55E74-47BB-4D44-A180-CA1A82D4CE81} - \{937B7CE3-803A-AE58-3C24-E44B19009D5A} -> Brak pliku <==== UWAGA
    2018-08-31 16:58 - 2018-08-31 16:58 - 000115848 _____ C:\Users\raf07\Downloads\Extras.Txt
    2018-08-31 16:57 - 2018-08-31 16:57 - 000262930 _____ C:\Users\raf07\Downloads\OTL.Txt
    2018-08-31 16:52 - 2018-08-31 16:52 - 000602112 _____ (OldTimer Tools) C:\Users\raf07\Downloads\OTL.exe
    2018-08-31 16:52 - 2018-08-31 16:52 - 000602112 _____ (OldTimer Tools) C:\Users\raf07\Downloads\OTL(1).exe
    2018-08-31 16:42 - 2018-08-31 16:43 - 177528848 _____ C:\Users\raf07\Downloads\launch(1).exe
    2018-08-31 14:46 - 2018-08-31 14:46 - 001785161 _____ (Mag ) C:\Users\raf07\Downloads\CCleaner-13061-AsystentPobierania_2962379953.exe
    2018-08-31 14:46 - 2018-08-31 14:46 - 001785161 _____ (Mag ) C:\Users\raf07\Downloads\CCleaner-13061-AsystentPobierania_0422379262.exe
    2018-08-28 07:26 - 2018-08-30 08:42 - 000000000 ____D C:\Users\raf07\AppData\Roaming\FileAdvisor
    2018-08-27 17:17 - 2018-08-27 17:19 - 000000000 ____D C:\Users\raf07\AppData\Roaming\AdvertismentImages

    Do tego:
    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • #8 01 Wrz 2018 09:28
    ForesterPL
    Poziom 4  

    Po wgraniu następnych logów od safbot1st
    Żadna reklama już się nie otwiera.

    Dzisiaj jeszcze wgrałem logi od kolobos
    a po przeskanowaniu AdwClener znaleziono 3 zagrożenia które są już skasowane

    podczas instalacji MB wystąpił taki błąd załączam screnshota: Wirus zamykający przeglądarkę i programy antywirusowe mimo to program zadziałał prawidło i nie wykrył zagrożenia .

    Wygląda na to że już wszystko działa prawidłowo.
    Na koniec mam jeszcze bardzo nurtujące pytanie związane z tym złośliwym ustrojstwem .
    Krótka historia jak pojawił się cały problem u mnie na komputerze :

    Pierwsze zjawiska jakie odnotowałem to mrugnięcia ekranu takie same jak podczas gdy firma serwisowa jakiegoś systemu loguje się na czyimś komputerze.
    Nic innego się nie działo do dnia 28.08.2018r. Kiedy system Windows zaczął blokować dostęp do dysku C(systemowy) przykładowo co chwile pojawiał się komunikat o zablokowanym dostępie na dysku C.
    Następnie podczas mojej nieudanej próby zapisania zmian w programie office również zblokowało mi tą możliwość z tego względu że plik znajduje się na pulpicie czyli dysku C.
    Przeskanowałem dokładnie komputer w poszukiwaniu zagrożeń kilka z nich zostało odnalezione i przeniesione do kwarantanny następnie skasowane . Zaczęło mnie zastanawiać czy Windows zablokował dostęp do C poprzez "kontrolowany dostęp do folderów" z powodu skanowania i wykrytych wcześniej zagrożeń . Znalazłem rozwiązanie na brak możliwości wprowadzania zmian na dysku systemowym .Wyłączając funkcje kontrolowany dostęp mogłem zapisywać pliki bez problemu . A 31.08.2018r Przeglądarka zaczęła wariować co jakiś czas odpalając reklamę jakiś dziwnie podejrzanych portali ,gier np.metalgod , league of angels , a nawet raz sexbadoo .Mało tego ku memu zdziwieniu po wpisania haseł z wiązanych z antywirusem naprawą takich problemów np. adware,malware ,farbar zamykało przeglądarkę oraz wszystkie programy którymi można rozwiązać taki problem .Dodatkowo zablokowało mi możliwość odpalenia trybu awaryjnego z panelu logowania Windowsa 10 który mimo wszystko udało mi się wymusić poprzez ryzykowne resetartowanie systemu. Dzięki pomocy forum gdzie nie nieraz już się z czymś takim uporali udało mi się pozbyć problemu . Po wgraniu kilku naprawczych logów problem wygląda na rozwiązany . Tylko dalej zastanawia mnie ten Kontrolowany dostęp do folderów , czy u innych użytkowników ta opcja jest automatycznie aktywowana i niema problemu z zapisaniem zmian w notatniku na dysku C(systemowym).
    Wiem że można ustawić wyjątki dla każdego poszczególnego programu z osobna .

    Najważniejsze pytanie:
    Czy kontrolowany dostęp do folderów jest ustawieniem aktywnym automatycznie ?
    Jak to wygląda u innych użytkowników Windows 10 ?

    0
  • #9 16 Wrz 2018 09:36
    ForesterPL
    Poziom 4  

    Witam po przerwie . Znów pojawił się problem z moim komputerem :
    Co jakiś czas mruga mi ekran monitora na czarno , jak sądzę ktoś mi się włamuje na komputer.(wspomniałem o tym w wcześniejszym poście)
    Może to wydać się absurdalne , myślę że może to być :
    --inwigilacja ktoś ma wtykę w UPC i przez to mnie szpieguje
    --mniej realne że to skorumpowany i zły rząd przy użyciu najnowszych wynalazków :) (np. złodzieje z wojska bez obrazy dla tych dobrych i honorowych)
    --administracja z gry Median XL tylko dlatego że problemy zaczęły się w tym samym czasie kiedy chciałem zainstalować Diablo 2 wymagane do grania ( fajna gierka klasyczna ). Więc to tylko przypuszczenie i nie chcę oczerniać

    W dniu dzisiejszym nie mogę zalogować się do systemu Windows 10 na ekranie logowania nie działa mi klawiatura . Po włączeniu opcji narrator przyciskając klawisz (klawiatura zwykła i wirtualna) mówi : ukryty , ukryty , ukryty ... oprócz caps locka i entera.

    Logi z FarBar

    Jeśli to faktycznie są włamania to dobrze było by ich złapać i dać nauczkę . Więc jeśli ktoś zna dobry program lub sposoby na darmową walkę to proszę o podpowiedz .

    0
  • #10 16 Wrz 2018 10:23
    Kolobos
    Spec od komputerów

    Nie ma to zwiazku z tematyka tego dzialu. Napisz w dziale hardware.

    Nik Cie nie szpieguje i nie masz infekcji.

    Sprawdz ram, dysk, temperatury itd.

    0
  • #11 16 Wrz 2018 13:31
    ForesterPL
    Poziom 4  

    Podzespoły działają prawidłowo temperatury w normie .
    Tylko nie mogę wejść do biosa bo przy odpaleniu komputera mam już zablokowaną klawiaturę tak samo jak panel logowania do windows .
    Dopiero jak kliknę że nie pamiętam PINu do logowania i wpisaniu nowego kodu zabezpieczającego można zrezygnować z zmiany nowego PINu ,a klawiatura po tym jest odblokowana.

    0
  • #12 16 Wrz 2018 13:35
    Kolobos
    Spec od komputerów

    Naciskaj klawisz odpowiedzialny za wejscie do biosu zanim jeszcze nacisniesz wlacznik i naciskaj caly czas.

    0
  • #13 16 Wrz 2018 14:22
    ForesterPL
    Poziom 4  

    za drugim razem odpalił się bios w którym nie widać żadnych awarrii wszystkie temperatuy w normie

    za to jak przytrzymam DEL chwile później to klawiaturę mam odblokowaną.
    Jak dla mnie ktoś się loguje lub są to te najnowsze niewykrywalne ustrojstwa i przez to mam takie awarie!!

    0
  • #14 16 Wrz 2018 14:24
    Kolobos
    Spec od komputerów

    To laptop czy komputer stacjonarny? Klawiature masz pod usb czy ps/2?

    Po co ktos mialby sie logowac? Odlacz internet i wtedy latwo sprawdzisz, ze nikt sie nie loguje, a jedynie sobie wymyslasz.

    0
  • #15 16 Wrz 2018 14:38
    ForesterPL
    Poziom 4  

    Stacjonarka, podłączałem już klawiaturę pod inne wejścia i nie pomogło, a co do tego logowania posiedzę jakiś czas bez internetu i zobaczę czy mi ekran mrugnie.

    0
  • #16 16 Wrz 2018 14:44
    Kolobos
    Spec od komputerów

    Czy mozesz odpowiadac na pytania? W biosie masz wloaczona opcje USB Keyboard Support?

    0
  • #17 16 Wrz 2018 16:22
    ForesterPL
    Poziom 4  

    Wychodzi na to że to nie jest już żaden adware tylko jednak hakerstwo . Patrze właśnie na logi z CMD netstat i przyłapałem już raz adresy które się włamują . Myślę że instalacje dodatkowych programów raczej pójdą na marne jeśli sama zapora Windows defender tego nie zablokuje . Szczerze powiedziawszy nie zostaje nic jak tylko zgłosić się do organów sprawiedliwości i oskarżyć kogoś o inwigilację Art 267 par 1kk : podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 .

    Na chwile obecna ataki ucichły i nawet panel mam odblokowany .

    0
  • #18 16 Wrz 2018 16:29
    Kolobos
    Spec od komputerów

    Mysle, ze popadasz w paranoje, do tego nie do konca rozumiesz wyniki netstat.

    0
  • #19 16 Wrz 2018 16:47
    ForesterPL
    Poziom 4  

    Muszę przyznać że do końca nie znam się na CMD nie studiowałem tego oraz w tym nie siedzę ,a niektóre wnioski mogą być pochopne .
    Ostatnie czy jest jakiś dobry darmowy program lub sposób aby przyłapać przysłowiowego drania , który teoretycznie włamywał by się na komputer

    Jeśli to tylko przypadek to jak mogę wytłumaczyć zablokowaną klawiaturę:
    zwarcie w kablu , złe napięcia na stykach :) sytuacja w której wciskając wszystkie guziki narrator mówi : ukrty, ukryty ,a na enterach enter ,a po powrocie do panelu po anulowanej zmianie pinu wszystko działa
    i cała akcja z tym przytrzymaniem DEL w stylu przebicia się przez energie blokująca dostęp .

    W chwili obecnej ten problem nie występuje i nie ma mrugnięcia ekranu .

    0