x-kom hosting

Malwarebytes Anti-Rootkit1.10.3.1001

Przejdź do rekomendowanej odpowiedzi Autor: Bromidum ,
Kreska 85
utworzono
utworzono

Witam,

 

Bardzo rzadko korzystam z laptopa chociaż systematycznie go czyszczę. Mam nortona (pełna wersja), spybota, AdwCleaner i Malwarebytes. Nie instalowałam żadnego oprogramowania jakiś czas już, jedynie aktualizacje Windows Update. Wczoraj bardzo powoli włączał się laptop. Sprawdziłam czy coś się do niego nie zaplątało. Przeczyściłam go wszystkim co miałam i jedynie Malwarebytes podał mi informacje (przy aktualizacji sygnatury wirusów): failed: host not found. Mimo to skanowałam i wyszło mi 6 Trojan.FakeMS. Usunęłam je. Znowu przeskanowałam: usunął ale nadal była informacja o hoście. Zastanawiałam się czy nie miałam starej wersji. Poszperałam po necie. Ale na stronie Malwarebytes nie mogłam ściągnąć tego programu (chyba go już nie ma). Czy to możliwe, że firma nie aktualizuje już tego programu a mnie zaktualizowało starą sygnaturę?czy to tzw. trojan fałszywie pozytywny?

Zaznaczam że moja wiedza na temat komputerów jest bardzo prosta i ogólna:)

Dziękuję i Pozdrawiam 

Bromidum
komentarz
komentarz (edytowane)

SpyBot to potencjalnie niepożądana aplikacja. Odinstaluj ją. Najpewniej masz też problem z hosts/DNS.


1) RogueKiller Anti Malwarehttps://www.adlice.com/roguekiller/#alt_download

Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).   
 

2) Podrzuć logi FRST - https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/, które wygenerujesz w programie opcją „skanuj”.

Powstałe pliki tekstowe „frst.txt” oraz „addition.txt” udostępnij na forum jako załącznik. 
 

 

Kreska 85
komentarz
komentarz
Bromidum
komentarz
komentarz

Nie mogę pobrać logów. Załącz je na pastebinie - https://pastebin.com/ :) 

Kreska 85
komentarz
komentarz
Bromidum
komentarz
komentarz (edytowane)

1) Odinstaluj: 

- Microsoft Silverlight

- AdBlock

 

Zamienniki:

- WPS Office (możesz zamienić na LibreOffice ) 
- Absolute Uninstaller I Revo Uninstaller (możesz zamienić na GeekUninstaller)
 

2) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →


 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-171645121-325608834-1885081881-1001\...\Run: [MicrosoftEdgeAutoLaunch_121FB5285017CD5337FF6820981C17BA] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [4081192 2024-05-14] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-171645121-325608834-1885081881-1001\...\Run: [GoogleChromeAutoLaunch_059CF66619EA6FC1E0052E2C4DA43B47] => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5 [2790176 2024-05-10] (Google LLC -> Google LLC)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {841702C9-7AC5-4A5A-86C9-27C9E573DE11} - System32\Tasks\AdwCleaner_onReboot => C:\Users\top30\Desktop\Oczyszczanie\adwcleaner_8.0.6.exe  /r (Brak pliku)
Task: {9547B663-2052-4D75-AABB-CE3C9A96C8AA} - System32\Tasks\Apple Diagnostics => C:\Users\top30\AppData\Local\Microsoft\WindowsApps\eReporter-AppX.exe [0 2024-02-19] () [symlink -> ]
Task: {A11E250A-946B-4B63-8845-5793BB8531A8} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2113024 2024-04-10] () [Brak podpisu cyfrowego]
Task: {3A361B4F-70B4-4622-98CF-E6747810528F} - System32\Tasks\Microsoft\Office\Office Automatic Updates 2.0 => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [28436048 2024-05-07] (Microsoft Corporation -> Microsoft Corporation)
Task: {EEC110A4-B639-408A-86A1-1A02EA7465AE} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [28436048 2024-05-07] (Microsoft Corporation -> Microsoft Corporation)
Task: {93FAE548-6BCC-414B-9F0F-3259BFE9614F} - System32\Tasks\Microsoft\Office\Office Feature Updates => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe [309936 2024-05-09] (Microsoft Corporation -> Microsoft Corporation)
Task: {6500D326-0BD9-443C-85A7-989E86DAEFA2} - System32\Tasks\Microsoft\Office\Office Feature Updates Logon => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe [309936 2024-05-09] (Microsoft Corporation -> Microsoft Corporation)
Task: {4B91BAC5-8EB1-4179-B835-B91FB4F5611E} - System32\Tasks\Microsoft\Office\Office Performance Monitor => C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\OFFICE16\operfmon.exe [168928 2024-05-09] (Microsoft Corporation -> Microsoft Corporation)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Brak pliku)
Task: {291BAA4D-FB01-469F-9F60-1D32C6D01A4B} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe  LogonUpdateResults (Brak pliku)
Task: {09DAE85A-8FCC-4151-A84B-A03ED8AEDCF5} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC ReadyToReboot (Brak pliku)
Task: {D39BCCC3-A853-492E-8508-7954B4D5AFBB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery ReadyToReboot (Brak pliku)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Brak pliku)
Task: {C47869D5-4E8E-46D6-9C23-2C79201AC60C} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Autofix => C:\Program Files\Norton Security\Engine\22.20.2.57\SymErr.exe  /ui (Brak pliku)
Task: {0D7295C0-31B9-4C8B-BED0-F9C9B7A741BF} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Error Analyzer => C:\Program Files\Norton Security\Engine\22.20.2.57\SymErr.exe  /analyze (Brak pliku)
Task: {12FC1130-74A6-47BC-A0AC-C719B4F17D0A} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Error Processor => C:\Program Files\Norton Security\Engine\22.20.2.57\SymErr.exe  /submit (Brak pliku)
Task: {845120E1-F39F-40C6-95B2-E174D76F669F} - System32\Tasks\Norton Security\Norton Security Autofix => C:\Program Files\Norton Security\Engine\22.20.5.39\SymErr.exe  /ui (Brak pliku)
Task: {FFC09320-5805-46E0-9F0A-62BAF99FC59F} - System32\Tasks\Norton Security\Norton Security Error Analyzer => C:\Program Files\Norton Security\Engine\22.20.5.39\SymErr.exe  /analyze (Brak pliku)
Task: {D937FEAF-DC4F-486D-B125-F669F5B95D14} - System32\Tasks\Norton Security\Norton Security Error Processor => C:\Program Files\Norton Security\Engine\22.20.5.39\SymErr.exe  /submit (Brak pliku)
Task: {DEB0D24C-548B-430D-A3BB-045ACE447391} - System32\Tasks\Oem\AcerJumpstartTask => "C:\Program Files (x86)\Acer\Acer Jumpstart\hermes.exe"  /default (Brak pliku)
Task: {7A497FDA-63F1-4155-A8B3-0236B3DA86B9} - System32\Tasks\WpsExternal_top30_20240508224232 => C:\Users\top30\AppData\Local\Kingsoft\WPS Office\12.2.0.16909\office6\wpscloudsvr.exe [980880 2024-05-08] (Zhuhai Kingsoft Office Software Co., Ltd. -> Zhuhai Kingsoft Office Software Co.,Ltd) -> /wpscloudlaunch /run_plugin /plugin_name=ktaskschdtool /plugin_entry=ktaskschdtool.dll /task=wpsexternal /launchtask /ver=1.0 /start_from=task_external
Task: {463A116F-74E4-4745-89EF-64277BB1E2F1} - System32\Tasks\WpsUpdateTask_top30 => C:\Users\top30\AppData\Local\Kingsoft\WPS Office\12.2.0.16909\office6\wpsupdate.exe [1531280 2024-05-08] (Zhuhai Kingsoft Office Software Co., Ltd. -> Zhuhai Kingsoft Office Software Co.,Ltd)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{37fa67e1-138f-4329-9940-a841024c0398}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{37fa67e1-138f-4329-9940-a841024c0398}: [DhcpDomain] home
Tcpip\..\Interfaces\{37fa67e1-138f-4329-9940-a841024c0398}\55053434345414939323: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{37fa67e1-138f-4329-9940-a841024c0398}\55053434345414939323: [DhcpDomain] home
Tcpip\..\Interfaces\{d2a69ba1-fd6c-4abd-8cd5-c016cdf8e7b3}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{d2a69ba1-fd6c-4abd-8cd5-c016cdf8e7b3}: [DhcpDomain] home
Edge DefaultSearchURL: Default -> hxxps://nortonsafe.search.ask.com/web?omnisearch=yes&q={searchTerms}
Edge DefaultSearchKeyword: Default -> nortonsafe
Edge DefaultSuggestURL: Default -> hxxps://ss-sym.search.ask.com/ss?limit=10&li=ff&hl=pl&q={searchTerms}
C:\Users\top30\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bdaafgjhhjkdplpffldcncdignokfkbo
C:\Users\top30\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ikkagnliefbhcdgnnhfidhhbocdhkdeb
C:\Users\top30\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ndcileolkflehcjpmjnfbnaibdcgglog
C:\Users\top30\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\okplngpklcjmpdemleibnhidjihcobef
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\eset_security_config_overlay.js [2020-03-22]
CHR DefaultSearchURL: Default -> hxxps://searchsafe.norton.com/search?omnisearch=yes&q={searchTerms}
CHR DefaultSearchKeyword: Default -> Norton
CHR DefaultSuggestURL: Default -> hxxps://ss-sym.search.ask.com/ss?limit=10&li=ff&hl=pl&q={searchTerms}
C:\Users\top30\AppData\Local\Google\Chrome\User Data\Default\Extensions\fnpbeacklnhmkkilekogeiekaglbmmka
C:\Users\top30\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
C:\Users\top30\AppData\Local\Google\Chrome\User Data\Default\Extensions\mhffmephdchhhbfjmdpoaldedhhdanbn
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg]
2024-05-15 07:16 - 2020-05-13 16:17 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2024-05-15 06:58 - 2020-05-13 16:17 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\IObit
AV: Spybot - Search and Destroy (Disabled - Out of date) {F77C7796-45C4-531E-0DAE-B4A8229B11C8}
AV: ESET Security (Disabled - Up to date) {885D845F-AF19-0124-FECE-FFF49D00F440}
FW: ESET Zapora (Enabled) {B066057A-E576-007C-D591-56C163D3B33B}
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Brak pliku
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Brak pliku
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Brak pliku
ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Brak pliku
ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Brak pliku
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Brak pliku
ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Brak pliku
ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Brak pliku
AlternateDataStreams: C:\Users\top30\OneDrive\Pulpit\ausetup.exe:MBAM.Zone.Identifier [118]
AlternateDataStreams: C:\Users\top30\OneDrive\Pulpit\FRST64.exe:MBAM.Zone.Identifier [240]
AlternateDataStreams: C:\Users\top30\OneDrive\Pulpit\mojelacze.url:com.dropbox.attrs [54]
SearchScopes: HKU\S-1-5-21-171645121-325608834-1885081881-1001 -> DefaultScope {460AE0CD-784B-4AD1-A2CD-6BF20E208AD2} URL = 
SearchScopes: HKU\S-1-5-21-171645121-325608834-1885081881-1001 -> {460AE0CD-784B-4AD1-A2CD-6BF20E208AD2} URL = 
BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll [2024-04-04] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Norton Password Manager -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> C:\Program Files\Norton Security\Engine32\22.22.9.11\coIEPlg.dll => Brak pliku
Toolbar: HKLM-x32 - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine32\22.22.9.11\coIEPlg.dll Brak pliku
EmptyEventLogs:
Hosts:
CMD: DISM.exe /Online /Cleanup-image /Restorehealth 
CMD: sfc /scannow  
EmptyTemp:

 

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt  

 

 

3) Dodatkowe porady

 

Zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) 

Aby sprawdzić czy poprawnie skonfigurowałeś serwer DNS odwiedź stronę https://on.quad9.net

 

Poradnik do Chrome → https://soo.bearblog.dev/chrome/ (zwróć uwagę na rozszerzenia, zamień AdBlocka na uBlock Origin).

Kreska 85
komentarz
komentarz

Aplikacje, które miałam usunęłam a proponowane zainstalowałam^_^ Norton uznał program FRST.exe za bezpieczny po czym gdy chcę wykonać polecony skrypt usuwa mi ten program i skrypt uznając go za niebezpieczny.  Używam WIFI, Ethernet mam wyłączony. Czy mogę zmienić serwer DNS w WIFI?

Bromidum
komentarz
komentarz (edytowane)

Na czas wykonania skryptu należy wyłączyć osłony antywirusa. To wynik fałszywie dodatni.
Tak, należy ustawić na Wi-Fi. :) 

 

Czy RogueKiller znalazł jakieś niepożądane elementy? 

Kreska 85
komentarz
komentarz

Fixlog.txt

Wykrył coś z Amazonem, ale usunęłam to ^_^

Bromidum
komentarz
komentarz

Jest poprawa? Można stworzyć nowe logi FRST celem kontroli. :) 

Kreska 85
komentarz
komentarz

Widzę zdecydowanie poprawę. Dziękuję 

  • Rekomendowana odpowiedź
Bromidum
komentarz
komentarz

W takim razie to wszystko.

 

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik.

Procedura wymaga ponownego uruchomienia urządzenia. 

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.