Infekcja blokuje antywirusy (uruchomienie lub instalacja), przekierowania w przeglądarce


(Wiruuus) #1

Witam

Sprzęt: laptop - Lenovo Z51
System: Windows 10 Home x64

Kilka dni temu przeglądarka zaczęła robić przekierowania (w losowych momentach otwiera nowe karty). Dodatkowo notorycznie zmienia wyszukiwarkę pomimo oczyszczenia skrótu i przywrócenia ustawień przeglądarki. Postanowiłem przeskanować system. Defender wykrył kilka zagrożeń, ale po ich usunięciu sytuacja się nie poprawiła. Zainstalowałem COMODO który po reboocie nie uruchomił się a jedynie wyłączył Defendera. Aktualnie nie jestem w stanie uruchomić żadnego skanera antywirusowego, ani nic co ma związek z czyszczeniem. (ADWcleaner, Malwwarebyte Anti-malware, Avast i Avg)

Skan FRST wykonałem w trybie awaryjnym ponieważ on również jest blokowany kiedy system jest załadowany w całości.

FRST.txt
http://www.wklej.org/id/3106103/

Addition.txt
http://www.wklej.org/id/3106105/

Shortcut.txt
http://www.wklej.org/id/3106106/

Wszelkie dodatkowe skany mogę chwilowo wykonać jednie w trybie awaryjnym lub z live CD.

Proszę o poradę.


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses: HKU\S-1-5-21-2867160299-490600911-3384762635-1001\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [4674360 2017-03-04] (Microsoft Corporation) <==== UWAGA HKLM\...\Providers\1t4fxwyy: C:\Program Files (x86)\Arejutain Manager\local64spl.dll [308736 2017-04-28] () ShellExecuteHooks: Brak nazwy - {D8687C74-2BBA-11E7-ABB7-64006A5CFC23} - -> Brak pliku HKU\S-1-5-21-2867160299-490600911-3384762635-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-2867160299-490600911-3384762635-1001 -> DefaultScope {31FE8570-418A-49BE-84C8-DC41B45FDE95} URL = SearchScopes: HKU\S-1-5-21-2867160299-490600911-3384762635-1001 -> {31FE8570-418A-49BE-84C8-DC41B45FDE95} URL = CHR Extension: () - C:\Users\joasi\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlcgehabolcakkjhgmgpkagpolbjlhfa [2017-04-28] CHR HKU\S-1-5-21-2867160299-490600911-3384762635-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx S2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S1 jaucloul; \??\C:\WINDOWS\system32\drivers\jaucloul.sys [X] 2017-05-06 12:37 - 2017-05-06 12:40 - 00000000 ____D C:\Users\joasi\Doctor Web 2017-04-28 18:29 - 2017-05-04 18:16 - 00000000 ____D C:\Users\joasi\AppData\Roaming\KGNelU6Uc0CAVLW2 2017-04-28 17:52 - 2017-05-04 11:52 - 00000000 ____D C:\AdwCleaner 2017-04-28 17:34 - 2017-04-28 17:44 - 00000000 ____D C:\Users\joasi\AppData\Roaming\Duqeing 2017-04-28 17:34 - 2017-04-28 17:35 - 00000000 ____D C:\Program Files (x86)\Phelaied 2017-04-28 17:34 - 2017-04-28 17:34 - 00000000 ____D C:\Users\joasi\AppData\Local\Anerlochdreesh 2017-04-28 17:34 - 2017-04-28 17:34 - 00000000 ____D C:\Program Files (x86)\Arejutain Manager 2017-04-28 17:33 - 2017-04-28 17:33 - 00000000 ____D C:\ProgramData\VideoMemoryDiagnostic 2017-04-28 17:33 - 2017-04-28 17:33 - 00000000 ____D C:\Program Files\PC Robotics 2017-04-28 17:32 - 2017-04-28 18:11 - 00005008 _____ C:\ProgramData\log.ewbt 2017-04-28 17:32 - 2017-04-28 18:11 - 00000128 _____ C:\ProgramData\log.ewbb 2017-04-28 18:11 - 2017-04-28 18:12 - 0000132 _____ () C:\ProgramData\log.binb 2017-05-04 10:50 - 2017-05-04 10:50 - 0319488 _____ () C:\ProgramData\smp2.exe Task: {028E0988-565F-4789-9FF6-2FAB3FDB49B6} - System32\Tasks\joasiElectrotheraputicRescheduleV2 => Rundll32.exe SlipupRumple.dll,main 7 1 <==== UWAGA Task: {5A69A70A-5457-4FBB-8250-3F2E8E994ADC} - System32\Tasks\SMW_UpdateTask_Time_313938333030393533382d235b783432415b45345a2d6c => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 <==== UWAGA C:\ProgramData\SearchModule Task: {786F836F-7379-4827-8545-BA8D72C6D66E} - System32\Tasks\PC Robotics => Rundll32.exe "C:\Program Files\PC Robotics\PC Robotics.dll",lOaxMDeMchV Task: {7C8C60BC-6698-457A-B281-6837253412C7} - System32\Tasks\Microsoft\Windows\MemoryDiagnostic\VideoMemoryDiagnostic => C:\\ProgramData\\VideoMemoryDiagnostic\\vmdiag.exe [2017-04-27] () MSCONFIG\Services: tw1520093 => 2 HKLM\...\StartupApproved\Run32: => "334bb8df6eb4462f0aec62fe45b50478" HKU\S-1-5-21-2867160299-490600911-3384762635-1001\...\StartupApproved\StartupFolder: => "334bb8df6eb4462f0aec62fe45b50478.exe" HKU\S-1-5-21-2867160299-490600911-3384762635-1001\...\StartupApproved\Run: => "gw64-core2 save settings" HKU\S-1-5-21-2867160299-490600911-3384762635-1001\...\StartupApproved\Run: => "334bb8df6eb4462f0aec62fe45b50478" RemoveProxy: EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(Wiruuus) #3

Wykonane

Fixlog:
http://www.wklej.org/id/3106119/

ponowny skan po reboocie:
http://www.wklej.org/id/3106120/


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

2017-04-28 18:50 - 2017-04-28 18:50 - 00000000 ____D C:\Users\joasi\AppData\Local\mpress 2017-05-07 01:39 - 2016-05-11 13:00 - 00000000 ____D C:\Users\joasi\AppData\LocalLow\Temp RemoveProxy: DeleteQuarantine:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST


(Wiruuus) #5

Zrobione. Jakieś jeszcze skany?

Jak na razie operacja nie wiele przyniosła. Nadal brak dostępu do Defendera i nadal system blokuje instalacja antyvira jako niezaufany dostawca. Przekierowania przeglądarki tez występują.

Przypominam, że skany i fixy robiłem w trybie awaryjnym ponieważ w pełnym program się zawiesza zanim cokolwiek zrobię. Dodatkowo otwiera się w zielonej obwódce (sandbox?)


(arapo) #6

@Wiruuus- Dostęp do Defendera został automatycznie zablokowany przez Comodo,
aby skan i fix przeprowadzić w normalnym trybie należy zresetować (sandbox) i aby wykonywane procesy i czynności FRST trybie poza piaskownicą. Zielona obwódka jest oznaką że wszystko co wykonujesz jest w izolowanym środowisku czyli w (Piaskownicy) - nie wiem jakie zrobiłeś ustawienia i jakie dałeś polecenia Comodo w trakcie tych czynności. Ponadto instalacja dodatkowego antywirusa nie jest wskazane - Comodo z racji ochrony systemy zawsze będzie blokował taki program i bez twojego zezwolenia nie uruchomisz takiego instalatora.


(Wiruuus) #7

Tyle ze nie zdążyłem nic ustawić w Comodo. Tylko go zainstalowałem, a po reboocie nie mam do niego dostępu bo winda go blokuje jako niezaufany.

Sandbox jest tu raczej wina infekcji