Problem pojawił się mniej więcej tydzień temu. Najpierw przestał się uruchamiać lokalny serwer Apache, działający jako usługa, chociaż z wiersza poleceń mogę go normalnie uruchomić i działa prawidłowo. W międzyczasie zaczął mi też wariować Explorator Windows. Przede wszystkim ściąga sam pliki o nazwie “installer_adobe_flash_player_polish.exe” i zapisauje w “Temporary Internet Files” oraz zaczął zamulać przy zwykłym przeglądaniu katalogów, nie mówiąc już o wyszukiwaniu plików na dysku. W sieci natknąłem się na info, że te niby instalki flasha (czasem ściągają się inne “instalki”, np. real player) są faktycznie niebezpieczne, ale infekcję można usunąć przy pomocy Malwarebytes Antimalware. Niestety nawet nic wykrywa. Pliki jako zainfekowane wykrywa za to AVG (niestety tylko przy ręcznym uruchomieniu skanowania) i potrafi je usunąć, ale za jakiś czas znów ściągają się kolejne. Dodatkowo AVG wykrywa za każdym razem tracking cookies, nawet jeśli między dwoma skanami nie uruchamiam przeglądarki (korzystam z Firefoksa). Są to zawsze te same: Adtech, Advertising, Atdmt, Burstnet, Casalemedia, Fastclick, Revsci, Ru4, Smartadserver.
Nie widać infekcji. Fałszywy Flash Player często oznacza infekcję routera.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => No File
BootExecute: autocheck autochk * sdnclean64.exe
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
S0 MaxProc64; System32\drivers\MaxProc64.sys [X]
S0 MaxProtector64; System32\drivers\MaxProtector64.sys [X]
C:\AdwCleaner
C:\_OTL
C:\Windows\system32\%APPDATA%
C:\Program Files\Max Spyware Detector
C:\Program Files (x86)\Max Spyware Detector
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\Windows\System32\Tasks\Safer-Networking
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt
Po wykonaniu skryptu w FRST i restarcie kompa przywitał mnie ten sam komunikat z AVG: “Możliwy koń trojański JS/Exploit, 195.20.141.10:40507/pruncdiebasic.html”. TDSSKiller wykrył jedno zagrożenie, wybrałem Skip.
Fixlog.txt: http://wklej.to/dg1QB
TDSSKiller log: http://wklej.to/qd5vn
Uruchom TDSSKiller i tym razem wybierz opcję leczenia Cure.
Zatwierdź restart w celu dokończenia leczenia.
Po restarcie ponownie przeskanuj za pomocą TDSSKiller i pokaż raport.
Zdaje się, że pomogło. AVG przestał wykrywać cokolwiek, a sam Windows jakby trochę przyspieszył. No i najważniejsze - Apache znów działa jako usługa, a to był pierwszy objaw!
Poczekam jakiś czas i jeśli nic złego się nie wydarzy to chyba problem rozwiązany, ale już teraz bardzo dziękuję za pomoc.
Skasuj folder C:\FRST
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Odinstaluj Java 8 Update 20.
Zainstaluj Java 8 Update 25 i Internet Explorer 11
Dobra, wszystko zrobione. Od kilku dni żadnych objawów. Wygląda na to, że wszystko jest już w porządku. Atis - jeszcze raz dziękuję za nieocenioną pomoc!