Remek Opublikowano 4 Października 2016 Zgłoś Udostępnij Opublikowano 4 Października 2016 (edytowane) Witam dzisiaj mi coś takiego wyskoczyło że nawet internet się zablokował, a avast bez przerwy coś pokazywał myślałem że sam wariuje dlatego parę jego operacji dodałem do umieść plik w raporcie jako fałszywy alarm - bo później dopiero wyskoczyło mi orange tarcza itd. Co mam robić skąd mam wiedzieć czy na pewno mam zainfekowanego kompa bo zaraz avasta wyinstalowałem, a dopiero po paru minutach znowu zainstalowałem. Teraz kompa przeskanowałem malwarebytes anti-malware i spybot - coś wykryło, ale później usunąłem później adwcelaner wykazał 54 zagrożenia pojawiły się tylko 2 usunąłem po ponownym skanowaniu już nic nie wykazał, jeszcze pełne skanowanie systemu avastem. Czy moim problemem może być ip skoro mam liveboxa to chyba jest stałe. Tak jak kazaliście przesyłam logi z GMER I FRST. EDIT: i co wykryliście coś niepokojącego czy mam czekać za picasso Addition.txt FRST.txt Shortcut.txt gmer.txt Edytowane 22 Października 2016 przez Rucek Doprowadzam post do czytelnej postaci Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 i co wykryliście coś niepokojącego czy mam czekać za picasso Obecnie jedyna osoba uprawiona do analizy raportów w dziale malware to ja. Rucek zaajmuje się tylko porządkami, a reszta moderatorów nieaktywna. dzisiaj mi coś takiego wyskoczyło że nawet internet się zablokował, a avast bez przerwy coś pokazywał myślałem że sam wariuje dlatego parę jego operacji dodałem do umieść plik w raporcie jako fałszywy alarm - bo później dopiero wyskoczyło mi orange tarcza itd. Cybertarcza ocenia tylko i wyłącznie IP. W podanych tu raportach nie ma żadnych oznak infekcji wskazywanej przez skan Orange. Teraz kompa przeskanowałem malwarebytes anti-malware i spybot - coś wykryło, ale później usunąłem później adwcelaner wykazał 54 zagrożenia pojawiły się tylko 2 usunąłem po ponownym skanowaniu już nic nie wykazał, AdwCleaner nie służy do detekcji trojanów, wirusów, infekcji szyfrujących dane - tylko adware/PUP są w zakresie narzędzia. Spybot to przestarzały skaner, który w ogóle nie nadaje się już do rzeczowych skanów. Używałeś też lewy skaner-naciągasz SpyHunter. Nie dostarczyłeś żadnych wyników ze skanerów, by można było się zorientować czy coś się łączy z Cybertarczą, ale podejrzewam, że nie i były to inne typy wyników, tzn. instalacje adware/PUP (w logu mikro-ślady tego typu obiektów) oraz crack aktywacji KMSnano (jest częściowo naruszony). Czyli do wykonania tylko poboczne działania: 1. Odinstaluj stare niebezpieczne wersje, zbędne programy i poszkodowany crack: Adobe Reader 9, Akamai NetSession Interface, Apple Software Update, HP Customer Participation Program 14.0, KMSnano 24, Obsługa programów Apple, QuickTime 7, Shockwave, Spybot - Search & Destroy. 2. Usunięcie wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-10-04] () S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3258439222-2101547467-1170819926-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Remek\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.) Task: {2734EB2C-8E3D-4A74-891C-66E5E8D8616B} - \WordFly Auto Updater 1.10.0.28 Pending Update -> Brak pliku Task: {5294FF19-2934-41E7-858D-D4D3B265713B} - System32\Tasks\{CB9C5FB8-4955-407E-A93F-58CF1A934E33} => pcalua.exe -a E:\pobieranie\OODiskRecovery1164Enu.exe -d E:\pobieranie Task: {58ACC9B7-BE85-4ED0-B0EA-12F9F3816E79} - System32\Tasks\{AF828FA7-B73D-4E0F-932C-C15EA258D593} => pcalua.exe -a E:\pobieranie\ModdingWayInstaller.exe -d E:\pobieranie Task: {7FE8C1C5-16B4-4296-8CF4-F30FA9D7043A} - System32\Tasks\{D7D26B67-D7EA-47BE-AE3C-6F637DE02C75} => pcalua.exe -a F:\setup.exe -d F:\ Task: {89146259-272C-449F-95E1-23A32E758DAB} - System32\Tasks\Auslogics\Disk Defrag Touch\Start Disk Defrag Touch On Remek Logon => C:\Program Files (x86)\Auslogics\Disk Defrag Touch\DiskDefragTouch.exe Task: {95ADDA69-A89F-43FF-A2F5-1543CFD8C0E9} - \WordFly Auto Updater 1.10.0.28 Core -> Brak pliku Task: {DAB797E3-8B04-4446-A988-E5488712D0AB} - System32\Tasks\{B0FF1BC2-361F-48D2-A3E3-50FFF30B6151} => Firefox.exe Task: {FFF09AB2-0C75-4E72-A476-A5F9AA436632} - System32\Tasks\{6324CCDC-4865-4872-BBF2-0FC35B255084} => Firefox.exe MSCONFIG\startupreg: Adobe Reader Speed Launcher => "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" MSCONFIG\startupreg: Free Download Manager => "C:\Program Files (x86)\Free Download Manager\fdm.exe" -autorun MSCONFIG\startupreg: FreeAC => C:\Program Files (x86)\FreeAlarmClock\FreeAlarmClock.exe -autorun MSCONFIG\startupreg: GG => "C:\Users\Remek\AppData\Local\GG\Application\gghub.exe" MSCONFIG\startupreg: IPLA! => C:\Program Files (x86)\ipla\ipla.exe /autorun MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Auslogics DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\autoexec.bat C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Microsoft\Windows\GameExplorer\{127D3501-7907-4A8B-A911-23D1FE515DC4} C:\ProgramData\Microsoft\Windows\GameExplorer\{36376086-027D-4101-8F62-B351E4AC5078} C:\ProgramData\Microsoft\Windows\GameExplorer\{B7AA14AB-A3A0-42A4-8D31-0FFDA132F349} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glyph C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unofficial Oblivion Patch C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unofficial Shivering Isles Patch C:\Users\Remek\AppData\Local\Microsoft\Windows\GameExplorer\{2B6D6411-9E5E-4CDA-9C23-588FF26E77A8} C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlanetSide 2.lnk C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Users\Remek\Desktop\naj. programy\Adobe Reader 9.lnk C:\Users\Remek\Desktop\reszta programów\Free Alarm Clock.lnk C:\Users\Remek\Desktop\reszta programów\QuickTime Player.lnk C:\Users\Remek\Favorites\GG dysk.lnk C:\Users\Remek\Links\GG dysk.lnk C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\Auslogics C:\Windows\System32\Tasks\Safer-Networking CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Remek Opublikowano 12 Października 2016 Autor Zgłoś Udostępnij Opublikowano 12 Października 2016 troche późno, ale zawsze Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2016 Zgłoś Udostępnij Opublikowano 13 Października 2016 1. Nie odinstalowałeś Adobe Reader 9, programów od Apple i zbędnego HP Customer Participation Program 14.0. To nadal do wykonania. Wersje Adobe i Apple to są niebezpieczne wersje z lukami, zagrożenie infekcjami, w tym szyfrującymi dane. Najnowszy Adobe Reader w przyklejonym: KLIK. Dla QuickTime nie ma wyjścia, Apple usunęło wsparcie dla Windows i pobieranie. Dodatkowo uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy wpis Acrobat.com. 2. W Google Chrome odinstaluj sponsorowane rozszerzenie Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2014.SP2a\WNt500x64\Sandra.sys [X] S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X] HKU\S-1-5-21-3258439222-2101547467-1170819926-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\KMSnano RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Remek Opublikowano 14 Października 2016 Autor Zgłoś Udostępnij Opublikowano 14 Października 2016 odpowiedź Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2016 Zgłoś Udostępnij Opublikowano 14 Października 2016 Zakładam, że punkty 1+2 wykonałeś. Skrypt FRST zrobił co należy. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST, C:\MATS oraz pobrany FRST i jego logi z folderu E:\pobieranie. To wszystko. Odnośnik do komentarza
Remek Opublikowano 14 Października 2016 Autor Zgłoś Udostępnij Opublikowano 14 Października 2016 ok, ale dlaczego ten komunikat orange wyskoczył? było w ogóle coś zainfekowane? Odnośnik do komentarza
Rucek Opublikowano 15 Października 2016 Zgłoś Udostępnij Opublikowano 15 Października 2016 Tarcza orange odwala różne numery, to nie jest wiarygodny skaner, często wprowadza w błąd. Odnośnik do komentarza
picasso Opublikowano 22 Października 2016 Zgłoś Udostępnij Opublikowano 22 Października 2016 ok, ale dlaczego ten komunikat orange wyskoczył? było w ogóle coś zainfekowane? vs. Cybertarcza ocenia tylko i wyłącznie IP. W podanych tu raportach nie ma żadnych oznak infekcji wskazywanej przez skan Orange. Żadnych oznak infekcji tego rodzaju tu nie było. Skan Cybertarczy opiera się na ocenie IP, a nie skanie systemu. Orange przydziela zmienne adresy IP. Jest tu prawdopodobne, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się