-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Miszel03
-
-
Pendrive jest zainfekowany.
1. W UsbFix (podpinając urządzenie F:\) uruchom opcję Clean.
2. Zrób i dostarcz nowy raport UsbFix z opcji Listing w celu oceny.
-
Cytat
Problemy zaczęły się jakiś czas temu po tym, jak pendrive podpięty pod obcy komputer był zawirusowany i pliki na nim były niewidoczne.
Wirus udało się unieszkodliwić poprzez Windows Defender i Malwarebytes AntiMAlware (na komputerze), jednak pliki na pendrive są niewidoczne i nie umiem ich przywrócić. Wirus ten był opisywany jako taki, który może wykradać hasła.Było to już jakiś czas temu i skoro na laptopie wszystko grało o pendrive chciałem zapytać przy odpowiedniej okazji. Na razie chcę sprawdzić czy komputer jest sprawny, a potem podepnę pendrive do sprawdzenia w miarę, gdy będzie chwila czasu.
Zrób raportu z narzędzia UsbFix z opcji Listing - KLIK.
CytatWchodząc w kosz systemowy by go opróżnić pokazały mi się pliki, które usunąłem stale z kosza jakieś rok temu...?
Wydaje mnie się to bardzo dziwne, bo pliki były usunięte trwale i nic nie robiłem ku temu by je przywrócić.
Piszesz, że przywracałeś system i odzyskiwałeś pliki programem Recuva, więc to nic dziwnego, że widzisz tak stare pliki, które tak dawno usunąłeś.
W raportach brak oznak infekcji, w spoilerze zadaje działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, skrótów LNK, martwych usług oraz szczątek po programach (głównie po przeglądarce FireFox).
Zalecam zainstalowane oprogramowania zabezpieczającego działającego w czasie rzeczywistym (sam Windows Defender na Windows 8 może nie wystarczyć) - KLIK.
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKU\S-1-5-21-3229826569-2663044726-3155959205-1002 -> DefaultScope {2701380C-CE96-496F-9908-DB5E7754E3B9} URL = SearchScopes: HKU\S-1-5-21-3229826569-2663044726-3155959205-1002 -> {2701380C-CE96-496F-9908-DB5E7754E3B9} URL = S1 MpKsl67900a41; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C0A1880F-1CA4-4529-8C4C-1BDE0BC6D469}\MpKsl67900a41.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Visek\AppData\Local\Mozilla C:\Users\Visek\AppData\Roaming\Mozilla C:\Users\Visek\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani raportu wynikowego, czyli pliku Fixlog.txt.
-
W raportach brak oznak infekcji, w spoilerze działania poboczne, kosmetyka: kasacja pustych wpisów, skrótów LNK oraz martwych usług.
Temat przenoszę do działu Windows 7.
Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-2967411305-4074242493-2484364347-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2967411305-4074242493-2484364347-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2967411305-4074242493-2484364347-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = S2 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X] S3 AIDA64Driver; \??\F:\_testy\aida64extreme4\kerneld.x64 [X] S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X] AlternateDataStreams: C:\ProgramData\Temp:5D458568 [133] C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać żadnych nowych logów, a nie raportu wynikowego, czyli pliku Fixlog.txt.
-
Kończymy.
Usuń narzędzia diagnostyczni / dezynfekcyjne (są bardzo często aktualizowane, więc jednorazowe) - KLIK.
-
To są prawidłowe procesy. Nie szkodliwe.
-
Dr web CureIT pokazał trojana.
Zapomniałem zapytać wcześniej co w związku z tym zrobiłeś, jaką podjąłeś akcję w programie i czy możesz dostarczyć mi plik z raportem.
W raportach nie widzę infekcji, choć są ślady mogące wskazywać na jej obecność w przeszłości. W skrypcie: kasacja pustych wpisów, ustawień polityk grup oraz szemranych obiektów z harmonogramu zadań. Na wszelki wypadek przeprowadzimy skan programem HitmanPro.
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellExecuteHooks: Brak nazwy - {6477E65A-C5C0-11E6-8017-64006A5CFC35} - -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> Brak pliku S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X] U3 pxldypow; \??\C:\Users\JAY\AppData\Local\Temp\pxldypow.sys [X] Task: {D35DA539-1875-480F-9F30-69CBA06AFA9C} - System32\Tasks\{F0E98C12-B005-465F-92E6-40C89BC84D40} => pcalua.exe -a C:\Users\JAY\AppData\Local\Temp\jre-8u101-windows-au.exe -d C:\windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {ED2C5AE2-6937-4083-9A8D-97116CCD1435} - System32\Tasks\280528962d6t6759868 => Rundll32.exe "C:\ProgramData\280528962d6t6759868\280528962d6t6759868.dll",DMT AlternateDataStreams: C:\ProgramData\Temp:0A8E2C33 [238] AlternateDataStreams: C:\ProgramData\Temp:73BDADA8 [234] EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów. Jeśli natomiast nic nie wykryję to będziemy kończyć, a temat zostanie przeniesiony do działu Windows 7.
-
Brakuje 3 raportu uzupełniającego Shortcut. Uzupełnij go.
-
OK. Wcześniej używałeś narzędzia FRST, teraz możesz go już skasować, bo jest to narzędzia często aktualizowane, więc jednorazowe. Do tego działania użyj programu DelFix.
Zaktualizuj również ważne programy - KLIK.
W Twoim systemie pomimo zainstalowanego SP 1 może brakować sporej liczby aktualizacji, uruchom Windows Update i zaktualizuj system.
-
HitmanPro nie wykrył niczego.
OK.
Małe sprostowanie: proces nazywa się taskeng.exe, a nie taskgen.exe.Tak coś własnie myślałem, że pomyliłeś nazwy. Taskeng jest prawidłowym plikiem aparatu harmonogramu zadań.
Ja takich plików mam łącznie 10Plików czy procesów? To znaczna różnica.
-
Narzędzie OTL jest przestarzałe i nie posiada wsparcia autora, więc jest już nie używane. Dostarcz zestaw raportów z nowoczesnego narzędzia Farbar Recovery Scan Tool oraz raport z narzędzia GMER.
-
Zadanie 1. nie wykonałem w Panelu Sterowania nie widnieje amuleC.
W takim razie to był wpis odpadkowy (to też widzę po raporcie z AdwCleaner).
Zadanie odnośnie skasowania profili w Firefox i tworzenia nowego również nie ... bo nie bardzo wiem o co chodzi. Po wklejeniu komendy pojawia mi się zawartyość dysku C ale nie wiem co dalej.
Nie możliwe, po użyciu kombinacji klawiszy klawiszy: Windows + R wyświetla się okienko, która masz uzupełnić tak jak poniższej i kliknąć przycisk OK. Potem tylko kasacji profili i zakładasz nowy. Ewentualnie możesz to zrobić też przez menu Start.
dodałem raport z AdwCleaner'a nie wiem czy był potrzebny ale tak wywnioskowałem z wypowiedzi.
Dobrze wywnioskowałeś.
Reszta wykonana.
Nie dostarczyłeś raporty wynikowego, czyli pliku Fixlog.txt
-
W raportach nie widać jawnej infekcji, działania poboczne: kasacja polityk grup, pustych wpisów w harmonogramie zadań oraz martwej usługi. Na wszelki wypadek przeprowadzimy skanowanie programem HitmanPro.
1. Otwórz Notatnik w nim wklej:CloseProcesses:
CreateRestorePoint:GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia S3 HWiNFO32; \??\C:\Users\MRC\AppData\Local\Temp\HWiNFO64A.SYS [X]
Task: {6835AC8A-C7F4-48B1-BFE0-EBB244E0B826} - \AutoKMS -> Brak pliku Task: {FA75C709-6C6D-4DC6-9AE0-82A6096BB360} - \USER_ESRV_SVC_QUEENCREEK -> Brak pliku EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów.
-
W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja szczątek po programach (głównie po przeglądarce FireFox). Druga sprawa: w systemie działają dwa oprogramowania zabezpieczające - może to spowodować korozję.
Jeśli chodzi o usługę Windows Update to przyczyn może być mnóstwo i to kompletnie pozainfekcyjnch. Wyłącz zaporę systemową oraz oprogramowania zabezpieczające i dopiero spróbuj pobrać aktualizację. Usługi nie sprawdzam, bo to raczej nie tam siedzi problem.
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: S3 ASUSProcObsrv; \??\C:\Preload64\Patch\AsPrOb64.sys [X] C:\ProgramData\setwallpaper.cmd C:\ProgramData\SetWallpaper.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\JOANNA\AppData\Local\Mozilla C:\Users\JOANNA\AppData\Roaming\Mozilla C:\Users\JOANNA\AppData\Roaming\Profiles EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani pliku Fixlog.txt.
-
Wesołych Świąt!
-
Ściągnąłem zatem program na innym komputerze i przeniosłem pendrivem na zainfekowany laptop. W załączniku nowe pliki.
Pendriva nie podpinaj pod żadnym pozorem do innych komputerów, bo je zarazisz. Potem go będziemy leczyć.
System jest mocno zainfekowany wirusem Brontok. To są właśnie skutki nie posiadania żadnego oprogramowania antywirusowego, a przecież wystarczył by darmowy Avast...
Przejdź do trybu awaryjnego (kliknij F8 przed startem systemu).
1. Otwórz Notatnik w nim wklej:
CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] () HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Run: [Tok-Cirrhatus-3444] => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe [43319 2014-10-19] () HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1 Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif [2014-10-19] () AlternateShell: cmd-brontok.exe U4 Alerter; Brak ImagePath S4 IntelIde; Brak ImagePath U4 Messenger; Brak ImagePath S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] U1 WS2IFSL; Brak ImagePath C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron*.* HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 ____N () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe CMD: dir /a C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Ad. 1
Nie, wszystko to jest wytłumaczalne. Informacje w spoilerze.
Z Twojego pierwszego posta:
Ad. 1 W Harmonogramie zadań jest uruchomiony aktualizator Google i pewnie to jego robota.
Task: {74117283-817F-4223-8F9A-9F2920F330CF} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-05] (Google Inc.)
Task: {805FD336-1787-42DA-A1DE-576F8E112A95} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-05] (Google Inc.)Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exeTask: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exeAd. 2 Sam rekord dziennika o niczym nie świadczy. Te wpisy występują nawet u picasso i nie są żadną oznaką włamania.
Ad. 3 Masz masakrycznie starą wersję tego programu. I tu się można zastanawiać dlaczego to ma działać.
Ad. 4 Tutaj może być masa przyczyn, zresztą kompletnie pozainfekcyjnych.
Ad. 5 W systemie działa masa procesów i usług Lenovo, automodyfikacja / aktualizacja nie jest niczym niezwykłym.
Ad. 6 To samo co w czwartej adnotacji.
Ad. 7 To samo co w czwartej adnotacji.
Ad. 8 Masz zainstalowany Avast. Jeżeli jest instalowany zewnętrzny antywirus, Windows Defender jest automatycznie dezaktywowany przez Windows i jest to normalne (zapobiega kolizji).
Ad. 9 Masz przestarzałą i nieobsługiwaną wersję, taka sama sytuacja co w trzeciej adnotacji.
Ad. 2
Patrz do spoileru, to normalne, że program został zmodyfikowany.
Ad. 3
Najpierw musiało by raczej dojść do infekcji, a dopiero potem do włamania.
Ad. 4
To jest technicznie nie możliwe, przecież kabel nie ma żadnej pamięci.
Ad. 5
Nie mógł.
Ad. 6
Nie wystarczy ani IP, ani adres MAC.
Ad. 7
Są różne techniki analizowania pod kątem włamania, ale w Twoim przypadku jest to zbędne. Mówię: nie wpadaj w paranoje.
-
Wygląda to już OK. Czy problem ustąpił?
-
W raportach brak oznak infekcji, w spoilerze działania poboczne (raczej nie mające związku z problemem): kasacja szczątek po przeglądarce FireFox oraz martwej usługi.
Temat przenoszę do działu Windows 10.Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\maria\AppData\Local\Mozilla
C:\Users\maria\AppData\Roaming\Mozilla
C:\Users\maria\AppData\Roaming\Profiles
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
Nie musisz dostarczać nowych logów, ani raportu wynikowego (Fixlog.txt). -
Zostały tylko szczątki po tym adware, reklama uruchamia Ci się dlatego ponieważ w harmonogramie zadań jest wpis za to odpowiedzialny. Po za tym działania kosmetyczne: kasacji pustych skrótów LNK, wpisów.
1. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:HKLM-x32\...\Run: [] => [X]GroupPolicy: OgraniczeniaGroupPolicy\User: OgraniczeniaCHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B0A13974D-0286-4AD8-B6F9-6DBF2B952C87%7D&gp=811041CHR DefaultSearchKeyword: Default -> mail.ruCHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}Task: {9DABF0A9-53DD-4730-8337-FD7A6411DEE9} - System32\Tasks\InternetEC => Firefox.exe hxxp://su-news.ru/waysmAdnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Raporty zostały wygenerowane przestarzałą wersją narzędzia Farbar Recovery Scan Tool (Wersja marca br.).
Wygeneruj nowe raporty używając najnowszej wersji FRST - KLIK.
-
Raporty wygenerowane na złych ustawieniach (skan BCD oraz MD5 sterowników jest zbędny bez wyraźnej potrzeby), dlatego wykonaj nowe wg niżej podanego wzorca.
Logi OTL kasuję, bo to narzędzie przestarzałe, bez wsparcia autora. -
System jest bardzo nowocześnie zainfekowany przez adware, widać wykorzystanie nowych tricków (m.in prefabrykowana przeglądarka FireFox, adware modyfikujące usułguę Themes tym samym uszkadzając kompozycję Aero). Wszystko to da się łatwo wyleczyć, więc od razu zaczynamy.
1. Przez panel sterowania odinstaluj:- amuleC
2. Otwórz Notatnik w nim wklej:
CloseProcesses:
CreateRestorePoint:
IFEO\MRT.exe: [Debugger] C:\Windows\TEMP\weaEF50.tmp\Gubed.exe -Yrrehs
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [524800 2016-12-15] () [brak podpisu cyfrowego] R2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]2016-12-01 11:02 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\ttff
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [106160 2016-12-08] ()
C:\Program Files (x86)\Firefox
FirewallRules: [{559BF5D9-860E-48CA-8A58-D0F35DF1124F}] => C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exe
FirewallRules: [{9672D65A-5D9C-4C95-9D20-1769C4111470}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{FB14C3FA-891D-4707-84AC-B47625365C27}] => C:\Program Files (x86)\Firefox\Firefox.exe
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Abi\AppData\Local
CMD: dir /a C:\Users\Abi\AppData\LocalLow
CMD: dir /a C:\Users\Abi\AppData\Roaming
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. W obecnym profilu FireFox znajduję się adware. Założymy nowy czysty profil.
Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy.
3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Sprawdziłem system AdwCleanerem, wykrył i usunął program o nazwie Driver Toolkit.
Wykrył resztki tego programu i je usnął.
Problem nie dotyczy infekcji, więc temat przenoszę do działu Windows 7.
-
Raporty teraz wyglądają w porządku, działania przeprowadziłeś poprawnie. Powiedz mi proszę co jeszcze wg Ciebie jest do zrobienia? Jak wygląda sytuacja systemu z Twojej strony?
Znikające foldery, dziwne zachowanie sys. kosza - wirus?
w Dział pomocy doraźnej
Opublikowano
Podsumuj obecną sytuację.