Skocz do zawartości
Nadchodzące zmiany w logowaniu

romala

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    40

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Odpowiedzi opublikowane przez romala

  2. Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(

    w Dział pomocy doraźnej

    Opublikowano

    Witam ponownie - plik log za duży wiec : http://kurierplikow.pl/pub/tekstowe/4an6887d03t6

    dodatkowo AdwCleaner

    Aktualizacje działają ale wszystkich nie aktualizuje - czasem tak bywa, pewnie trzeba ręcznie  kilka pobrac.

    Odinstalowałem tego antyvirusa premier (zkrakowany albo coś) wycioł mi z pena AdwCleanera.

    Czekam na dalsze instrukcje.

    Tapeta jest normalnie usytuowana i daje sie zmieniać itp.

     

    AdwCleanerR0.txt

  3. Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(

    w Dział pomocy doraźnej

    Opublikowano

    Witam ponownie.

    Dotarło do mie że może nie potrzebnie ale wykonałem za instrukcą z rekonstrukcji zapory:

    Wyniki : BFE - Nie można zaimportować F:\Naprawa BFEreg:nie wszystkie dane zostały pomyślnie zapisane w rejestrze. Niektóre klucze otwarte są przez system lub inne procesy. -- napęd usb sprawny

    Mpsdrv.reg - ok

    MpsSvc - ok

    SharedAccess - ok

    Skrypty wykonane.

    Odbudowa ręczna MpsSvc oraz SharedAccess - succesfully.

    Log FSS- załącznik :

    Czekam na dalsze instrukcje.

    Zapora załaczyła się, windows defender załaczył się i pobrał aktualizacje skanuje, windows update załaczyło się pobiera aktualizacje i instaluje. Zapora dostępna i można ją ustawiać również zaawansowane ustawienia.

     

    FSS.txt

  6. Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(

    w Dział pomocy doraźnej

    Opublikowano

    Usługi się nie zmieniają - jakby nie były zainstalowane.

    Co do ServicesRepair- włączyłem jako administrator- pojawiło sie okno : This ultility will reinstall Services commonly removed by exploits.

    Do you want to proceed? klikam yes kopjuje jakieś pliki - pojawiło sie też okno Services Repair is running.... a w nim napis  Services Repair Complete.

    Kolejne okienko : Multiple Services have been reinstalled. You will need to reboot your computer.

    Rebot now? - klikam  tak.

    Komputer się restartuje normalnie loguję się i uruchamiam FSS. Działa normalnie a oto wynik:

    Sprawdzam zaporę Kod 0x80070424

    Windows Update - Usługa Windows Update nie może obecnie wyszukać aktualizacji, ponieważ usługa nie jest uruchomiona. Konieczne może być ponowne uruchomienie komputera.

    Windows Defender -Określona usługa nie istnieje jako usługa zainstalowana Kod błędu 0x80070424.

    Mam nadzieję że teraz wiecej informacji o które prosisz.

    Czekam co dalej :)

     

    Fixlog.txt

    FSS.txt

  10. Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(

    w Dział pomocy doraźnej

    Opublikowano

    Witam ponownie zgodnie z  emailem piszę nowy post. Za bardzo poszedłem w regulamin i coś pokręciłem. Przepraszam.

     

    Faktyczie nie dołączyłem logu Gmer :( moja wina - instaluję net framework 4.5.2 i Kasperskiego TDSS wieczorem zrobię.

    Po instalacji netframework właczyłem IDtoll widzę że główne okno nie zawiera  na razie żadnych wpisów.

     

    Już wiem co z tym Logiem Gmer - nie mogłem zaznaczyć wszystkich opcji po prawej stronie i dlatego zrezygnowałem. :(

    Wieczorem popracuję nad tym. Co do gmera nie udaje się załaczyć ptaszków po prawej stronie programu i nie generuje raportu - nie wiem czemu - prubowałem kilka razy.

     

    Witam ponownie: mam pliki logu  TDSS i FSS

    Pliki które przesyłam do analizy wykonane w trybie awaryjnym.

     

    Przeglądałem Podgląd zdarzeń systemu i dziwna sprawa od października kolega ma kłopoty z dyskiem  --na czerwono prawie cały dzienik systemu. Poza tym jest jeszcze jeden ciekawy wpis :

    Cyt: Na potrzeby każdej aplikacji ładowane są niestandartowe biblioteki dll. Administrator systemu powinien przejżeć listę bibliotek, aby upewnić się że są związane z zaufanymi aplikacjami.

    W sumie tyle - czekam na analizę logów i ewentualne sugestie co dalej.

    Jeszcze jedna sprawa - w mskonfigu wyłaczyłem kilka usług miedzy innymi taką: usługa szyfrowania dysków usługą Bitlocker, zdalne zarządzanie systemem Windows ws-management, usługi pulpitu zdalnego, usługi podstawowe modułu TPM, Steam client srevice, GReg service.

    Jeszcze raz dołaczam pliki

     

    FSS 08012015.txt

    TDSS 08012015 log.txt

  11. Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(

    w Dział pomocy doraźnej

    Opublikowano

    Witam i dziękuję za zainteresowanie moim tematem.

    Więc - mamy 8:33

    Koomputer uruchomiony - "normalnie" chyba jednak tak jest jak mówisz mam wrażenie braku kontroli.

    Po usunięciu śmieci wspomnianym wcześniej SpyHunterem (poczekałem jeszcze trochę) 24 wpisy w tym 8 ZeroAccess reszta Adavare - Helpers, Saltarmsmart, Win32/Lolipop, Web Sawe, Pup Optimizer pro, i YontoLayers - zrestartowałem system. Okno wspomniane wyżej CAD8B9.exe nie pojawiło się. Jest jeszcze okno o sterowniku cyt. : Sterownik Tages Protection wydawca Tages SA został zablokowany z powodu problemu ze zgodnością - zamknąłem okno.

    W tym momencie prubuję uruchomić IDTool ale nie załacza się :(

    Myślę że może spy - nie zrobił wszystkiego.

    Jest jeszcze jedna kwestia. Po ponownym uruchomieniu w trybie normalnym antyvirus zgłosił że znalazł MBR:\\.\PHYSICAL DRIVE 0\BOOT ---- MBRCidox-E[rtk]. Opcja usunięcie ze scanem, przerabiałem to 3 razy i nic nie dawało.

    Obecnie brak dostępu do czegokolwiek w trybie normalnym wyświetla mi okno menagera zadań i widzę że  idtoll uruchomiło 3 razy- nie mogę nic wiecej zrobić wiec wcisnę  guzik i sprubuję raz jeszcze.

    Udało się uruchomić instalację IDToll ale- Program Net Ramework4 nie został zainstalowany ponieważ Określona usługa nie istnieje jakko usługa zainstalowana :( faktycznie w systemie jest zainstalowane Net framework 1.1 i Netframework 4 klient. trzeba coś doinstalować. Kończy mi się czas na tę chwilę - po wyłączeniu kilku usług w msconfigu komputer włączył sie i działa narazie do wieczora tak zostawię. Pomyślę nad netframework jak wrócę sprubuję pobrać na innym kompie i zainstalować oraz ponowię instalację idtoll.

  12. Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(

    w Dział pomocy doraźnej

    Opublikowano

    Witam ponownie na naszym forum wszystkich pomagających i tych co potrzebują pomocy.

    Dzisiaj Ja występuję w roli tego drugiego :(

     

    Proszę o pomoc w dwóch kwestiach o ile to możliwe komputer kolegi - pomagam jak mogę.
    1) Pomoc w odszyfrowaniu plików na dysku.
    2) Postawienie na nogi systemu operacyjnego.

    Sprawa zaczęła się według mojego kolegi przed sylwestrem, 29-30 grudnia 2014. Wtedy zauważył dziwnie zachowujące się ikony i zmieniające się nazwy rozszerzeń plików nad którymi pracował. Pliki  Worda i Excela a także pliki zdjęć w dokumentach zaczęły mieć po kropce (itgjnld). Minęło kilka  chwil i na ekranie pojawiło się okno którego treść pozwolę sobie przytoczyć:



    Your personal files are encrypted by CTB-Locker.
    Your dokuments, photos, databases and other important files have been encrypted with strongest encryption and uniqe key, generated for this computer.
    Priwate decryption key is stored on a secret internet server and nobody can decrypt your files until you pay and obtain the privat key.

    If you see the main locker window, follow the instruction on the locker. Overwise, it s seems that
    you or your antyvirus deleted the locker program. Now you have the last chanse to decrypt files.

    Open Hxxp://5kiuc45pat3qr6gd.onion.cab or hxxp://5kiuc45pat3qr6gd.tor2web.org in your browser.
    They are public gates to the secret server.

    1. Download Tor Browser from hxxp://torprojekt.org/
    2. In the tor browser open the Hxxp://5kiuc45pat3qr6gd.onion/
       Note that this server is avaible via Tor Browser only. Retry in 1 hour if site is not reachable.

    Write in the following public key in the input from on server. Avoid missprints.

    UCA4YE-ETZNGJ-HTW3GN-J43KCV-Q6WA60-JR3MIN-OAWFDB-WKL5HG
    ODKYTF-2A7HWI-JAEW4G-7SVVTV-2ZCXFK-M32FVF-6C52QN-OYM3XY
    M7IHAC-4BQAR4-LXDOY6-5ULLAV-G3ZNKE-ZNIJGJ-EKT6W4-YNQ7CV

    Follow the instructions on the serwer.
    The instructions are also saved to file named DecryptAllFilles.txt in Dokuments folder. You can open it and use copy paste for adres and key.

     

    Znalazłem pliki tekstowei 2KB z takim tekstem oraz pliki bitmapy z obrazem tej treści 3076KB są w kilku miejscach na całym dysku.

    Pliki tekstowe są zainfekowane (Win32/Filecoder.EA.Gen) ale bitmapy nie - tak informuje mnie mój nod32 z aktualną bazą - na komputerze.

    Co było robione :
    Malwarebytes Anti-Malware -1.0.1.711 tym kolega pozbył się komunikatów.
    Ja na jednym ze swoich komputerów a mam ich kilka przeskanowałem nodem online dysk za pomocą przystawki Esata wynik plik: Nod online (Win32/Filecoder.EA.Gen)
    Jako że mam na tym komputerze antywirusa AVG też zapuściłem. Wynik plik: AVGaswBoot (Win32:Malware-gen)
    W czasie pisania tego tekstu - w trybie awaryjnym na komputerze zainfekowanym leci Spyhanter4 z najnowszą bazą. Wyłapuje sporo tych śmieci widzę zeroacces 8 infekcji,
     usuwał też rokity kilka było jeden w MFT.

     Nie namierzyłem  gdzie  SpyHunter zapisuje logi - w jego folderze są jakieś ale to jakiś bełkot nienadający się do dalszej publikacji :( Jakby zaszyfrowany) chyba że się mylę w razie czego mogę dołączyć.

     

    Sprzęt zainfekowany:
    Komputer kolegi Packard Bell Easynote Tj65 system Win7 Home Premium 64bity 4GB ram Intel 2duo 2,13GHz,

    jeden dysk systemowy C Packard Bell 286,27GB, drugi 100MB System Reserved oraz trzeci partycja odzyskiwania 11,72 GB

    .
    Ogólnie komputer działa, grzeje się. Wentylator mocno pracuje ale jest stabilny.System ma zainstalowany program AWAST wersja premier, wspomniane wcześniej Malwarebytes Anti-Malware oraz SpyHunter4, Wise Disk Cleaner 8.39 oraz WiseRegistry Cleaner 8.31 - tych ostatnich nie używałem. Tyle wyczytałem w programach (dodaj usuń z panelu sterowania)

    W komputerze nie można nic zrobić z zaporą. Nie da sie jej załączyć ani modyfikować ustawień. Szukałem możliwości przywrócenia ustawień systemu ale data jest po 1 stycznia - nic wcześniej nie ma. Zastanawiałem się nad recovery - tam też powinna być opcja przywracania systemu lecz tego jeszcze nie próbowałem.

    Ogólnie znam się trochę na komputerach i potrafię sobie z nimi radzić ale tu potrzeba mądrzejszych głów od mojej. Mam mocny stacjonarny komputer z Systemem Vista Ultimate wszystkie aktualizacje i płatny program antywirusowy Nod32, przystawkę do wpinania dysku na esata i teoretycznie mógłbym przeskanować nim dysk kolegi ale czytając posty na naszym forum narazie dałem sobie po łapkach, ponieważ Nod może usunąć wszystko co potrzeba do odszyfrowania danych jeżeli jeszcze się da.

    Teraz cały czas skanuję Spyhunterem przerywam jak coś znajdzie usuwam i na nowo skanuję.
    Kolega nie był w stanie określić dokładnie jak nastąpiła infekcja.

    Program antywirusowy z komputera zainfekowanego napisał w informacjach że Explorer.exe infekuje się z URL:
    hxxp://dodejsapi.com/opt29f19c39a355a418ed7b3bf1 może to jakaś informacja.

    Spy... wywalił już sporo śmieci może teraz da sie coś więcej naprawić.

    Jeszcze jedno z dzisiejszego dnia - po jednym ze skanowań zażądał restartu ale  -- się go nie doczekałem - na wiele sposobów próbowałem wyłączyć system ale ostatecznie wyłączyłem
    przyciskiem.

    Proszę o pomoc może uda sie uratować dane z dysku, czytając na naszym forum wypowiedzi administratora nie mam zbyt wiele nadziei - ale może to inny przypadek i warto sie tym zająć.

    Przy komputerze jestem w tym tygodniu wieczorami - praca do 18 jeżeli ktoś ma pomysł jak to ruszyć czekam na propozycję. Chciałbym pomóc koledze może się uda.

    Dołączam pliki z programów OTL, FRST, Gmer, AVG i Nod online

     

     

    Witam ponownie chciałbym dodać nowe informacje :

    1. Komputer po konserwacji - pasta.... działa lepiej :) to dobrze

    2. W trybie normalnego uruchamiania załącza się okno konsoli - w górnej części okna  widnieje wpis : C:\Users\\Wujo\AppData\Roaming\CAD8b9\CAD8B9.exe --- wirusek? w tym trybie nie było dojścia ale w awaryjnym wyciąłem plik i przeniosłem na pulpit i zapakowałem rarem.

    3. Podczas skanowania w trybie awaryjnym znalazło narazie 3 infekcje ZeroAccessJP :

    HKLM\System\controlset001\services\gupdate

    HKLM\System\controlset002\services\gupdate

    HKLM\System\controlset\services\gupdate

    mam nadzieję usunąć po zakończeniu skanowania.

    4. W trybie normalnym pruba uruchomienia zapory kończy się błędem 0x80070424

    5. Podczas skanowania SpyHuntera zatrymywał się na długo przy kluczach rejestru :

    HKCU\Software\Microsoft\Windows\Curent version\Policies\Eksplorer\Run

    HKCU\Software\Microsoft\Windows\Curent version\Policies\Eksplorer\Shell Execute Hooks

    Po minięciu tych ostatnich pojawiła się informacja o ZeroAccess.

    Jeśli jescze coś ustalę napiszę - pozdrawiam.

    21:56

    Jeszcze dodatkowo znalazło narazie 5 plików zarażonych ZeroAccess są w : C:\programfiles(x86)\Google Desktop\instal......(dwie linijki bełkotu) na życzenie przedstawię.

    Zaglądnąłem do rejestru i zobaczyłem niecodzienny wpis Klucza w : HKEY_Local_Machine\software\wow6432Node\ANZATVK95C -- Jego dane w oknie po prawej stronie też wyglądają jak bezładny bełkot i są to dwu liniowe wpisy, ale może to nic nie znaczy czekam na koniec skanu.

     

    Jeszcze jedna ciekawostka - system w trybie awaryjnym ale w usługach systemu brak zapory i centrum zabezpieczeń - porównuję z moją vistą może się mylę ale powinny być.

     

    Addition.txt

    AVGaswBoot.txt

    FRST.txt

    Nod online.txt

    OTL.Txt

    Shortcut.txt

  13. Problemy z Eset Smart Security 5

    w Dział pomocy doraźnej

    Opublikowano

    Dziekuję slicznie za pomoc w ogarnięciu tego bałaganu :) Przepraszam za męskie wstawki :) nie zauważyłem poprostu sorry :)

    Przeinstalowuję programy o których Pisałaś komputer działa normalnie :) jeszcze raz dzieki -- temat zamknięty

    Mam nadzieję że jeszce razem ponaprawiamy co nie co, kompów sporo przewija sie u mnie ostatnimi laty ale pierwszy raz nie byłem pewien jakie będą skótki być może dlatego że mało czytam (brak czasu) ale będę sie starał.

  14. Problemy z Eset Smart Security 5

    w Dział pomocy doraźnej

    Opublikowano

    Witam ponownie wykonałem usunięcie klucza w rejestrze który podałeś, wykonałem podany skrypt. Dodałem plik wynik scanu OTL.

    Jednak nie bardzo wiem czym wykonać scan services. Pobrałem program DLL Suite i podaję wynik scanu. Proszę o komentaż

    Czy innym programem wykonać scan? Plik jest długi chciałem dać worda ale napisało że nie mam uprawnień do wysyłania takich plików.

    Czekam na wypowiedź i pozdrawiam.

     

     

    SystemLook 30.07.11 by jpshortstuff

    Log created at 18:13 on 12/11/2012 by Wojciech

    Administrator - Elevation successful

     

    ========== filefind ==========

     

    Searching for "services.exe"

    C:\Windows\erdnt\cache\services.exe --a---- 279552 bytes [16:06 04/11/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

    C:\Windows\System32\services.exe --a---- 279552 bytes [14:08 05/01/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

    C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0

    C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [10:48 12/11/2011] [22:33 18/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

    C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [14:08 05/01/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

     

    -= EOF =-

    OTL.Txt

    DLL Suite raport.txt

  15. Problemy z Eset Smart Security 5

    w Dział pomocy doraźnej

    Opublikowano

    Witam serdecznie wszystkich którzy pomagają na tym forum a także tych co czytają pomocne informacje.

    Zacznę od początku Komputer Lenovo Think pad R61i mojego znajomego został zainfekowany, zaczęło sie od zniknięcia ikonek z trayu.

    Naprawiłem ikony (system vista busines sp2) 32bity antyvirus Eset Smart Secuity 5 system aktualizowany na bierząco tak jak i antywir.

    Parę dni temu znajomy zobaczył aktualizację antywira na ekranie inaczej niż zwykle klikął dalej i poleciało - odinstalowało program i teraz nie można go ponownie zainstalować. Wszystko wygląda podobnie jak tu :http://www.fixitpc.p...zji-zeroaccess/ czytałem i staram sie coś z tym zrobić. Mam dostep do internetu na tym koputerze oraz inne koputery stacjonarne potrzebne ewentualnie. Na nich mam możliwości przeglądania dysków za pomocą stacji dokującej dyski - tak dowiedziałem sie o infekcji (J:\Windows\Installer\{b5151880-5668-530d-48a2-c138ac1d34ae}\U\00000001.@ - Win32/Conedex.J koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]) , było to dziś rano na moim komputerze z podłączonym jego dyskiem.

    Prubowałem jak kolega odinstalować Eseta za pomocą deinstalatorów myśląc że to jest przyczyna niepowodzeń instalacji. Jednak bez powodzenia :(

    nadmienię że centrum zabezpieczeń uruchamia się, nie włącza sie zapora pisząc (nie można uruchomić usługi Centrum zabezpieczeń), nie działa też Windows Defender (nie można zainicjować aplikacji:0x80070006. Nieprawidłowe dojście). Instalacje Eset cofają się jak u kolegi zauważyłem w pdglądzie zdarzeń kod błedu tych nieudanych instalacji 1603 jeśli to coś pomorze. Jest jeszcze kwestia WMI które wciąż ma błędy 0x80004005 prawdopodobie to pokłosie infekcji ale nie jestem pewien. Idąc tym tropem dotarłem do windows instalera 3.11 chciałem go zainstalować ponownie i tu zaś ciekawostka bo system pisze że brak miejsca na dysku (wolne 250Gb). Uruhomiłem na nim do tej pory dwa programy :HitmanPro36 którego log załaczama obecnie leci na nim Comodo w trybie pełnego skanowania i znalazło (Disable UAC) ne tę chwilę. Proszę o pomoc w naprawie tego komputera i służę w miarę oczywiście czasu odpowiednimi logami etc programy się ściągnie zestaw już przygotowałem.

    Wklejam log z Hitmana :

     

     

    HitmanPro 3.6.2.173
[url="http://www.hitmanpro.com"]www.hitmanpro.com[/url]
  Computer name . . . . : NOTEBOOK-PC
  Windows . . . . . . . : 6.0.2.6002.X86/2
  User name . . . . . . : Notebook-PC\Wojciech
  UAC . . . . . . . . . : Disabled
  License . . . . . . . : Trial (30 days left)
  Scan date . . . . . . : 2012-11-04 14:31:18
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 4m 19s
  Disk access mode  . . : Direct disk access (SRB)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : No
  Threats . . . . . . . : 3
  Traces  . . . . . . . : 137
  Objects scanned . . . : 1 665 014
  Files scanned . . . . : 32 223
  Remnants scanned  . . : 358 560 files / 1 274 231 keys
Miniport ____________________________________________________________________
  Primary
  DriverObject . . . : 8A8D7B18
  DriverName . . . . : \Driver\iaStor
  DriverPath . . . . : \SystemRoot\system32\DRIVERS\iaStor.sys
  StartIo  . . . . . : 00000000 +0
  IRP_MJ_SCSI  . . . : 89E631E8 +0
  Solution
  DriverObject . . . : 8A8D7B18
  DriverName . . . . : \Driver\iaStor
  DriverPath . . . . : \SystemRoot\system32\DRIVERS\iaStor.sys
  StartIo  . . . . . : 00000000 +0
  IRP_MJ_SCSI  . . . : 8D4A6C1A \SystemRoot\system32\DRIVERS\iaStor.sys+39962
Malware _____________________________________________________________________
  C:\Users\Wojciech\AppData\Local\Temp\49EC.tmp -> Deleted
  Size . . . . . . . : 298 345 bytes
  Age  . . . . . . . : 152.8 days (2012-06-04 19:48:20)
  Entropy  . . . . . : 7.9
  SHA-256  . . . . . : 9AA4E6959F9BDE8E7DF7FCE977C2C2F1E9D5A0D6C76290450E5D89718B865529
> G Data . . . . . . : Gen:Heur.FakeAV.2 (Engine A)
> DrWeb  . . . . . . :  Trojan.Fakealert.30673
> Ikarus . . . . . . : Trojan.Win32.FakeAV!IK
  Fuzzy  . . . . . . : 118.0
  C:\Users\Wojciech\AppData\Local\Temp\8348.tmp -> Deleted
  Size . . . . . . . : 347 812 bytes
  Age  . . . . . . . : 157.8 days (2012-05-30 18:42:02)
  Entropy  . . . . . : 7.7
  SHA-256  . . . . . : CBEB98B6C58E38AED52CFC2EEDB6ED9BBB881CF48165E0C9D788630501729A4F
> G Data . . . . . . : Gen:Heur.FakeAV.2 (Engine A)
> DrWeb  . . . . . . :  Trojan.Fakealert.30673
> Ikarus . . . . . . : Trojan-PWS.Win32.Tepfer!IK
  Fuzzy  . . . . . . : 118.0
  C:\Users\Wojciech\Downloads\SoftonicDownloader_dla_hitman-pro.exe -> Quarantined
  Size . . . . . . . : 373 416 bytes
  Age  . . . . . . . : 0.0 days (2012-11-04 14:29:50)
  Entropy  . . . . . : 8.0
  SHA-256  . . . . . : AD2E53E617A85C7976A40742091377F5FF81B8FF267CBA9370E748B5D61EBB4B
  Product  . . . . . : Softonic Downloader
  Publisher  . . . . : Softonic
  Description  . . . : Softonic Downloader
  Version  . . . . . : 1.35.7.0
  Copyright  . . . . : Copyright (C) 2012
  RSA Key Size . . . : 2048
  Authenticode . . . : Valid
  Running processes  : 3640
> DrWeb  . . . . . . : Infected
  Fuzzy  . . . . . . : 101.0
  References
	 HKU\S-1-5-21-1205817307-364171706-2712646163-1002\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Users\Wojciech\Downloads\SoftonicDownloader_dla_hitman-pro.exe
  Network Ports
	 173.194.70.113:80
	 2.21.36.220:80
	 208.91.168.36:80
	 209.85.148.149:80
	 217.110.110.231:80
	 90.84.55.33:80
	 90.84.55.73:80
	 94.127.76.140:80
	 95.110.163.141:80

Potential Unwanted Programs _________________________________________________
  HKU\S-1-5-21-1205817307-364171706-2712646163-1002\Software\Softonic\ (Softonic)
Cookies _____________________________________________________________________
  C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.yieldmanager.com
  C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.idg.pl
  C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
  C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:invitemedia.com
  C:\Users\Wojciech\AppData\Local\Google\Chrome\User Data\Default\Cookies:tradedoubler.com
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\17NJZK7D.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\1K3G9128.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\20ED86TE.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\23M9YZ0V.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\35DOR9LT.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\3FYHW0B6.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\5N17NLEL.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\6EXOGM60.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\6YAIA5YI.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\70ZPXT26.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\7UTSYM1G.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\8UYVJRD0.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\AXDVZE26.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\CQNXTH27.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\FVY4L5ZW.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\GFJ5469A.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\HN819TGY.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\I2AFG2DQ.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\JJ7CSONI.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\LC8TAJTE.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\M35NU4S6.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\M872UABJ.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\MYS6FVNQ.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\OXFE87PY.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\PAZK3CM6.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\QCRLEVPA.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\QTLN3IAI.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\SFUZCH6Q.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\TRF727VB.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\U5DYMPEG.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\USD0U2F2.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\UVITEXVS.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\UZEYCTZB.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\VLNZB1I4.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\WHD6T77T.txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@ads.businessclick[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@ads.lzjl[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@adtech[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@atdmt[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@clicksor[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@content.yieldmanager[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@counter.hitslink[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@int.sitestat[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@int.sitestat[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@invitemedia[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@media6degrees[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@microsoftsto.112.2o7[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@myroitracking[1].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@yadro[2].txt
  C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\WY7D1R6U.txt
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.360yield.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.adocean.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.fresh-market.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.medigo.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.yieldmanager.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.zanox.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adbrite.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.businessclick.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.cyfrowe.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.ecpm.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.g24.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.motmedia.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.o2.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.okazje.info.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.ookla.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.otopr.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.pointroll.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.szukajauto.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.undertone.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserv.legitreviews.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserver.doba.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserver.e-ipm.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:advertising.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adviva.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:apmebf.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:at.atwola.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:atdmt.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:bs.serving-sys.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:burstnet.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:casalemedia.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:counter.hitslink.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:cubegroup.122.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:daimlerag.122.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:doubleclick.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:edge.ru4.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:edsa.122.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:fastclick.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:getclicky.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:gmeurope.112.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:in.getclicky.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:int.sitestat.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:invitemedia.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:media6degrees.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:mediaplex.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:microsoftinternetexplorer.112.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:nissaneurope.112.2o7.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:pointroll.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:revsci.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ru4.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:server.cpmstar.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:serving-sys.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:smartadserver.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:specificclick.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:stat.4u.pl
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:statcounter.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:static.getclicky.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:statse.webtrendslive.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:track.adform.net
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:tradedoubler.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.burstnet.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.etracker.de
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.googleadservices.com
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:yadro.ru
  C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:zedo.com

     

    Pozdrawiam i czekam na ewentualne sugestie.

     

    Witam ponownie wkleiłem dodatkowe plik logi programów.

    Nadmieniam iż po zainstalowaniu i przeskanowaniu programami których logi wkleiłem program antywirusowy zainstalował sie poprawnie i działa. Zapora zaaczyłe sie poprawnie i działa,jedynie windows defender nie uruchomił sie w ogóle. Zastanawiam sie czy mając program Eset smart Security walczyć o defendera - zasadniczo mogą sie zwalczać. Poradźcie co dalej z tym robić zaporę samodzielnie wyłaczyłem gdyż Eset smart security posiada swoją czy słusznie postępuję?

     

    Jest 20 z minutami po automatycznej aktualizacji windows defender pobrał aktualizację i właczył sie normalnie. Wygląda na to iż wrociło wszystko do normy.

    Pytanie -- co spowodowało te problemy i jak tego uniknąć w przyszłości.

    Pozdrawiam :D

    checkup.txt

    combofix.txt

    Extras.Txt

    OTL.Txt

×
×
  • Dodaj nową pozycję...