Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komputer łączy się z szkodliwymi adresami TCP

Baleburg1

Przez Baleburg1
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Ostatnimi czasy zauważyłem w monitorze zasobów, w zakładce Sieć>Połączenia TCP, wiele podejrzanych adresów, które okazały się być szkodliwymi.

Zaprezentuj te wyniki i opisz w jaki sposób zdefiniowałeś je jako "szkodliwe".

 

W raportach brak jakichkolwiek oznak infekcji. Do wyczyszczenia tylko wpisy puste (kosmetyka, brak związku z powyższym).

 

1. Odinstaluj stare wersje Java 7 Update 67, Java 8 Update 20.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2339661925-3291958849-1774368646-1000\...\MountPoints2: {6a42f142-1eb0-11e3-8f91-806e6f6e6963} - E:\setup.exe
BootExecute: autocheck autochk * PCloudBroom.exe \systemroot\system32\BroomData.bit
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
Toolbar: HKU\S-1-5-21-2339661925-3291958849-1774368646-1000 -> No Name - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - No File
CHR HKLM\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - No Path
S1 A2DDA; \??\C:\USERS\ADMIN\DESKTOP\EEK\BIN\a2ddax86.sys [X]
S3 cleanhlp; \??\C:\Users\ADMIN\Desktop\EEK\bin\cleanhlp32.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81837042.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81837042.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
C:\Users\Edyta\Links\GG dysk.lnk
C:\Users\Edyta\Favorites\GG dysk.lnk
C:\Users\Edyta\Desktop\GG dysk.lnk
C:\Users\Edyta\Desktop\GG.lnk
C:\Users\Edyta\Desktop\Google Chrome.lnk
C:\Users\Edyta\Desktop\Program uruchamiający aplikacje Chrome.lnk
C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk
C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome
C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk
C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\GG.lnk
C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk
C:\Users\Edyta\AppData\Local\GG\Application\gg.lnk
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashPlayerUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie widzę tu problemu. Ten adres IP należy do WOT: KLIK / KLIK.

 

PS. W międzyczasie zedytowałam skrypt FRST. Nie zostały przetworzone te puste skróty:

 

C:\Users\Edyta\Links\GG dysk.lnk

C:\Users\Edyta\Favorites\GG dysk.lnk

C:\Users\Edyta\Desktop\GG dysk.lnk

C:\Users\Edyta\Desktop\GG.lnk

C:\Users\Edyta\Desktop\Google Chrome.lnk

C:\Users\Edyta\Desktop\Program uruchamiający aplikacje Chrome.lnk

C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk

C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome

C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome

C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk

C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\GG.lnk

C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk

C:\Users\Edyta\AppData\Local\GG\Application\gg.lnk

 

Ręcznie je wykończ. Po tym skasuj folder FRST z Pulpitu i zastosuj DelFix.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...