Ars Opublikowano 14 Lutego 2015 Zgłoś Udostępnij Opublikowano 14 Lutego 2015 Witam Dzisiaj nieumyślnie uruchomiłem plik scr, który okazał się wirusem. Wirus wykradł moje dane (włamanie do gmaila, włamanie oraz utrata przedmiotów w grze World of Warcraft). Plik usunąłem, komputer przeskanowałem NOD32 online, który usunął kilka zagrożeń. Żadnych procesów czy usług podejrzanych nie widzę, jednak od dzisiaj pojawiła się problem kilkunastu sekundowych lagów, ktore występują co ok. 20 minut. Przez te kilkanaście sekund Internet po prostu staje - nic dochodzą żadne pakiety, jednak nie zrywa połączenia. Dodatkowo włamanie na pocztę odbyło się wiczorem czyli po usunięciu wirusa i przeskanowaniu systemu. Dlatego prosiłbym o sprawdzenie logów. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 W systemie jest aktywna infekcja ładowana via Shell bieżącego użytkownika, udająca "(Obraz JPEG)". Do wdrożenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Winlogon: [shell] C:\Users\Mateusz\AppData\Local\SearchIndexer.exe [563712 2015-02-13] (Obraz JPEG) HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Run: [AdobeBridge] => [X] S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1422797341&from=smt&uid=SAMSUNGXHD250HJ_S0URJ1CQ409680 FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Users\Mateusz\AppData\Local\SearchIndexer.exe C:\Users\Mateusz\AppData\Local\LF_* C:\Users\Mateusz\AppData\Local\SS_* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Ars Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Czyszcząc folder odruchowo usunąłem plik fixlog.txt zamiast fixlist.txt więc niestety logu z niego nie będzie :/ Ale wygląda na to, że problem z lagami ustąpił. FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Kopia pliku Fixlog powinna być nagrana w folderze archiwum C:\FRST\Logs. Odnośnik do komentarza
Ars Opublikowano 21 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Faktycznie jest, zamieszam go w załączniku. Fixlog_20-02-2015_15-03-18.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Tak, wszystko wygląda na wykonane. Kolejna porcja działań: 1. Usuń używane narzędzia za pomocą DelFix. 2. Przeprowadź skanowanie za pomocą: Hitman Pro i dostarcz wynikowy raport. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się