Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Złośliwe oprogramowanie w załaczniku zip maila z faktura

siekieramotyka

Przez siekieramotyka
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

siekieramotyka

siekieramotyka

Opublikowano
Opublikowano

Dzień dobry,

 

proszę o sprawdzenie logów, w mailu z załącznikiem zip był prawdopodobnie jakiś wirus i został otwarty. Próbowałem na szybko usunąć dziada używając Malwarebytes oraz adw clenear, który znalazł 3 szkodniki w system32\lkkalcycur.r, All Users\msbzxbsn.exe i jakiś wpis w rejestrze.

 

Wciąż jednak są kłopoty z przeglądarka chrome, wywala info o wymuszeniu danych i wyłącza się.

 

Chciałbym też mieć pewność że nic nie zostało.

 

Dziękuję.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

No cóż, zgraja szkodników w starcie oraz ślady Confickera. Akcja do wdrożenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [!@#$%^&*] => C:\Documents and Settings\kopa\Dane aplikacji\startup\windows process.exe [397312 2015-04-07] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [ipEPckT79VF5HBMh8] => c:\documents and settings\kopa\dane aplikacji\ipepckt79vf5hbmh8\ipepckt79vf5hbmh8.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [X6jFQF2EIgKyy] => c:\documents and settings\kopa\dane aplikacji\x6jfqf2eigkyy\x6jfqf2eigkyy.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [hWmo1fj8e82cPa8O61270] => c:\documents and settings\kopa\dane aplikacji\hwmo1fj8e82cpa8o61270\hwmo1fj8e82cpa8o61270.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [YGbPFsIlT8] => c:\documents and settings\kopa\dane aplikacji\ygbpfsilt8\ygbpfsilt8.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [puClps3g10] => c:\documents and settings\kopa\dane aplikacji\puclps3g10\puclps3g10.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [kiGK7TSTZxt] => c:\documents and settings\kopa\dane aplikacji\kigk7tstzxt\kigk7tstzxt.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [iLg5qNIXVZw4xFuWC] => c:\documents and settings\kopa\dane aplikacji\ilg5qnixvzw4xfuwc\ilg5qnixvzw4xfuwc.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [AvsK2bgKNLwfyd2] => c:\documents and settings\kopa\dane aplikacji\avsk2bgknlwfyd2\avsk2bgknlwfyd2.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [m3TXGJLuoJt5LTNFWXAl] => "c:\documents and settings\kopa\dane aplikacji\m3txgjluojt5ltnfwxal\m3txgjluojt5ltnfwxal.exe"
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [dx6pbHwbHMC05O] => c:\documents and settings\kopa\dane aplikacji\dx6pbhwbhmc05o\dx6pbhwbhmc05o.exe [638816 2009-03-08] (Microsoft Corporation)
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
NETSVC: kfyarka -> C:\WINDOWS\system32\lkkalcuy.dll ==> No File.
S2 kfyarka; C:\WINDOWS\system32\lkkalcuy.dll [X]
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path
C:\Documents and Settings\kopa\Dane aplikacji\29 A Sorted Ending.mp3
C:\Documents and Settings\kopa\Dane aplikacji\AvsK2bgKNLwfyd2
C:\Documents and Settings\kopa\Dane aplikacji\dx6pbHwbHMC05O
C:\Documents and Settings\kopa\Dane aplikacji\hWmo1fj8e82cPa8O61270
C:\Documents and Settings\kopa\Dane aplikacji\ILg5qNIXVZw4xFuWC
C:\Documents and Settings\kopa\Dane aplikacji\IpEPckT79VF5HBMh8
C:\Documents and Settings\kopa\Dane aplikacji\jhuikloyhj
C:\Documents and Settings\kopa\Dane aplikacji\kiGK7TSTZxt
C:\Documents and Settings\kopa\Dane aplikacji\m3TXGJLuoJt5LTNFWXAl
C:\Documents and Settings\kopa\Dane aplikacji\puClps3g10
C:\Documents and Settings\kopa\Dane aplikacji\startup
C:\Documents and Settings\kopa\Dane aplikacji\X6jFQF2EIgKyy
C:\Documents and Settings\kopa\Dane aplikacji\YGbPFsIlT8
C:\Documents and Settings\agr\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Skrót do Pokaż pulpit.lnk
C:\Documents and Settings\agr\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Skrót (2) do Pokaż pulpit.lnk
DeleteKey: HKLM\SYSTEM\ControlSet002\Services\kfyarka
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Deinstalacje:

- Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 8 - Polish, Mozilla Firefox (3.0.19). Ten Firefox to szok.

- Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Skoryguj tapetę użytkownika, gdyż log wskazuje, iż jest ustawiony plik z Temp:

 

HKU\S-1-5-21-2094431546-3998815993-849199213-6447\Control Panel\Desktop\\Wallpaper -> C:\DOCUME~1\KOPALI~1\USTAWI~1\Temp\1.bmp

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...