l4rgo Opublikowano 17 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 Witam, kilka dni pojawiła w się systemie poważna infekcja która uszkodziła cześć oprogramowania oraz zmieniała dane odbiorcy podczas wykonywania przelewów. Nie jesteśmy w stanie zainstalować żadnej przeglądarki (działa jedynie Internet Explorer). Przeprowadzone zostało skanowanie programem Adwcleaner. Jako program antywirusowy zainstalowany był Avast który został odinstalowany w celu skanowania narzedziami diagnostycznymi. Na komputerze mamy zainstalowany program księgowy. Bardzo zaleleży nam na usunięciu tego złośliwego oprogramowania. W załączniku dołączam logi FRST oraz GMER. Bardzo proszę o pomoc. Pozdrawiam Addition.txt FRST.txt gmer.txt Odnośnik do komentarza
Rucek Opublikowano 17 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 Brakuje jeszcze raportu Shortcut.txt - z FRST, poniżej instrukcja: https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/ Odnośnik do komentarza
l4rgo Opublikowano 20 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 Witam, przez weekend nie miałem dostępu do komputera firmowego, załączam raport Shortcut.txt, Pozdrawiam Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 20 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 2015-04-17 10:39 - 2015-04-17 10:39 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\pgJv7QIqye34HnxVFQp2AvU 2015-04-17 10:20 - 2015-04-17 10:20 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\3Vn1VN1ivAWgwrF3Dd2FZ 2015-04-17 09:14 - 2015-04-17 09:14 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\2Z0ofjLEZs8cgcCVr 2015-04-16 11:07 - 2015-04-17 10:39 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\startup 2015-04-16 11:07 - 2015-04-16 11:07 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\eg5XuyfZ0ykrIxsvQ Shortcut: C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\ZgN8ZyBhngoonJjN\ZgN8ZyBhngoonJjN.exe (No File) Shortcut: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\kSar2vrcUkqx\kSar2vrcUkqx.exe (No File) C:\Documents and Settings\bb\Ustawienia lokalne\Temp\CCP11s.dll C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cdo1312767964.dll C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cdo1822675921.dll C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cryptoapi4java.dll 2015-04-17 14:38 - 2015-04-17 16:41 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\kSar2vrcUkqx 2015-04-17 17:44 - 2015-04-17 17:44 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\C2DMmTRHdH4 HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [HideSCAHealth] 1 Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\drukuj.bat () HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [!@#$%^&*] => C:\Documents and Settings\bb\Dane aplikacji\startup\sys.exe [512000 2015-04-17] (Acronis) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [eg5XuyfZ0ykrIxsvQ] => c:\documents and settings\bb\dane aplikacji\eg5xuyfz0ykrixsvq\eg5xuyfz0ykrixsvq.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [2Z0ofjLEZs8cgcCVr] => c:\documents and settings\bb\dane aplikacji\2z0ofjlezs8cgccvr\2z0ofjlezs8cgccvr.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [3Vn1VN1ivAWgwrF3Dd2FZ] => c:\documents and settings\bb\dane aplikacji\3vn1vn1ivawgwrf3dd2fz\3vn1vn1ivawgwrf3dd2fz.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [pgJv7QIqye34HnxVFQp2AvU] => c:\documents and settings\bb\dane aplikacji\pgjv7qiqye34hnxvfqp2avu\pgjv7qiqye34hnxvfqp2avu.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [kSar2vrcUkqx] => c:\documents and settings\bb\dane aplikacji\ksar2vrcukqx\ksar2vrcukqx.exe [889976 2015-04-07] (Opera Software) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [C2DMmTRHdH4] => c:\documents and settings\bb\dane aplikacji\c2dmmtrhdh4\c2dmmtrhdh4.exe [638816 2009-03-08] (Microsoft Corporation) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Dla mnie te obiekty wyglądają na egzotyczne, ale to komputer firmowy, więc mogą na nim być nietypowe obiekty Lepiej to wyjaśnić. Znasz je? W każdym bądź razie skróty, będące na pulpicie, Chrome oraz Opery - do usunięcia, bo przekierowują nie tam, gdzie powinny. jessi Odnośnik do komentarza
l4rgo Opublikowano 20 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 Nie jestem w stanie stwierdzić po tym rapocie co to za aplikacje. Napewno skróty do aplikacji umieszczone na Pulpicie są nam znane i używane. Jeśli powinienem dołączyć jakiś dodatkowy raport z innego programu, proszę napisać. Bardzo zależy nam na usunięciu niechcianego oprogramowania. Odnośnik do komentarza
picasso Opublikowano 20 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 To jest definitywnie infekcja - imitacje "Acronis", "Google", "Opera" i "Microsoft". Zaś polityka "HideSCAHealth" nie występuje na systemie XP, więc została dodana wtórnie. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [!@#$%^&*] => C:\Documents and Settings\bb\Dane aplikacji\startup\sys.exe [512000 2015-04-17] (Acronis) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [eg5XuyfZ0ykrIxsvQ] => c:\documents and settings\bb\dane aplikacji\eg5xuyfz0ykrixsvq\eg5xuyfz0ykrixsvq.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [2Z0ofjLEZs8cgcCVr] => c:\documents and settings\bb\dane aplikacji\2z0ofjlezs8cgccvr\2z0ofjlezs8cgccvr.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [3Vn1VN1ivAWgwrF3Dd2FZ] => c:\documents and settings\bb\dane aplikacji\3vn1vn1ivawgwrf3dd2fz\3vn1vn1ivawgwrf3dd2fz.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [pgJv7QIqye34HnxVFQp2AvU] => c:\documents and settings\bb\dane aplikacji\pgjv7qiqye34hnxvfqp2avu\pgjv7qiqye34hnxvfqp2avu.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [kSar2vrcUkqx] => c:\documents and settings\bb\dane aplikacji\ksar2vrcukqx\ksar2vrcukqx.exe [889976 2015-04-07] (Opera Software) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [C2DMmTRHdH4] => c:\documents and settings\bb\dane aplikacji\c2dmmtrhdh4\c2dmmtrhdh4.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 MSICDSetup; \??\E:\CDriver.sys [X] C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk C:\Documents and Settings\All Users\Pulpit\Opera.lnk C:\Documents and Settings\bb\Dane aplikacji\2Z0ofjLEZs8cgcCVr C:\Documents and Settings\bb\Dane aplikacji\3Vn1VN1ivAWgwrF3Dd2FZ C:\Documents and Settings\bb\Dane aplikacji\C2DMmTRHdH4 C:\Documents and Settings\bb\Dane aplikacji\eg5XuyfZ0ykrIxsvQ C:\Documents and Settings\bb\Dane aplikacji\kSar2vrcUkqx C:\Documents and Settings\bb\Dane aplikacji\pgJv7QIqye34HnxVFQp2AvU C:\Documents and Settings\bb\Dane aplikacji\startup C:\Documents and Settings\bb\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\bb\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Documents and Settings\bb\Moje dokumenty\SafePCRepair.exe C:\WINDOWS\avastSS.scr C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\*.tmp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny (loguj się na konto bb a nie Administratora). Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opuść Tryb awaryjny. Drobniejsze rzeczy: - Przez Dodaj/Usuń programy odinstaluj sponsorowany wtręt McAfee Security Scan Plus oraz adware Search App by Ask. - Na wszelki wypadek przeinstaluj przeglądarki. Dodatkowo zresetuj cache wtyczek Google Chrome, by usuinąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
l4rgo Opublikowano 20 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 Zrobiłem wszystko z opisu powyżej, załączam nowe raporty. Fixlog.txt FRST.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 20 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 Wprawdzie poprzednie wpisy zostały usunięte, ale utworzyły się w międzyczasie nowe. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [ZgN8ZyBhngoonJjN] => c:\documents and settings\bb\dane aplikacji\zgn8zybhngoonjjn\zgn8zybhngoonjjn.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [x28L9mM7M0TJLKtY4TnMv] => c:\documents and settings\bb\dane aplikacji\x28l9mm7m0tjlkty4tnmv\x28l9mm7m0tjlkty4tnmv.exe [889976 2015-04-07] (Opera Software) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [bvIkyhS6eVotKhiDws] => c:\documents and settings\bb\dane aplikacji\bvikyhs6evotkhidws\bvikyhs6evotkhidws.exe [889976 2015-04-07] (Opera Software) C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\bb\Dane aplikacji\BvIkyhS6eVotKhiDws C:\Documents and Settings\bb\Dane aplikacji\x28L9mM7M0TJLKtY4TnMv C:\Documents and Settings\bb\Dane aplikacji\ZgN8ZyBhngoonJjN EmptyTemp: Tak jak poprzednio: zapisz jako fixlist.txt obok FRST, wejdź w Tryb awaryjny (na konto bb) i opcja Fix w FRST. Gdy Fix ukończy pracę, nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Odnośnik do komentarza
l4rgo Opublikowano 21 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 21 Kwietnia 2015 Wszystko zrobione wg instrukcji. Fixlog.txt FRST.txt FSS.txt Odnośnik do komentarza
l4rgo Opublikowano 23 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 23 Kwietnia 2015 Czy wykonane instrukcję rozwiązały problem infekcji? Czy mam cierpliwie czekać na odpowiedź Picasso? Odnośnik do komentarza
Rucek Opublikowano 23 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2015 trzeba czekać na odpowiedź Odnośnik do komentarza
picasso Opublikowano 5 Maja 2015 Zgłoś Udostępnij Opublikowano 5 Maja 2015 Wszystko zostało wykonane pomyślnie i ostatni log FRST nie pokazuje już żadnych widocznych obiektów malware. Natomiast pytaniem jest czy usługi automatyczne aktualizacje, Centrum zabezpieczeń i Zapora systemu Windows zostały celowo wyłączone? Kolejna porcja działań: 1. Usuń używane narzędzia za pomocą DelFix oraz wyczyść punkty Przywracania systemu: KLIK. 2. Przeprowadź skanowanie za pomocą Hitman Pro. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się