prtcl Opublikowano 18 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2015 Hey, Zaktualizowałem sobie dziś 2 playery video, które miałem od lat nieaktualizowane - KMPlayer i VLC. Oba prosiły o aktualizację od jakiegoś czasu, ale olewałem to konsekwentnie, gdyż słusznie obawiałem się, że KMP może doinstalować jakieś śmieci (doszły mnie słuchy, że nowsze wersje są zaśmiecone i jak się okazało jest to prawdą), a VLC... zwyczajnie mi się nie chciało (traktuję go zresztą jako player rezerwowy). Do rzeczy, po aktualizacji KMP zauważyłem, że w systemie pojawiło się trochę więcej nowości niż się spodziewałem: Opera, nowy pasek w Firefoksie, zmieniła się też strona startowa na search[dot]eshield[dot]com. Stronę startową zmieniłem sam, wywaliłem też niechcianą wyszukiwarkę z przeglądarki. Odinstalowałem Operę przez programy i funkcje, z tego samego miejsca wyrzuciłem jakieś inne nieznane mi rzeczy, które miały dzisiejszą datę instalacji (ze 2 aplikacje). Jedna aplikacja (chyba właśnie ta związana z modyfikacjami przeglądarki) nie chciała się odinstalować - udało się po ubiciu powiązanego z nią procesu - to było chyba coś z TNT w nazwie,bo ADWCleaner to później doczyszczał. Z rzeczy, których ja nie instalowałem, z dzisiejszą datą mam teraz w "programy i funkcje" widoczne dwie aplikacje - Firefoksa i Chrome Remote Desktop Host - obie miałem już wcześniej w systemie i regularnie z nich korzystam - czy to możliwe, że to aktualizacja, czy może KMP w nich coś mógł namieszać i lepiej przeinstalować dla bezpieczeństwa? Po restarcie przeglądarki ustawiła mi się znów ta dziwna strona startowa. Wtedy ściągnąłem ADWCleaner i przejechałem nim system. Wywaliłem co znalazł, logi w załączniku. Strona startowa przestała się sama zmieniać, więc naiwnie uznałem sprawę za zakończoną i ściągnąłem/odpaliłem jeszcze TFC. Niestety po restarcie systemu dziwaczna strona startowa wróciła Na domiar złego w międzyczasie zanim zorientowałem się że coś jest nie tak korzystałem normalnie z przeglądarki - wpisywałem "hasło główne" i przy pomocy zapamiętywanych haseł w przeglądarce (mam ich tam sporo) logowałem się do serwisów. W związku z tym pytanie, czy istnieje ryzyko, że jakieś hasła zostały wykradzione? Czy któryś z syfów instalowanych z KMP lub obecnych w systemie działa jak keylogger lub w jakiś sposób próbuje wykradać poufne dane? Załączam logi z chyba wszystkiego co trzeba, będę wdzięczny za wskazówki. AdwCleanerC1.txt AdwCleanerS1.txt defogger_disable.txt FRST.txt Addition.txt Shortcut.txt gmer.txt Odnośnik do komentarza
jessica Opublikowano 18 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2015 W związku z tym pytanie, czy istnieje ryzyko, że jakieś hasła zostały wykradzione? Czy któryś z syfów instalowanych z KMP lub obecnych w systemie działa jak keylogger lub w jakiś sposób próbuje wykradać poufne dane? Nie sądzę, by tak było Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {B4019F47-1BEA-4F23-8BDA-5ACD145473A8} - System32\Tasks\{DD7E4D10-2B67-4988-89BE-8FA27BD96D59} => pcalua.exe -a C:\Users\Part\Desktop\Setup.exe -d C:\Users\Part\Desktop FirewallRules: [{543F3638-59A6-439A-A8EE-861141CB3682}] => (Allow) C:\Users\Part\AppData\Local\TNT2\2.0.0.2000\TNT2User.exe SearchScopes: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000 -> {CE7E8A1C-6C85-431B-83C7-D36E3E92F81F} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467 BHO-x32: Skype Browser Helper -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000 -> No Name - {00011268-E188-40DF-A514-835FCD78B1BF} - No File Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File FF NewTab: FF DefaultSearchEngine: eShield Safe Web FF SelectedSearchEngine: eShield Safe Web FF Homepage: hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={6E39E77A-A197-432C-B601-CE722C7A16FD}&i= FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File] CHR Extension: (eShield) - C:\Users\Part\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp [2015-08-18] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix. Powstanie plik fixlog.txt. Daj ten log. Zrób nowe logi FRST - już bez Shortcut. jessi Odnośnik do komentarza
prtcl Opublikowano 18 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2015 Dzięki za pomoc Po zakończeiu skanowania konieczny był reboot. Z dobrych wieści strona startowa jest teraz czysta, przynajmniej na razie Logi w załączniku. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 18 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2015 Otwórz Notatnik i wklej w nim: FirewallRules: [{B33B7699-E908-48B5-AB05-18376319226E}] => (Allow) C:\Users\Part\AppData\Local\Temp\nsq7BF4.tmp\CnetInstaller-10333488.exeFirewallRules: [{F91DDCE0-4E8F-4E63-8A08-B4D7F32D90BF}] => (Allow) C:\Users\Part\AppData\Local\Temp\nsq7BF4.tmp\CnetInstaller-10333488.exeEmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix. Potem możemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.przez SHIFT+DEL usuń pozostały folder C:\FRST.W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL). jessi Odnośnik do komentarza
prtcl Opublikowano 18 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2015 Dzięki śliczne. Załączam logi jakby co (ten z 2 w nazwie oczywiście pierwszy ). Fixlog.txt Fixlog-2.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się