etihad Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Witam. Wczoraj miałem problem z yoursites123, co skłoniło mnie do przemyślenia czy przeglądarka na innym komputerze też może nie jest czymś zaatakowana (ostatnio AVG wykrył kilka trojanów). Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rucek Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Sprobuj jeszcze zrobic log GMER. Tutaj masz instrukcje: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318Jak nie pójdzie normalnie, to spróbuj w trybie awaryjnym. Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Na tym systemie nie ma żadnych oznak niepożądanych ingerencji. Przedstaw z dziennika AVG w czym były wykryte te infekcje (dokładne ścieżki dostępu). Możesz wykonać tylko skrypt kosmetyczny usuwający wpisy puste (nie powiązane z infekcjami) i czyszczący lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {16B5A3CC-DF7A-4DD7-8361-32354672F563} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4FC72A11-60A2-4F88-A608-D35E67582763} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {51700EE0-56A7-4EFD-920C-7AC35A964E28} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {55630F10-5B7B-4795-94A7-0EF69EFDA052} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {81846745-5E69-415E-8151-B77C1CE240CB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8C8ED6F5-E69C-49CA-8475-8713BDB739A4} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {917847A6-6242-49BA-B1E3-6A2EFDA9482F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {BF53046C-77CE-458C-9AF5-EA7E858D4B9D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {C21436D6-5EEE-4EBD-9D19-E7ADB4D191DF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {CC300695-24CB-485D-848B-23727215D9D5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {F3DA8649-D61B-4758-92D7-B4791CAB17FC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-4167164286-2800572000-69432135-1002\...\Policies\Explorer: [] HKU\S-1-5-21-4167164286-2800572000-69432135-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku SearchScopes: HKU\S-1-5-21-4167164286-2800572000-69432135-1002 -> {392F592B-8806-4511-811E-92CF55F1A26F} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Wysyłanie do programu OneNote.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Apoint /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "ADSK DLMSession" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ADSKAppManager /f C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor1911 C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\GG.lnk C:\Users\Igor\AppData\Roaming\Microsoft\Word\wyznaczanie-współczynnika-załamania304852234113660699\wyznaczanie-współczynnika-załamania.docx.lnk C:\Users\Igor\AppData\Roaming\Microsoft\Word\kolos304854292043535733\kolos.docx.lnk C:\WINDOWS\Tasks\*Info.job EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi już potrzebne. Odnośnik do komentarza
etihad Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 To ścieżki z AVG, a ten program, co kolega wyżej podał nie działa niestety nawet w trybie awaryjnym. Najpierw jest info, że program jest używany przez inny proces, a następnie po włączeniu szukania BSOD. AVG.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2015 Zgłoś Udostępnij Opublikowano 13 Grudnia 2015 (edytowane) Nie dostarczyłeś pliku fixlog.txt. A te wyniki z AVG to nie są trojany: - Kilka ciasteczek śledzących. Wystarczy odwiedzić kilka stron / portali sponsorowanych reklamami i już mamy zestaw na dysku. - Uszkodzony instalator SkypeSetup.exe w Temp. Zadana została komenda EmptyTemp: w skrypcie FRST. - Autoryzacje w Zaporze systemowej od gry Need for Speed™ Rivals. To samo widoczne jest w FRST Addition: FirewallRules: [{896A60AA-CD24-4873-874F-8A8697D3C0B8}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14.exe FirewallRules: [{2A28967D-19CF-4BB1-B7BA-F4E2C51BA356}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14.exe FirewallRules: [{5691C7A5-FA57-48C9-8AD3-CF0459992AFF}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14_x86.exe FirewallRules: [{917068C4-575B-4F0E-9E58-5015B3E3190C}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14_x86.exe FirewallRules: [TCP Query User{E9E6CD04-68CA-4379-B9EB-52DDCDCF4C6C}C:\program files\need for speed rivals\nfs14.exe] => (Allow) C:\program files\need for speed rivals\nfs14.exe FirewallRules: [uDP Query User{1063A32F-E2F2-465F-B7F1-3CC5FD3F8D8B}C:\program files\need for speed rivals\nfs14.exe] => (Allow) C:\program files\need for speed rivals\nfs14.exe Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi