Pobrałem plik tzw Poczty Polskiej

[Grisz]

Zrobiłem coś bardzo głupiego i teraz nie wiem ile mi została czasu bo czytałem ze skutki mogą być opłakane.

Jak w temacie pobrałem plik z maila i próbowałem go odpalić w międzyczasie opamiętałem się i gdy za drugim razem Comodo krzyknął ze nie wolno to zablokowałem i wybrałem opcje usuń wprowadzone zmiany ale nie wiem na ile to się powiodło.

Wydaje mi się ze mimo wszystko coś się dostało.

Proszę o pomoc w załączniku logi z różnych programów

 

c:\programdata\edyzetosoryhyquq

to badziewie mnie bardzo zastanawia

powiedzmy ze to usunąłem ale nie wiem czy w 100%

 

Przepraszam jeżeli powieliłem temat ale próbuje działać szybko.

 

Pozdrawiam

FRST.txt

Addition.txt

ComboFix2.txt

[picasso]

Raporty z FRST skonfigurowane niezgodnie z wytycznymi w przyklejonym temacie. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. O reszcie felerów z raportami mówił już Rucek.

 

W podanych raportach FRST nie widać żadnych oznak tej infekcji, choć jest ustawione jakieś dziwne proxy. Do wykonania działania poboczne:

 

1. Do deinstalacji stare wersje Adobe AIR, Java 7 Update 75, Java 8 Update 31, Java SE Development Kit 7 Update 75 oraz program Spybot - Search & Destroy (to obecnie mierny skaner i przeważnie nie rozwiązuje żadnych bieżących spraw infekcji). I skoro zainstalowany ESET Smart Security, to nie dubluj funkcji i pozbądź się COMODO Firewall.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicyScripts: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3125787238-854365603-2573035606-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-3125787238-854365603-2573035606-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
FF NetworkProxy: "no_proxies_on", ""
FF NetworkProxy: "type", 0
R3 catchme; \??\C:\Users\Sidoruk\AppData\Local\Temp\catchme.sys [X]
S3 EverestDriver; \??\D:\EVEREST Home Edition\kerneld.wnt [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X]
S3 SenFiltService; system32\drivers\Senfilt.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
U3 mbr; \??\C:\ComboFixnew\mbr.sys [X]
HKU\S-1-5-21-3125787238-854365603-2573035606-1000\...\Run: [Mobile Partner] => C:\Program Files\PLAY Web partner\PLAY Web partner
Task: {374BED84-5D3C-47DD-B1A7-AC82038193AC} - System32\Tasks\{7A998E86-D25C-4FC4-8C2F-CBA1AEC857FF} => pcalua.exe -a C:\Users\Sidoruk\Downloads\VMware-player-12.1.0-3272444.exe -d C:\Users\Sidoruk\Downloads
Task: {8A84490B-39BD-4181-8C37-A65F7559F543} - System32\Tasks\{82DD5D82-AEE0-4906-B62E-5AAF4C8E5626} => pcalua.exe -a "C:\Program Files\Analog Devices\SoundMAX\SMax4.cpl" -c SoundMAX
Task: {AAD064C1-F276-413D-9A8B-115DD87C22FC} - System32\Tasks\{E5F42BE9-DC75-48F9-91CA-79B1CAEE865D} => pcalua.exe -a K:\Setup.exe -d K:\
Task: {E6E4B37B-3E7D-453B-B8EC-9320A436FF3C} - System32\Tasks\{75B62C3B-89F3-41E5-8B06-716441EE98F1} => pcalua.exe -a C:\Users\Sidoruk\Downloads\VirtualBox-4.3.22-98236-Win.exe -d C:\Users\Sidoruk\Downloads
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso