abuch Opublikowano 29 Grudnia 2016 Zgłoś Udostępnij Opublikowano 29 Grudnia 2016 Win 10 64b, system muli, niestety mam antywirusa z wygasłą licencją g-data...ale jeśli diagnoza jest trafna to i tak niewiele jakikolwiek antywir zrobiłby, prawda? 1. Czy przez OneDrive to się rozniesie na innego komputera, na ktorym am ten sam Dysk wirtualny? 2. Format nie wchodzi w grę, nie mam też wewnętrznego cd-rom, pozostaje zewnętrzny napęd i usb. Sorry, taki asus słuzbowy. Objawy to znaleziony szkodnik na pendrajwie jak w załączniku, potem antywirus znalazl plik wykonywalny.exe już w systemie,, jak w zalaczeniu. Załaczam Gmer i FRST logi. ID raportu G Data virtob.txt ID raportu G Data 2889 nrunt_exe.txt Addition.txt FRST.txt Shortcut.txt gmer12_29.txt Odnośnik do komentarza
Miszel03 Opublikowano 30 Grudnia 2016 Zgłoś Udostępnij Opublikowano 30 Grudnia 2016 G DATA przeniosła do kwarantanny pliki ERUNT, który patrząc po MD5 i po nazwie nie jest szkodliwy - KLIK. 1. Przez panel sterowania odinstaluj: Popcorn Time (nie jestem pewny co do tej detekcji, więc jeśli program znasz i mu ufasz to możesz zostawić). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE (Brak pliku) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku CHR StartupUrls: Profile 1 -> "hxxp://istart.webssearches.com/?type=hp&ts=1404513516&from=amt&uid=TOSHIBAXMK5055GSX_79RJS13JSXX79RJS13JS","hxxps://start.allianz.pl/","hxxps://www.google.pl/" Task: {0528E465-F2D0-4CD3-9B75-AA0A29C1127B} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku C:\Users\Bob\Desktop\Bob\AppData\Roaming\Microsoft\Word\662%20rodzic%20bez%20szpitala%2015%25304696493377610516\662%20rodzic%20bez%20szpitala%2015%25.doc.lnk C:\Users\Bob\Desktop\ASUS\System tool\ASUS InstantOn.lnk C:\Users\Bob\Desktop\ASUS\System tool\Power4Gear Hybrid.lnk C:\Users\Bob\Desktop\ASUS\Business tool\Adobe Reader X.lnk C:\Users\Bob\AppData\Roaming\Skype\My Skype Received Files\Bandicam.lnk C:\Users\Bob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób analizę urządzenia E:\ za pomocą programu UsbFix z opcji Listing oraz Research. Dostarcz raport z tego działania. 4. Zrób skan za pomocą Hitman Pro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
abuch Opublikowano 3 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2017 4. Zanim się zorientowałem to Hitman usunął pliki po skanowaniu. Przywrócić z punktu odtwarzania? HitmanPro_20170103_1211.txt Odnośnik do komentarza
abuch Opublikowano 3 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2017 4 pliki załączam. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 3 Stycznia 2017 Zgłoś Udostępnij Opublikowano 3 Stycznia 2017 HitmanPro wykrył: pup (resztki adware), ciasteczka z przeglądarki oraz rzekomo podejrzany program FRST. To oczywiście fałszywy alarm. Oprócz tych wszystkich raportów prosiłem również o analizę urządzenia E:\ (czyli tego zarażonego, wg GDATA) pendrive. Poprawki: 1. Otwórz Notatnik w nim wklej. CloseProcesses:CreateRestorePoint:SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X]FirewallRules: [{76CDBCB7-7202-4C0B-B9D5-240770F839DB}] => C:\Program Files (x86)\Popcorn Time\Updater.exeFirewallRules: [{87FFF6C6-B0C7-496A-B7E9-6FC1642D34E5}] => C:\Program Files (x86)\Popcorn Time\Updater.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie dostarczaj z tego żadnych raportów. 2. Zrób raport z Farbar Service Scanner. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się