Alphaobik Opublikowano 3 Stycznia 2017 Zgłoś Udostępnij Opublikowano 3 Stycznia 2017 Witam serdecznie, to mój pierwszy post na forum, więc z góry przepraszam, za wszelkie błędy, staram się maksymalnie odnosić do instrukcji by było wszystko w porządku. Otóż od wczoraj mam pewien problem. Na jednym komputerze (1) prawdopodobnie mam jakąś infekcję. Po włożeniu pendrive do owego komputera zobaczyłem linki do folderów na tym pendrive, po wejściu w link otwiera mi się nowe okno z zawartością danego folderu, wszystkie pliki są widoczne i da się w nie wejść. Natomiast jeśli próbuję stworzyć nowy plik lub folder na pendrive to natychmiast tworzy jego kopię. Zawartość pendrive mam na komputerze, więc nie ma problemu. Zrobiłem błąd ponieważ ten sam pendrive sprawdziłem na dwóch innych komputerach (2 i 3) i otworzyłem linki, z tego co czytałem to zainfekowałem je także. Potem na drugim komputerze(2) włączyłem dwa inne pendrive i natychmiast foldery w nich będące zmieniły się w linki. Na komputerze 2 Avast nie wykrył żadnych zagrożeń, tak samo na wszystkich 3 pendrivach. Następnie zainstalowałem Malwarebytes i wykrył 50 zagrożeń, które poddał kwarantannie. Pendrive'y sformatowałem, ale ponownie gdy coś na nie kopiuje natychmiast zmienia się w link. W załączniku wrzucam logi FRST i GMER a także raport z malwarebytes po skanie z komputera 2, w którym w trakcie skanu były wpięte wszystkie 3 pendrive'y. Od tego komputera chciałbym zacząć czyszczenie. Proszę o pomoc i wytłumaczenie w miarę łopatologicznie, jako, że nie jestem biegły w tych tematach. Pozdrawiam serdecznie, Marcin Addition.txt FRST.txt Shortcut.txt GMER.txt malwarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 4 Stycznia 2017 Zgłoś Udostępnij Opublikowano 4 Stycznia 2017 Skoro zwartość pendrive masz na komputerze, to najlepszym wyjściem będzie jakiego kompleksowe sformatowanie. W tym systemie / raportach widać głównie infekcje adware, ale jest również szkodnik Trojan:VBS/Kalhine.A (KLIK) i to prawdopodobne jest winowajca problemów z pendrive.1. Przez panel sterowania odinstaluj: Adware / PUP: Ringtones Maker Packages Zbędniki: Akamai NetSession Interface 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" HKU\S-1-5-21-1190775597-3038459951-4028443085-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] ()HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-1190775597-3038459951-4028443085-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = Toolbar: HKU\S-1-5-21-1190775597-3038459951-4028443085-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak plikuCHR HomePage: Default -> hxxp://search.babylon.com/?affID=110825&tt=5212_8&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfdCHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=110825&tt=5212_8&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfd","hxxp://search.babylon.com/?affID=110825&tt=5212_1&babsrc=HP_ss&mntrId=7c4e86d40000000000008ca98206ecfd"S3 dbx; system32\DRIVERS\dbx.sys [X]S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\BatteryCare\WinRing0x64.sys [X]EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Dołącz również zestaw obowiązkowych raportów z następnego komputera. Odnośnik do komentarza
Alphaobik Opublikowano 4 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2017 Zanim zrobię kroki, wspomniane wyżej chciałbym jeszcze zapytać: 1. Czy mam to robić z wpiętymi pendrive ? 2. Czy jak sformatuje pendrive'y to wszystko będzie z nich usunięte i to wystarczy ? 3. Czy jak zrobię wszystkie kroki, to jest możliwość zniszczenia plików albo programów ? Jestem w trakcie pisania pracy i mam na komputerach mega ważne projekty ArchiCada, które w najbliższych dniach muszę oddać skończone. Odnośnik do komentarza
Miszel03 Opublikowano 4 Stycznia 2017 Zgłoś Udostępnij Opublikowano 4 Stycznia 2017 1. Czy mam to robić z wpiętymi pendrive ? Nie, pendriva masz podpiąć dopiero wtedy gdy będziesz go formatował. 2. Czy jak sformatuje pendrive'y to wszystko będzie z nich usunięte i to wystarczy ? Tak, dane z pendriva zostaną bezpowrotnie (ale to chyba nie problem, skoro masz kopie tych danych) skasowane, przy czym również infekcja. 3. Czy jak zrobię wszystkie kroki, to jest możliwość zniszczenia plików albo programów ? Jestem w trakcie pisania pracy i mam na komputerach mega ważne projekty ArchiCada, które w najbliższych dniach muszę oddać skończone. Z początku w skrypcie (punkt 1) uwzględniłem usuwanie pustych skrótów od tego ArchiCAD, ale na wszelki wypadek je wywaliłem ze skryptu. Jeśli wszystko wykonasz wg powyższych zaleceń nie dojdzie do uszkodzenia, p.s zrób w miarę możliwości kopie tej pracy. W skrypcie z większych zmian to usuwam: HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" HKU\S-1-5-21-1190775597-3038459951-4028443085-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Ola\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () ...ale to ma związek z infekcją. Odnośnik do komentarza
Alphaobik Opublikowano 4 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2017 Okej, komp nr 2. wydaje się być okej, wszystkie 3 pendrive'y sformatowane i sprawdzone- nie tworzą się już skróty. W załączniku, przesyłam logi, o które prosiłeś. Co do 1 komputera, zrobię logi, jak tylko mnie narzeczona na niego puści, następnie je wstawię. AdwCleanerC0.txt Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Alphaobik Opublikowano 5 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2017 Witam serdecznie ponownie, w załączniku wrzucam obowiązkowego logi z komputera numer 1, ta sama prośba dotycząca ArchiCada co wcześniej. Malwarebytes wykrył na nim raptem 4 zagrożenia, a to od tego komputer się zaczęło. Na tym komputerze w ostatnim czasie prawdopodobnie padła jedna z dwóch kart graficznych i pewnie będzie to widoczne- była wyłączona w menadżerze sprzętu, a aktualnie już jej nie wykrywa całkiem. Pozdrawiam, Marcin Addition.txt FRST.txt Shortcut.txt malwarebytes.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 5 Stycznia 2017 Zgłoś Udostępnij Opublikowano 5 Stycznia 2017 KOMPUTER 2 Proszę uważnie wykonywać moje zalecenia, bo np. w pkt 5 mojego pierwszego posta prosiłem tylko i wyłącznie o raport z opcji Szukaj, a nie z opcji Szukaj i Oczyść. Na szczęścicie wykryte elementy nadawały się do kasacji. Wygląda to już o wiele lepiej, teraz przeprowadź skanowanie przy pomocy narzędzia HitmanPro, jeśli coś wykryję to niczego nie usuwaj. Dostarcz z tego skanowania raport. KOMPUTER 1 Ten komputer również jest zainfekowany infekcją Trojan:VBS/Kalhine.A (KLIK). Komentując wyniki z Malwarebytes: to są tylko aktywatory cracków. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Marcin\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" HKU\S-1-5-21-2793137438-1847085760-1212310075-1000\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Marcin\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = Toolbar: HKU\S-1-5-21-2793137438-1847085760-1212310075-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to tak postąpisz tak ja w przypadku komputera numer 2. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Jeśli chodzie o te wpisy, to wcale nie jestem przekonany co do wpisuje sygnalizującym o braku ImagePath, więc w tej sprawie skonsultuje się z picasso. U3 BcmSqlStartupSvc; Brak ImagePath U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 iATAgentService; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 nvUpdatusService; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerService; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 RtLedService; Brak ImagePath U2 SeaPort; Brak ImagePath U2 SoftwareService; Brak ImagePath U3 SQLWriter; Brak ImagePath U2 Stereo Service; Brak ImagePath Odnośnik do komentarza
Alphaobik Opublikowano 5 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2017 KOMPUTER 2: W załączniku raport z HitmanPro, nic nie usuwałem tym razem. Przepraszam, za poprzednie. KOMPUTER 1: Jeśli chodzi o to ImagePath może ma to związek z kartą graficzną która padła, kilka dni temu i menadżer urządzeń jej nie widzi ? Proces będę robił jeszcze dziś, jak tylko narzeczona wróci, wtedy wstawię rzeczy, o które prosiłeś. [EDIT] KOMPUTER 1 W załaczniku wrzucam logi po akcjach o które prosiłeś. HitmanPro_20170105_2034.txt Addition.txt Fixlog.txt FRST.txt Shortcut.txt KOMPUTER 1 HitmanPro.txt Odnośnik do komentarza
Miszel03 Opublikowano 5 Stycznia 2017 Zgłoś Udostępnij Opublikowano 5 Stycznia 2017 KOMPUTER 2:Wyniki z HitmanPro oprócz aplikacji FRST nadają się do kasacji.KOMPUTER 1:Też mi się tak wydaję, właśnie dlatego nie będę tego ruszał. Proces będę robił jeszcze dziś, jak tylko narzeczona wróci, wtedy wstawię rzeczy, o które prosiłeś. OK, jak będziesz je wstawiał użyj opcji Edytuj w poście. Odnośnik do komentarza
Miszel03 Opublikowano 6 Stycznia 2017 Zgłoś Udostępnij Opublikowano 6 Stycznia 2017 KOMPUTER 1: Komentując wyniki z HitmanPro, do kasacji: C:\Users\Marcin\Desktop\MARCIN\Programy\codec_pack_214302_ff.exe C:\Users\Marcin\Desktop\MARCIN\Programy\LUMION5.0\LUMION5.0\lumion.5.pro-patch.exe HKU\S-1-5-21-2793137438-1847085760-1212310075-1000\Software\Softonic\ (Softonic) Generalnie wygląda to już w porządku, Podsumuj te dwa komputery i dodaj zestaw raportów z trzeciego komputera. Odnośnik do komentarza
Alphaobik Opublikowano 6 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2017 Komputer 1 i 2, wszystkie kroki wykonane tak jak prosiłeś, wszystko działa, foldery już się nie tworzą na pendrivach, Komputer 3: Prawdopodobnie na nim podłączyłem tylko zainfekowanego pendrive, jednak nic nie klikałem. Pendrive'y normlanie na nim działają. W załączniku jednka wrzucam logi z FRST. Z GMERA nie mogłęm, ponieważ wyświetliło długi komunikat, w którym byłą informacja, że plik nie jest podpisany cyfrowo (robiłem wszystko jako admin i na wyłączonych ochornach antywirusa). Jednak GMER mimo to się uruchomił, zrobił quick scan który nic nie wykazał, natomiast później nie mogłem zaznaczyć wszystkich opcji do skanu, zaznaczone były tylko dolne 3, a reszta zablokowana. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 8 Stycznia 2017 Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Tak, komputer numer 3 jest czysty, a skoro piszesz, że na wszystkich komputer dezynfekcja się udała, to będziemy kończyć. Na wszystkich komputerach Usuń narzędzia diagnostyczno / dezynfekcyjne oraz zaktualizuj ważne programy - KLIK / KLIK. Wyczyść również punkty przywracania systemu (z nich można przez przypadek otworzyć szkodnika) - KLIK. Odnośnik do komentarza
Alphaobik Opublikowano 8 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Okej, zastosowałem się do zaleceń. Dziękuję serdecznie za pomoc. Już myślałem, że w momencie, kiedy komputery mi są potrzebne najbardziej wszystko pójdzie na marne.Dziękuję! Temat do zamknięcia. Odnośnik do komentarza
Miszel03 Opublikowano 8 Stycznia 2017 Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Okej, zastosowałem się do zaleceń. OK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się