Skocz do zawartości

prośba o przeanalizowanie logów


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach brak oznak infekcji, skąd przypuszczenie, że system jest zaniedbany? Ilość zablokowanych reklam jest mało istotna - oprogramowanie typu AdBlock / uBlock Origin nie zablokuje reklam o podłożu infekcyjnym.
Będziemy się zajmować kosmetyką systemową, czyli sprzątaniem systemu z resztek itd. Dla pewności wdrążymy również kompleksowy skan antywirusowy. 
 
1. Przez Panel Sterowania odinstaluj przestarzałe i nieskuteczne już oprogramowanie: Spybot - Search & Destroy.
 
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-18\...\Policies\Explorer: [HideClock] 0
GroupPolicy: Ograniczenia SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
Toolbar: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx 
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx 
S3 ALSysIO; \??\C:\Users\Asus\AppData\Local\Temp\ALSysIO64.sys [X] S3 iscFlash; \??\C:\Users\Asus\AppData\Local\Temp\7zS432C.tmp\iscflashx64.sys [X] S3 TDKLIB; \??\C:\Users\Asus\AppData\Local\Temp\TdkLib64.sys [X] S3 zlportio; \??\C:\Users\Asus\AppData\Local\Temp\7zO4CC1.tmp\zlportio.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X]
S3 RwDrv; \??\C:\Windows\SysWOW64\Drivers\RwDrv.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfoX64.sys [X]
S3 GENERICDRV; \??\G:\medion\amifldrv64.sys [X]
U0 sr; Brak ImagePath
U3 tmlwf; Brak ImagePath
U3 tmwfp; Brak ImagePath
2017-11-11 19:26 - 2017-11-11 19:34 - 000000000 ____D C:\Program Files\Reimage
2017-11-11 19:25 - 2017-11-11 19:33 - 000000150 _____ C:\Windows\Reimage.ini
C:\Users\Asus\AppData\Local\Temp*.html
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku AlternateDataStreams: C:\ProgramData\Temp:115CEE00 [126]
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [260]
AlternateDataStreams: C:\ProgramData\Temp:A724744F [246]
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA [121]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\License Agreement.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Registration.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Wizard.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Äë˙ đóńńęčő.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Honeywell\EZConfig-Scanning v4\EZConfig-Scanning v4_Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park\Game Park.lnk
C:\Users\Asus\Desktop\ubranka itp.lnk
C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ViewPlayCap.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 

4. Dostarcz przefiltrowany raport z opcji sfc /scannow w celu weryfikacja jednego alertu z FRST.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dziękuję za zainteresowanie

System zaniedbany... działa tak od kilku lat/ dyski zmieniane a system pozostał ... od pierwszej instalacji

Trochę popracowałem z usunięciem infekcji i błędów przed napisaniem posta, lecz nadal adblock blokuje według mnie za dużą liczbę reklam, a po wyłączeniu na danej stronie pokazują się reklamówki w ramkach (załączona fotka dla przykładu już po wykonaniu powyższych operacji)

druga fotka po wejściu na stronę główną olx

wszystkie kroki wykonane / logi w załącznikach

 

Addition.txt

Fixlog.txt

FRST.txt

mbam.txt

Shortcut.txt

post-19687-0-39450000-1510585778_thumb.jpg

post-19687-0-78250000-1510585789_thumb.jpg

Odnośnik do komentarza

Wszystko pomyślnie wykonane, skanowanie Integralności odnalazło uszkodzenia, ale zdołało je naprawić - od tej strony wszystko jest OK. 

 

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji - to szczątki, głównie w rejestrze po oprogramowaniu PUP. 

 

2. Sprawdź czy podczas włączonego rozszerznia AdBlock Plus reklamy się włączają - jeśli nie, oznacza to, że to reklamy są o podłożu nieinfekcyjnym. Jak sam wejdę na ten serwis co podałeś to mam multum reklam bez włączonego uBlock Origin - taki dzisiejszy Internet. 

 

 


 

 

Jest niestety uszkodzenia, na które SFC jednak nie ma wpływu (i trzeba je zdiagnozować inaczej):

U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

Muszę się skonsultować z picasso. 

Odnośnik do komentarza
W dniu 13.11.2017 o 16:38, Miszel03 napisał:

Jest niestety uszkodzenia, na które SFC jednak nie ma wpływu (i trzeba je zdiagnozować inaczej):


U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

Muszę się skonsultować z picasso.

 

Tu nie ma uszkodzenia. Mamy do czynienia z następującym systemem:

 

Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska)

 

Na edycjach Home usługa AppMgmt nie występuje. Dzięki temu wpisowi w logach od razu można się zorientować jakie narzędzie używano. To skutek użycia ComboFix, który błędnie "przywraca" wpis tej usługi w rejestrze na edycjach na których jej nie ma być. To niepoprawny i niedziałający element, który należy całkowicie usunąć, a nie "naprawiać".

 

PS. Odczyt "Brak ServiceDLL" odnosi się do rejestru, a nie do obecności pliku na dysku. SFC w ogóle nie zajmuje się reperacjami rejestru, więc nawet gdyby to było rzeczywiste uszkodzenie, poza skalą SFC.

 

 

Odnośnik do komentarza

Są też inne drobne śmieci (puste wpisy, inne wpisy utworzone przez ComboFix, śmieci Asystenta kompatybilności, niepodpisane cyfrowo rozszerzenia FF, etc.) do usunięcia. Wykonaj fixlist.txt o następującej zawartości:

 

U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) 
S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X]
MSCONFIG\Services: SDScannerService => 2
MSCONFIG\Services: SDUpdateService => 2
MSCONFIG\Services: SDWSCService => 2
MSCONFIG\Services: ServiceLayer => 3
Task: {1182B16F-B8D8-4140-A621-7C2FE8B6D2EF} - System32\Tasks\{1A9D120A-E5E8-409E-8C2C-CF76BB62E3DE} => C:\Users\Asus\Desktop\R120ODD1.EXE
Task: {126A863A-55D3-476E-9767-461F6C6D30BC} - System32\Tasks\{4C839ED5-B831-4E68-BD7F-7944BB47B2F5} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\jxpiinstall(1).exe -d C:\Users\Asus\Desktop
Task: {336E5313-1A02-4520-BFA3-7CD289971A72} - System32\Tasks\{B62370DB-A6D2-488E-A8C0-24BE605C53E1} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\rmclock_235_bin.exe -d C:\Users\Asus\Desktop
Task: {42DD5195-B710-4211-8E40-F1F3A969690E} - System32\Tasks\{EEE6898E-0F12-4FCB-8BC3-D6E230FAC236} => C:\Users\Asus\Desktop\R410ODD1.EXE
Task: {458BF3B1-0D09-489B-87BE-4895917CAFA7} - System32\Tasks\{A69C8ADD-7E09-4D8B-89D4-A3C343039A0A} => C:\Program Files (x86)\DVBT\AVCapture.exe
Task: {6AE47AE8-CABC-4E6A-9EAA-9892048C8C66} - System32\Tasks\{9B3478AC-B743-4272-8C95-762194BF5685} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_plugins_430_setup.exe -d C:\Users\Asus\Desktop
Task: {7017B731-C6F5-49C1-BDD7-E05784B8C8EA} - System32\Tasks\{85439239-48E0-4D56-BC32-3BAF080FAB54} => C:\Windows\system32\pcalua.exe -a E:\Software\RE-7500_Driver\Driver\FTDIUNIN.EXE -d E:\Software\RE-7500_Driver\Driver
Task: {8137B42C-5678-4360-986F-B2D1B4FB11E2} - System32\Tasks\{48EA677F-2A64-42ED-A00C-CCA682AF1E16} => C:\Users\Asus\Desktop\R160VOL2.EXE
Task: {87C01D68-5A71-408D-96D0-ACCD63DA5975} - System32\Tasks\{0A2F6E7C-E9C4-43B4-AB67-553EB4174CA4} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\epson324599eu.exe -d C:\Users\Asus\Desktop
Task: {8F8D67D1-79F2-4356-8CA0-3A5DACC79F53} - System32\Tasks\{E837B853-47C2-4F05-93A1-1D18FEAD69AF} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\sp52461.exe -d C:\Users\Asus\Desktop
Task: {B85373ED-EED4-4B01-B708-E07E32537E09} - System32\Tasks\{DA456E5D-2ADC-4A3A-9F16-8BA1E4C1A6BD} => C:\Users\Asus\Desktop\R160VOL2.EXE
Task: {CE426B1F-7B8B-421F-B116-F5D730E93FB5} - System32\Tasks\{75EC2E16-9100-41CC-9137-12008542B49E} => C:\Windows\system32\pcalua.exe -a "C:\Users\Asus\Desktop\kamerka Liftec\Medion\SETUP.EXE" -d "C:\Users\Asus\Desktop\kamerka Liftec\Medion"
Task: {EB6DBCB5-B2BA-4B8A-AFB7-D6186EDA6A0E} - System32\Tasks\{E12FBCCA-EDF5-4957-90E8-8E596C97EE54} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_lang_polski.exe -d C:\Users\Asus\Desktop
Task: {D3E0D1BF-C810-4BBF-A28B-8115CC5FC60A} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe
Task: {EE5CF97D-EF44-4783-86A6-FBF7BD235A41} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe
Task: {F31402AF-0FE2-4238-90B7-DE1C4666ABA9} - System32\Tasks\{688B642D-622B-4E00-A14D-E9217759A7D3} => C:\Users\Asus\Desktop\EEPROM.exe
Task: {FB4CF6EA-73D7-4AAC-B171-AED22AFE1827} - System32\Tasks\{AB74D821-6E27-4E84-BABD-D100B5761601} => C:\Users\Asus\Desktop\EEPROM.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx 
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx 
FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2
RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable)
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\ProgramData\Temp
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Users\Asus\AppData\Roaming\AVAST Software
RemoveDirectory: C:\Users\Asus\AppData\Roaming\TomTom
RemoveDirectory: C:\Windows\System32\Tasks\Norton Identity Safe
RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking
StartBatch:
del /q C:\ProgramData\mntemp
del /q C:\Users\Asus\Downloads\antimalwaresetup.exe
del /q C:\Windows\system32\Drivers\25C68225.sys
netsh advfirewall reset
EndBatch:

 

Przedstaw wynikowy fixlog.txt.

 

 

PS. I na przyszłość czego nie pobierać: Avenger (przestarzały), HijackThis (przestarzały, natywnie niezgodny z systemem 64-bit), Plumbytes (lewy program). Przy okazji, właściwości lecznicze ComboFix są na dzień dzisiejszy słabe, program nie ma specjalizacji w infekcjach adware/PUP i coraz mniej osób go używa w procedurach dezynfekcji (a ja ostatni raz zaleciłam go ... kilka lat temu). Pokasuj z Pobranych ostatnie narzędzia.

Odnośnik do komentarza

Dzięki wielkie, już odpalam

combofix wiem, że stary sam go używałem kilka lat temu i tak mi się teraz o nim przypomniało

hijack próbowałem po raz pierwszy

ogólnie to dość dziwne mam zachowanie przeglądarek z tymi reklamami - bo w zasadzie czysto a jednak się pchają reklamy tzw.behawioralne i żadne wyłączenia, usuwanie ciasteczek itp, itd nie działają

Odnośnik do komentarza

Pomoc błyskawiczna i na bardzo dużym poziomie za co dziękuję

System oczyszczony z błędów  i śmieci, to się czuje ... podczas pracy

natomiast strony w dalszym ciągu po wyłączeniu adblocka wyświetlają reklamy jakich nie ma pracując na drugim sprzęcie i praktycznie przy tych samych ustawieniach przeglądarek.

adblock oczywiście blokuje ale to musi spowalniać daną stronę w pewnym stopniu - zdjęcie olx2 zamieszone wyżej ogólna liczba zablokowanych elementów na stronach wynosiła 5275 (zrzut wykonany wczoraj około 16tej, adblock był wcześniej przeinstalowany) obecnie ogółem zablokowanych 10830 !!

wszystkie przeglądarki zachowują się tak samo, po zainstalowaniu innej, następnej  na dzień dobry ramki i reklamy

Trudno jakoś będę z tym żył na razie do przeinstalowania systemu

Forum jak najbardziej będę rozpowszechniał i polecał

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...