brother Opublikowano 17 Grudnia 2017 Zgłoś Udostępnij Opublikowano 17 Grudnia 2017 Program ESET SmartSecurity wyświetla komunikat: Nie można wyleczyć pliku. W pliku na komputerze znaleziono potencjalnie niepożądaną aplikację (JS/CoinMiner.B.) Komputer może być zainfekowany. Komunikat wyświetla się gdy zabieram się za oglądanie seriali na fili.tv i klikam w źródła streamango, rapidvideo, openload itp. Od dłuższego czasu coś drenowało mi baterię laptopa gdy z niego nie korzystałem. Ponadto podczas korzystania dało się słyszeć regularne "kliknięcia" mimo, że ja w tym czasie np. oglądałem film bądź surfowałem po sieci. Próbowałem: - Kaspersky Virus Removal Tool - HitmanPro - Malwarebytes - Anti-Malware - dołożyłem dodatek No Coin do firefoxa Powyższe programy nie wykryły/usunęły niczego związanego z problemem lub też ja tego nie zauważyłem (Malwarebytes bardzo długo skanował, wyszedłem z domu, po powrocie laptop był już po restarcie... nie sprawdzałem raportu) Przestałem słyszeć "kliknięcia" ale nadal oglądając serial na wspomnianej wcześniej stronie dostaje ten sam komunikat ESETa. Być może któryś z powyższych programów tymczasowo uporał się z problemem ale rewizyta na stronie URL ponowiła problem. Dodatkowe pytanie: Czy korzystanie z np. linuxowego systemu uchroni mnie przed złośliwym oprogramowaniem do kopania krypto-walut? Czy jest jakieś rozwiązanie na windowsa? Najwyraźniej dodatek No Coin nie do końca daje radę. Proszę o pomoc. Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 18 Grudnia 2017 Zgłoś Udostępnij Opublikowano 18 Grudnia 2017 Dodatkowe pytanie: Czy korzystanie z np. linuxowego systemu uchroni mnie przed złośliwym oprogramowaniem do kopania krypto-walut? Na systemy Linux złośliwego oprogramowania jest w ogóle bardzo mało (jest to mało opłacalne dla cyberprzestępców, ze względu na niską popularność). Istnieje możliwość zainfekowania, ale mniejsza. Raporty nie wykazują infekcji. Strona, o której mówisz posiada ważny certyfikat SSL, nie jest również notowana jako podejrzana w bazach programów antywirusowych. Wdrążę skanowanie Integralności systemu Windows na wykluczenie modyfikacji Windows (oprócz tego kasacja szczątek po programach, martwych wpisów + kompleksowe czyszczenie lokalizacji tymczasowych), obowiązkowo dostarcz raporty ze wcześniejszych skanów. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X] S3 PcdrNdisuio; syswow64\drivers\pcdrndisuio.sys [X] ContextMenuHandlers1: [AlcoholShellEx] -> {32020A01-506E-484D-A2A8-BE3CF17601C3} => -> Brak pliku AlternateDataStreams: C:\Users\Public\.DS_Store:AFP_AfpInfo [122] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Application Compatibility Toolkit\Demo Application\Mitigating Application Issues Using Shims - Lab Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Angielski dla dzieci 7 Diamentów wersja 3.0\Katalog produktów.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Zinio Reader 4.lnk C:\Users\Public\Desktop\Update NOD32 license.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
brother Opublikowano 20 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 20 Grudnia 2017 Miszel03, strona może i bezpieczna ale odnośniki, na które trzeba klikać aby obejrzeć dany odcinek często przenoszą użytkownika gdzie indziej. Prawie zawsze otwierają się też dodatkowe okna z reklamami. Niestety do wcześniejszych skanów używałem programów w wersji portable, po skanie program zamykałem i nie mam pojęcia gdzie szukać raportów. Załączam plik z ESETa, który wyszczególnia co wyłapał i przesunął do kwarantanny. Logi z HitmanPro (dostaje komunikat, że nie mam uprawnień aby załączyć ten log na forum) i Rogue Killer wykonane przed zastosowaniem fixa przez FRST. Log z SFCfix również przed fixem przez FRST (no corruptions were detected). Po zastosowaniu fixa pojawiły się problemy: - word przy próbie zamknięcia wyświetla monit o tym, że zostały dokonane zmiany w szablonie globalnym - Normal. Pyta czy te zmiany zapisać. Klikam TAK, monit znika ale program się nie zamyka. Klikam ANULUJ, ta sama sytuacja. Klikam NIE - program się zamyka ale po ponowym otwarciu ta sama sytuacja. - nie mogę drukować dokumentów z adobe acrobat reader, pojawiają się monity: Nie można wydrukować dokumentu. Podczas drukowania dokumentu wystąpił błąd. - Przynajmniej trzy programy, które wcześniej działały, teraz nie otwierają się, wyskakują monity: An error occurred: System. UnauthorisedAccessException: Odmowa dostępu do ścieżki 'C:\Users\Bartek\AppData\Local\Temp\... Ponownie sprawdziłem integralność windows sfc /scannow tym razem odnaleziono uszkodzone pliki ale nie można naprawić niektórych z tych plików. Reszta w logach. Fixlog.txt Addition.txt FRST.txt quar_info.txt rk_59F5.tmp.txt sfc.txt SFCFix.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Grudnia 2017 Zgłoś Udostępnij Opublikowano 27 Grudnia 2017 - word przy próbie zamknięcia wyświetla monit o tym, że zostały dokonane zmiany w szablonie globalnym - Normal. Pyta czy te zmiany zapisać. Klikam TAK, monit znika ale program się nie zamyka. Klikam ANULUJ, ta sama sytuacja. Klikam NIE - program się zamyka ale po ponowym otwarciu ta sama sytuacja. Monit o zapisanie zmian w szablonie globalnym Normal.dot lub Normal.dotm jest wyświetlany zawsze podczas zamykania programu Word. - nie mogę drukować dokumentów z adobe acrobat reader, pojawiają się monity: Nie można wydrukować dokumentu. Podczas drukowania dokumentu wystąpił błąd. Przeinstaluj Adobe Acrobat Reader. - Przynajmniej trzy programy, które wcześniej działały, teraz nie otwierają się, wyskakują monity: An error occurred: System. UnauthorisedAccessException: Odmowa dostępu do ścieżki 'C:\Users\Bartek\AppData\Local\Temp\... Jakie to programy? Przeinstaluj je. Bardzo dziwny efekt, nigdy coś takiego się nie zdażyło. Ponownie sprawdziłem integralność windows sfc /scannow tym razem odnaleziono uszkodzone pliki ale nie można naprawić niektórych z tych plików. Z tego co widzę, to w raporcie wszystkie znalezione naruszenia zostały naprawione. Jeśli zaś chodzi o główny problem to, chyba wiem co jest nie tak. Strona fili.tv ma po prostu bardzo nachalne reklamy, wręcz niebezpieczne. Wszystkie poniższe hosty to hosty malware. hxxp://62.138.16.85/dlLfE7mcMsV hxxps://tidafors.xyz/list.jQuery.plugin.min.js hxxps://coinhive.com/lib/coinhive.min.js hxxp://176.57.220.131/ hxxps://channel1vids.com/ hxxp://chi-photography.com/Ivana-Baquero-nude hxxp://pl.newtabtv.com/lp2?pub_id=3013&sub_id=384153516891&srcid=1438329 Albo zrezygnuj z odwiedzanie tego serwisu, albo spróbuj zainstalować rozszerzenie uBlock Origin (najlepszy bloker przekierowywań na tego typu stronach). Myślę, że osobne blokowanie tych stron jest poprostu bezsensowne, bo strona i tak wytworzy kolejne reklamy. Odnośnik do komentarza
brother Opublikowano 27 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 27 Grudnia 2017 Spróbowałem odinstalować Adobe Acrobat Readera - Wyskakuje błąd 2203. Database: C:\windows\Installer\...ipi. Cannot open database file. System error -2147287035. Spróbowałem naprawić go poprzez opcję wbudowaną w program "napraw instalację programu" - identyczny błąd. Ściągnąłem instalkę Adobe, gdy instalator zaczyna instalacje, program przestaje odpowiadać i się zamyka. Programy, które wcześniej działały a teraz wyświetlają monit z błędem o ścieżce AppData\Local\Temp to programy do nauki z serii SuperMemo ale także Rosetta Stone. Zdaje się, że zapisywały jakieś pliki w Tempie, który przecież został wyczyszczony. Spróbowałem więc ponownie zainstalować owe programy ale otrzymuje komunikaty: Failed to create temporary folder. C:\Users\Bartek\AppData\Local\Temp\... lub Error! Can't initialize plug-ins directory. Please try again later. Zainstalowałem dodatek uBlock Origin, wcześniej korzystałem z AdBlock Plus. Liczę na dalszą pomoc... Pozdrawiam. Odnośnik do komentarza
Miszel03 Opublikowano 27 Grudnia 2017 Zgłoś Udostępnij Opublikowano 27 Grudnia 2017 Tak, ale pliki tymczasowo są odnawialne przez programy. To wygląda na problem z uprawnieniami. Pojutrze rozpisze zadania. Odnośnik do komentarza
brother Opublikowano 28 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 28 Grudnia 2017 Chyba trafiłeś w sedno. Każda instalacja jakiegokolwiek oprogramowania kończy się fiaskiem. Odnośnik do komentarza
Miszel03 Opublikowano 28 Grudnia 2017 Zgłoś Udostępnij Opublikowano 28 Grudnia 2017 Póki co wycofamy wszystko co było usuwane w Fix. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: RestoreQuarantine: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go. Odnośnik do komentarza
brother Opublikowano 28 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 28 Grudnia 2017 Wykonałem podane kroki, natomiast nie nastąpił restart systemu po fixie (trwał kilka sekund). Log poniżej. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Grudnia 2017 Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 Jak się mają sprawy po ponownym uruchomieniu systemu? Odnośnik do komentarza
brother Opublikowano 29 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 Już po pulpicie widzę, że zostały przywrócone niektóre pliki (skróty). Natomiast jeśli chodzi o działanie office czy pozostałych programów i możliwość instalowania czegokolwiek to problem pozostał bez zmian - wyskakują identyczne komunikaty o błędzie co wcześniej... Sprawdziłem uruchomione usługi, instalator windows był wyłączony więc go uruchomiłem ale nic to nie zmieniło podczas prób instalacji (nadal nie mam dostępu do folderu C:\Users\Bartek\AppData\Local\Temp\...) Z ciekawości sprawdziłem właściwości folderu C:\Users\Bartek i w zabezpieczeniach widzę pełne prawa dla grup: System, Bartek, Administratorzy natomiast są tam jeszcze dwie grupy: HomeUsers i Konto Nieznane (S-1-5-5-0-207078) oba bez żadnych uprawnień. Odnośnik do komentarza
Miszel03 Opublikowano 29 Grudnia 2017 Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 No właśnie. Skonsultuje się z picasso (nie wykluczone, że przejmie temat). Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się