kronong Opublikowano 10 Czerwca 2014 Zgłoś Udostępnij Opublikowano 10 Czerwca 2014 Witam, użytkownik filutka z forum pclab polecił mi napisanie wątku na tym forum, gdyż sama nie może znaleźć rozwiązania. Przeklejam treść: "Dzisiaj pobrałem pewien plik z sieci, który należało rozpakować, lecz był on z rozszerzeniem .exe. Uruchomiłem go, Next, Next. W trakcie rozpakowywania (40%) Avast wykrył mi zagrożenie i natychmiast przerwałem operację oraz usunąłem owy plik. Tak wyglądała operacja rozpakowywania pliku, zdjęcia są na dole, ja dotarłem do 40%: https://malwr.com/analysis/ODJlMDAzMDJmNGUyNGQyODhmMDFlZDA3NzMzNDdiMTA/ Niestety, podczas uruchamiania komputera oraz podczas przeglądania internetu, Avast wywala mi zagrożenie: http://zapodaj.net/74b627393dad0.png.html Problem widzi w svchost.exe, nie mam pojęcia jak to usunąć, Avast podczas skanowania systemu nic nie wykrywa, załączam potrzebne logi. OTL: http://www.wklej.org/id/1388266/ (Extras) http://www.wklej.org/id/1388267/ (OTL) FRST: http://wklej.org/id/1388271/ (Addition) http://wklej.org/id/1388274/ (FRST) Adw-cleaner: http://wklej.org/id/1388283/ Z góry dzięki za pomoc, czekam na Wasze rady PS Log z Adw wykonany poprzez SZUKAJ, następnie USUŃ i skopiowałem zawartość txt z końcówką . Możecie także sprawdzić logi pod kątem innych "ciekawostek", których warto się pozbyć." Link do tematu, byście mogli zobaczyć jakie kroki zostały podjęte: http://forum.pclab.pl/topic/967898-URLMal-podczas-uruchamiania-komputera-i-pracy/page__gopid__12610419&?do=findComment&comment=12610419 Czekam na instrukcje Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2014 Zgłoś Udostępnij Opublikowano 10 Czerwca 2014 Brakuje obowiązkowego tu raportu z GMER (FRST i OTL to inne typy zadań), oraz trzeciego pliku FRST Shortcut. Uzupełnij te dwa logi. EDIT: Chwilka, ale te logi z FRST to są "stare", z poprzedniego forum i to jeszcze sprzed usuwania AdwCleaner oraz skryptów "kosmetycznych", czyli raporty już nie przedstawiają obecnego stanu wiernie (pokazują wpisy już usunięte). Ja tu wymagam podania świeżych logów zrobionych z chwili obecnej. . Odnośnik do komentarza
kronong Opublikowano 10 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2014 GMER (zastosowałem się do Twoich instrukcji, wywaliłem DAEMONa, wyłaczyłem Avasta oraz usunąłem klucz z rejestru - SPTD) : http://wklej.org/id/1388722/ - skan inicjujący http://wklej.org/id/1388735/ - skan pełny partycji systemowej FRST: http://wklej.org/id/1388761/ - FRST http://wklej.org/id/1388764/ - Shortcut http://wklej.org/id/1388766/ - FRST (nie wiem czy to nie to samo co pierwszy, ale wklejam na wszelki wypadek) http://wklej.org/id/1388765/ - Addition Pełny URL: hxxp://getmeegan.info/?e=svon&publisher=1091&country=PL&ind=2165242935708819040&exid=1402407480094740207&ssd=7952933989472151426&hid=16217676353435894089&osid=601&channel=0&sfx=1&jc=1&utid=3&category_name=SaveOnNP2&install_date=20130610 Ten svchost mnie niepokoi, komunikat o tym zagrożeniu pojawia się w różnych odstępach czasu, nie dłuższych niż 1h, ale nawet co 20-30 min. //Poprawiłem na świeże logi, moja nieuwaga Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2014 Zgłoś Udostępnij Opublikowano 10 Czerwca 2014 Co widzę w logach: - Jest tu jedna rzecz, której nie adresowała żadna z procedur, tzn. polityka Google o niesprecyzowanej zawartości (widzi ją tylko FRST, bo OTL w ogóle nie skanuje tego). Mam też pytanie: co to za rozszerzenie w Google o nazwie Heroes & Generals (ma rzadki identyfikator, zaledwie kilka wyników na Google) - skąd instalowane? - Log z GMER wygląda nieco podejrzanie (masowe odwołania ntdll.dll). Uwaga poboczna: uruchamiałeś Rootkit Revealer. To straszny archaizm (program z 2006!), niezdolny wykrywać bieżące infekcje. O tym programie zapomnij. Na razie te działania: 1. Weryfikacja preferencji Google, usunięcie owej polityki Google oraz drobnostki niepowiązane. Otwórz Notatnik i wklej w nim: CMD: type "C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences" Reg: reg query HKLM\SOFTWARE\Policies\Google /s CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {BB50A17E-9841-403D-BC4F-FE1D3F8E806E} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=293224&p={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Task: {D141FFBB-1A4E-475E-BBD0-6EA5B6A640A6} - System32\Tasks\{8FF44871-3CEA-4C0C-AD62-7E2A1FE096B2} => G:\Królowie lata\Królowie Lata The Kings of Summer (2013)Lektor PL IVO.avi\Królowie Lata The Kings of Summer (2013)Lektor PL IVO.avi.exe S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\Users\Admin\AppData\Local\Temp\*.exe C:\Users\HomeGroupUser$ C:\Users\Administrator C:\Users\Gość C:\Windows\SysWOW64\sqlite3.dll Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dodatkowe działania w przeglądarce Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Poboczne operacje nie związane z głównym problemem. Odinstaluj Spybot - Search & Destroy 2, program archaiczny, słabo skuteczny i pół sprawny na systemie 64-bit. Dodatkowo, Spybot wykonał niekorzystną modyfikację pliku HOSTS, więc przywróć go do stanu domyślnego narzędziem Fix-it: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
kronong Opublikowano 10 Czerwca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2014 Fixlog: http://wklej.org/id/1388807/ FRST z opcji Scan: http://wklej.org/id/1388808/ Wszystkie powyższe kroki wykonałem. Dodam iż problem ustał jeszcze przed wykonaniem tych 4 kroków. Sam nie wiem co było powodem, jedyne co zrobiłem to usunąłem ten klucz z rejestru oraz odinstalowałem DAEMONa (którego mam już spory czas, więc to nie jego sprawka). No i wykonałem skan GMEREm. Nic więcej nie robiłem. Mam nadzieję, że nie jest to chwilowe i problem nie powróci jutro. Jeśli widzisz jeszcze jakieś nieprawidłowości w logu, chętnie posłucham Twoich rad. PS Dodatek Heroes &Generals to wtyczka do gry o tej samej nazwie. Obecnie nie posiadam juz jej na komputerze, wiec jest zbędna. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się