Baleburg1 Opublikowano 12 Stycznia 2015 Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 Witam. Ostatnimi czasy zauważyłem w monitorze zasobów, w zakładce Sieć>Połączenia TCP, wiele podejrzanych adresów, które okazały się być szkodliwymi. W związku z tym proszę o pomoc i wstawiam odpowiednie logi. Dziękuję. Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... Gmer.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2015 Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 Cytat Ostatnimi czasy zauważyłem w monitorze zasobów, w zakładce Sieć>Połączenia TCP, wiele podejrzanych adresów, które okazały się być szkodliwymi. Zaprezentuj te wyniki i opisz w jaki sposób zdefiniowałeś je jako "szkodliwe". W raportach brak jakichkolwiek oznak infekcji. Do wyczyszczenia tylko wpisy puste (kosmetyka, brak związku z powyższym). 1. Odinstaluj stare wersje Java 7 Update 67, Java 8 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2339661925-3291958849-1774368646-1000\...\MountPoints2: {6a42f142-1eb0-11e3-8f91-806e6f6e6963} - E:\setup.exe BootExecute: autocheck autochk * PCloudBroom.exe \systemroot\system32\BroomData.bit HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = Toolbar: HKU\S-1-5-21-2339661925-3291958849-1774368646-1000 -> No Name - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - No File CHR HKLM\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - No Path S1 A2DDA; \??\C:\USERS\ADMIN\DESKTOP\EEK\BIN\a2ddax86.sys [X] S3 cleanhlp; \??\C:\Users\ADMIN\Desktop\EEK\bin\cleanhlp32.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81837042.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81837042.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" C:\Users\Edyta\Links\GG dysk.lnk C:\Users\Edyta\Favorites\GG dysk.lnk C:\Users\Edyta\Desktop\GG dysk.lnk C:\Users\Edyta\Desktop\GG.lnk C:\Users\Edyta\Desktop\Google Chrome.lnk C:\Users\Edyta\Desktop\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\GG.lnk C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Local\GG\Application\gg.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashPlayerUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Odnośnik do komentarza
Baleburg1 Opublikowano 12 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 Skrypt został wykonany. W załączonym obrazku umieściłem zrzut ekranu przedstawiający, moim zdaniem podejrzane, połączenie. Według tej strony jest ona na czarnej liście. Z drugiej jednak to "Reverse DNS" api.mywot.com (mam to rozszerzenie zainstalowane w przeglądarce). Niemniej jednak mnie to niepokoi. Pozdrawiam. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2015 Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 Nie widzę tu problemu. Ten adres IP należy do WOT: KLIK / KLIK. PS. W międzyczasie zedytowałam skrypt FRST. Nie zostały przetworzone te puste skróty: C:\Users\Edyta\Links\GG dysk.lnk C:\Users\Edyta\Favorites\GG dysk.lnk C:\Users\Edyta\Desktop\GG dysk.lnk C:\Users\Edyta\Desktop\GG.lnk C:\Users\Edyta\Desktop\Google Chrome.lnk C:\Users\Edyta\Desktop\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\GG.lnk C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Local\GG\Application\gg.lnk Ręcznie je wykończ. Po tym skasuj folder FRST z Pulpitu i zastosuj DelFix. Odnośnik do komentarza
Baleburg1 Opublikowano 12 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 Dziękuję za pomoc, najwyraźniej spanikowałem. DelFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2015 Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 GMER dokasuj ręcznie (DelFix go nie adresuje). Pozbądź się też pliku raportu C:\Delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi