picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Za późno doedytowałam, jeszcze te obiekty z folderu Windows Defender trzeba skasować: C:\Program Files\Windows Defender\MSASCui.exe.config C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpAsDesc.dll.mui.9iz3S.aGhM6 C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpEvMsg.dll.mui.fSRV1.5269q C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MsMpRes.dll.mui.yv8.x65m Zrób nowy skrypt do FRST i pokaż log wynikowy. Dotacja na serwis wykonana. Wielkie dzięki! Odnośnik do komentarza
jknuk Opublikowano 29 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Gotowe Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Teraz: 1. Nowy skrypt do FRST o postaci: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Windows\system32\config\HiveBackup Zaprezentuj wynikowy fixlog.txt. 2. Po wykonaniu skryptu zrób pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś znajdzie, zaprezentuj raport. Odnośnik do komentarza
jknuk Opublikowano 29 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Wykonane. Program znalazl 5 kluczy w rejestrze. Fixlog.txt Malwarebytes.txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 1. Coś szybko jesteś z powrotem - to na pewno był pełny skan MBAM a nie szybki? Jeśli chodzi o wyniki, to tylko drobne szczątki adware - usuń za pomocą programu. 2. Na koniec skasuj pobrany FRST. Następnie zaaplikuj Delfix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
jknuk Opublikowano 29 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Kliknąłem wielki przycisk Scan Now i tyle. Ok wszystko zrobione na tamtym kompie - jeszcze raz dzięki. Dla ciekawości odpaliłem sobie Anti-Malware u siebie na lapku i coś tam wykryło... np roboot64.exe, żadnych objawów nie mam no ale może prewencyjnie bym wrzucił logi, nie wiem czy tu czy w nowym temacie, sorki za kłopot. EDIT: Dobra wrzucam, jak spojrzałem to niezłe kwiatki mam u siebie, ehhh Addition.txt FRST.txt Malwarebytes.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Te Twoje "kwiatki" to nic szczególnego: głównie odpadki adware. Obiekt RiskWare.Tool.CK punktujący C:\Windows\KMService.exe to crack Office, ekhm, do ominięcia. Bardziej kosmetyczne działania (na szczątki adware i puste / odpadkowe wpisy) tutaj niż jakieś straszne edycje: Skrypt fixlist.txt do FRST: CloseProcesses: CreateRestorePoint: R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [File not signed] S3 WINIO; \??\C:\Program Files (x86)\QMacro\hknms.sys [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Run: [] => [X] HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\Explorer: [] HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Winlogon: [shell] explorer.exe, SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKU\S-1-5-21-3147454950-3773726357-3176012894-1001 -> {FF9858AD-FFBA-4360-B551-CB47AB646635} URL = FF Plugin-x32: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files (x86)\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.) C:\Program Files (x86)\Yahoo! C:\ProgramData\iqrjmdeq.fak C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WUFI® 5 C:\Users\Krzysieq\AppData\Local\Temp0canimage.jpg C:\Users\Krzysieq\AppData\Roaming\OpenCandy C:\Users\Krzysieq\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Sony PC Companion 2.1.lnk C:\Users\Krzysieq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Windows\System32\roboot64.exe C:\Windows\SysWOW64\ezSharedSvcHost.exe CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s C:\Windows\QMDispatch.dll CMD: sc config "Mobile Partner. RunOuc" start= disabled CMD: sfc /scanfile=C:\Windows\Microsoft.NET\Frameworkx86\v4.0.30319\mscorsvw.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acrobat Assistant 8.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony PC Companion" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Systweak /f Reg: reg delete HKCU\Software\Systweak /f EmptyTemp: Uruchom FRST i kliknij w Fix. Nastąpi restart - pokaż fixlog.txt. Odnośnik do komentarza
jknuk Opublikowano 29 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 No to super, że nie ma nic poważnego. Log w załączniku. Co do skanu Anti-Malware to zaznaczyłem opcję rootkit i na tym drugim kompie już skanuje ponad godzine i znalazł póki co tylko 2 "witaminki" Jak wszystko ok to temat można zamknąć. Pozdrawiam Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Skrypt wykonany. Możesz skasować FRST oraz poczęstować się DelFix. Ponownie uruchomiony skan MBAM nie powinien wykryć nic poza pozycjami "RiskWare.Tool.CK". Jeśli jednak zaplączą się wyniki opisane jako "Backdoor.Hupigon", to już je dokasuj za pomocą MBAM. Odnośnik do komentarza
jknuk Opublikowano 29 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Ok, jeszcze raz dziękuję. Pozdrawiam EOT Odnośnik do komentarza
Rekomendowane odpowiedzi