shanq Opublikowano 26 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2015 Witam. Po podłączeniu pendrive'a komputer zwolnił na kilka godzin, jednak po tym czasie zaczął działać normalnie. Chcę się upewnić, czy nie mam żadnych wirusów. Logi w załączniku. Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2015 Zgłoś Udostępnij Opublikowano 5 Maja 2015 Infekcja owszem jest, ale to nie pochodna pendrive lecz lewej paczki do Tibia (Tibia MULTI-IP Changer) - w starcie działa niejaki windate.exe (to jest logger). Przykład z forum jakie konsekwencje może mieć jego pobyt = włamanie na konto Tibia: KLIK. Akcje do wdrożenia: 1. Odinstaluj Ace Stream Media 3.0.1. To program z utajonym modułem adware: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: D:\Documents and Settings\Kuba i Michał\Menu Start\Programy\Autostart\windate.exe [2015-04-07] () HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k D:\Documents and Settings\All Users\Dane aplikacji\TEMP D:\Documents and Settings\Kuba i Michał\Pulpit\Programy i gry\Tibia MULTI-IP Changer.lnk D:\WINDOWS\*.lang D:\WINDOWS\memlist.dat D:\WINDOWS\Language.dat D:\WINDOWS\Language D:\WINDOWS\Last.dat D:\WINDOWS\libcurl.dll D:\WINDOWS\libeay32.dll D:\WINDOWS\os4.exe D:\WINDOWS\test.dat D:\WINDOWS\ipchanger.exe D:\WINDOWS\Ip Changer Updater.exe D:\WINDOWS\ssleay32.dll D:\WINDOWS\windate.exe D:\WINDOWS\zlib1.dll RemoveProxy: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitTorrent DNA" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
shanq Opublikowano 5 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2015 Logi w załączniku. Musiałem drugi raz włączyć fix. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Maja 2015 Zgłoś Udostępnij Opublikowano 6 Maja 2015 Jaki powód podwójnego uruchomienia? Fix jest jednorazowy i nie wykona ponownie tego samego. W Fixlog od góry do dołu "not found", bo już to zostało usunięte za pierwszm razem. Pomijając to, ten śmierdziel Tibia usunięty. Ale: 1. W raporcie nie ma śladów tego czyszczenia i nadal są puste wpisy: 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Powtórz zadanie. 2. W międzyczasie nowe niekorzystne zmiany. Zainstalowałeś Alcohol 120%, który jest sponsorowany przez niepożądany progam Smart File Advisor. Nie wiem jak to jest w wersji Alcohol 120%, ale w Alcohol 52% ten "Advisor" jest trwale zintegrowany i ma zszarzone pole wyboru przy instalacji Alcohola (!), więc teoretycznie nie da się tego uniknąć. Jest to jednak możliwe: należy podczas instalacji Alcohola odciąć połączenie sieciowe, co uniemożliwi instalację tego "Advisora". Czyli: odinstaluj Smart File Advisor (jeśli to instalacja sprzężona, usunie to też Alcohol), a jeśli Alcohol niezbędny ponów jego instalację wg podanych kroków z brakiem sieci. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition (ale nie Shortcut). Odnośnik do komentarza
shanq Opublikowano 6 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2015 Jaki powód podwójnego uruchomienia? Fix jest jednorazowy i nie wykona ponownie tego samego. W Fixlog od góry do dołu "not found", bo już to zostało usunięte za pierwszm razem. Uruchomiłem drugi raz, ponieważ za pierwszym razem podczas fix'u antywirus wykrył coś w pliku FRST.exe i go usunąłem. Logi w załączniku. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Uruchomiłem drugi raz, ponieważ za pierwszym razem podczas fix'u antywirus wykrył coś w pliku FRST.exe i go usunąłem. Fałszywy alarm. AVG będzie wykrywał w FRST "nieznane zagrożenie", Avast nawet nie pozwala go pobrać, F-Secure blokuje uruchomienie, i tak dalej. Jest to nieumiejętność antywirusów, by ocenić poprawnie aplikację. Te problem będzie występował, dopóki antywirusy nie zmienią swoich detekcji lub (w co wątpię że nastąpi) FRST zostanie podpisany cyfrowo. W nowych raportach nie widać już "Smart Advisora" na dysku, tylko wpis wyłączony w msconfig. Kończymy: 1. Start > Uruchom > regedit i skasuj ten klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor 2. Usuń używane narzędzia za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmień dane logowania związane z Tibia. Odnośnik do komentarza
shanq Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 Log z DelFix'a w załączniku. DelFix.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się