panEdward Opublikowano 12 Lipca 2015 Zgłoś Udostępnij Opublikowano 12 Lipca 2015 Witam, od miesiąca siedzę na pewnym szkoleniu zkoszarowanym, na którym zostanę jeszcze 2 miesiące, kolega w pokoju posiada lapka (jak w temacie), laptop ten jest dość mocno zamulony nie wykluczam infekcji, posiada on ochronę w postaci avasta free antivirus 2015. już po odpaleniu napotykam problem ponieważ laptom długo się odpala, po połączeniu z siecią wifi hotelu i uruchomieniu przeglądarki odrazu przekierowywuje na pseudo witryny przeglądarek typu mysearch.. itp. odpala się również pełno nie chcianych reklam. skanowałem go tym avastem, potem skanowałem adwcleanerem trochę pomogło ale bardzo minimalnie. poniżej zamieszczam log z combofixa. z góry dzięki za odpowiedzi i pozdrawiam serdecznie ComboFix.txt Odnośnik do komentarza
jessica Opublikowano 12 Lipca 2015 Zgłoś Udostępnij Opublikowano 12 Lipca 2015 1) Odinstaluj program YAC (isafe) 2) Zrób logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/ 3) Log GMER też będzie potrzebny, ale poniważ to długo trwa, to może przełożymy to na czas po obejrzeniu logów FRST. jessi Odnośnik do komentarza
panEdward Opublikowano 12 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2015 yac wywalony zmieszczam logi z frst Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 12 Lipca 2015 Zgłoś Udostępnij Opublikowano 12 Lipca 2015 1) Odinstaluj WordAnchor 1.10.0.20 (HKLM-x32\...\WordAnchor_1.10.0.20) (Version: 1.10.0.20 - WordAnchor) 2) Otwórz Notatnik i wklej w nim: Task: {7E0A1E98-510E-4204-BB29-93948B324787} - System32\Tasks\{82B159F4-CCC1-4B9C-ADE4-30B77CE13099} => pcalua.exe -a C:\Users\euro\AppData\Local\Temp\st926.tmp\uninstall.exe -d C:\Windows\system32 -c -install -s -ptid=wpm05083 -sTask: {35B3727B-42F8-407A-804C-70D4BA57B341} - System32\Tasks\{8EBCBF27-15A4-479E-A438-A6D421A5FF5A} => pcalua.exe -a C:\Users\euro\AppData\Local\Temp\Temp1_Audio_Realtek_v6.0.1.5628_XP.zip\04_Audio\5628_PG259_R194_UAAV10a-5013\Setup.exeC:\Program Files (x86)\MiuiTabC:\Program Files (x86)\WordAnchor_1.10.0.20Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fGroupPolicy: Group Policy on Chrome detected <======= ATTENTIONCHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONHKU\S-1-5-21-3046815239-261040755-881543829-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONHKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436534132&z=b9d694e56d021158fa91613g0zac5q0w9c3z2g0e3m&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZTHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436534132&z=b9d694e56d021158fa91613g0zac5q0w9c3z2g0e3m&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZTHKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436534132&z=b9d694e56d021158fa91613g0zac5q0w9c3z2g0e3m&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZTHKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436534132&z=b9d694e56d021158fa91613g0zac5q0w9c3z2g0e3m&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZTHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com?type=hp&ts=1436199827&from=mych123&uid=toshibaxmk5059gsxp_42oec5mztxx42oec5mzt&z=98c767a236e8bc3d484f0beg3z2c7q8gftdt7bbgdqHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com?type=hp&ts=1436199827&from=mych123&uid=toshibaxmk5059gsxp_42oec5mztxx42oec5mzt&z=98c767a236e8bc3d484f0beg3z2c7q8gftdt7bbgdqHKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com?type=hp&ts=1436199827&from=mych123&uid=toshibaxmk5059gsxp_42oec5mztxx42oec5mzt&z=98c767a236e8bc3d484f0beg3z2c7q8gftdt7bbgdqHKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com?type=hp&ts=1436199827&from=mych123&uid=toshibaxmk5059gsxp_42oec5mztxx42oec5mzt&z=98c767a236e8bc3d484f0beg3z2c7q8gftdt7bbgdqHKU\S-1-5-21-3046815239-261040755-881543829-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436534132&z=b9d694e56d021158fa91613g0zac5q0w9c3z2g0e3m&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZTHKU\S-1-5-21-3046815239-261040755-881543829-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436534132&z=b9d694e56d021158fa91613g0zac5q0w9c3z2g0e3m&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZTSearchScopes: HKU\S-1-5-21-3046815239-261040755-881543829-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZT&ts=1436534143&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-3046815239-261040755-881543829-1000 -> OldSearch URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZT&ts=1436534143&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-3046815239-261040755-881543829-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZT&ts=1436534143&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-3046815239-261040755-881543829-1000 -> {1A2E0390-8654-4DBC-BEEA-F7AE98810725} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZT&ts=1436534143&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-3046815239-261040755-881543829-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZT&ts=1436534143&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-3046815239-261040755-881543829-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZT&ts=1436534143&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-3046815239-261040755-881543829-1000 -> {szukaj.gazeta.pl} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5059GSXP_42OEC5MZTXX42OEC5MZT&ts=1436534143&type=default&q={searchTerms}OPR Extension: (Dynamo Combo) - C:\Users\euro\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn [2015-05-20]R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125112 2015-06-24] (XTab system)R2 wasvc_1.10.0.20; C:\Program Files (x86)\WordAnchor_1.10.0.20\Service\wasvc.exe [300120 2015-07-06] (WA)S2 Update Dynamo Combo; "C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe" [X]S2 Util Dynamo Combo; "C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe" [X]C:\Program Files (x86)\Dynamo ComboR1 wafd_vt_1_10_0_20; C:\Windows\System32\drivers\wafd_vt_1_10_0_20.sys [61312 2015-07-06] (WA)S3 cpuz135; \??\C:\Users\euro\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X]EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. 3) Zrób nowe logi FRST 4) Zrób wymagany tu log GMER. jessi Odnośnik do komentarza
panEdward Opublikowano 12 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2015 gmer w toku a tu reszta Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 12 Lipca 2015 Zgłoś Udostępnij Opublikowano 12 Lipca 2015 Otwórz Notatnik i wklej w nim: C:\Users\euro\Desktop\Nowy folder (2)\Picexa.lnkC:\Users\euro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnkOPR Extension: (Dynamo Combo) - C:\Users\euro\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn [2015-05-20]EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix. Poczekamy na log GMER jessi Odnośnik do komentarza
panEdward Opublikowano 12 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2015 log z gmera Odnośnik do komentarza
panEdward Opublikowano 12 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2015 log z gmera i drugi fixlog gmer.txt Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 12 Lipca 2015 Zgłoś Udostępnij Opublikowano 12 Lipca 2015 W logu GMER nie widzę rootkita. Ale jest bardzo dużo odniesień do procesu "ntdll.dll". Włącz swój Antywirus i przeskanuj System. jessi Odnośnik do komentarza
panEdward Opublikowano 12 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2015 ok, a czy te aplikacje gmer, frst i combofix bedą mi jeszcze potrzebne?? jak je usunąć zeby wszystek syf które one wyłapały usunąć? Odnośnik do komentarza
jessica Opublikowano 12 Lipca 2015 Zgłoś Udostępnij Opublikowano 12 Lipca 2015 FRST: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.przez SHIFT+DEL usuń pozostały folder C:\FRST. GMER - chyba ręcznie (dawno tego nie używałam) ComboFix: >START >>> URUCHOM >>> wklej i wywołaj polecenie "C:\Users\euro\Desktop\ComboFix.exe" /uninstall jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się