tamir Opublikowano 25 Listopada 2015 Zgłoś Udostępnij Opublikowano 25 Listopada 2015 Proszę o sprawdzenie logów po infekcjach wykrytych przez NIS.Dziennik systemu zawiera wiele komunikatów o błędach. Załączam logi FRST dodaje raport NIS'a Addition.txt FRST.txt Shortcut.txt Raport NIS.txt Odnośnik do komentarza
picasso Opublikowano 25 Listopada 2015 Zgłoś Udostępnij Opublikowano 25 Listopada 2015 Proszę o sprawdzenie logów po infekcjach wykrytych przez NIS. NIS raportował pobieranie szkodliwego pliku i to niby zatrzymał, aczkolwiek coś nie za skuteczne to musiało być, gdyż pojawiła się niepożądana świeża instalacja "AnySend" oraz adware "QuickSearcher" w Firefox. Ponadto, w systemie jest obiekt wyglądający na infekcję złapaną znacznie wcześniej, to na pewno nie jest "GaduGadu": HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\Run: [GaduGadu] => C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe [56472 2014-03-20] (Microsoft Corporation) Widać też niezałatane przeglądarki w starych wersjach: Firefox 35.0.1, IE9, Opera 12.01 z krytyczną luką SSL - najnowsza wersja tej linii z łatą, choć i tak stara, to Opera 12.17. I ogólnie czas już odświeżyć zawartość całego systemu, dużo przestarzałych aplikacji. Tym to się zajmiesz na własną rękę. Ja tylko doczyszczę podstawowe rzeczy. Dziennik systemu zawiera wiele komunikatów o błędach. Error: (11/25/2015 02:30:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: ACS.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x5641d52e Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x9d4 Godzina uruchomienia aplikacji powodującej błąd: 0xACS.exe0 Ścieżka aplikacji powodującej błąd: ACS.exe1 Ścieżka modułu powodującego błąd: ACS.exe2 Identyfikator raportu: ACS.exe3 Błąd gry Assassins Creed Syndicate, nie wiem z jakiego powodu. Error: (11/25/2015 11:03:14 AM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. Error: (11/25/2015 01:54:06 AM) (Source: Software Protection Platform Service) (EventID: 8193) (User: ) Description: Wystąpił błąd harmonogramu aktywacji licencji (sppuinotify.dll), kod błędu: 0x80070005 Error: (11/25/2015 11:49:10 AM) (Source: DCOM) (EventID: 10001) (User: ) Description: C:\Windows\System32\slui.exe -Embedding5{F87B28F1-DA9A-4F35-8EC0-800EFCF26B83} Te błędy wyglądają na skutki crackowania Windows. Error: (11/25/2015 11:03:13 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu: %%1275 Error: (11/25/2015 11:03:13 AM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\Drivers\Kmm4xNT.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Przestrzały sterownik niekompatybilny z Windows x64. Już zablokowany przez system, ale i tak go usunę. Error: (11/25/2015 11:04:00 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Ten bez znaczenia. Ale można go usunąć posługując się narzędziem Fix-it: KLIK. Error: (11/25/2015 11:03:12 AM) (Source: Microsoft-Windows-DNS-Client) (EventID: 1012) (User: ZARZĄDZANIE NT) Description: Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. To wygląda na nieaktualny błąd. Plik Hosts jest na miejscu. Pod kątem czyszczenia systemu z infekcji i pustych wpisów (w tym skrótów w Menu Start): 1. Odinstaluj Adobe AIR, Adobe Flash Player 12 Plugin, Adobe Reader 6.0.1, AnySend, Browser Configuration Utility. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\Run: [GaduGadu] => C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe [56472 2014-03-20] (Microsoft Corporation) HKLM-x32\...\Run: [bCU] => "C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe" HKLM-x32\...\Run: [JMB36X IDE Setup] => C:\Windows\RaidTool\xInsIDE.exe S2 Kmm4xNT; C:\Windows\SysWow64\Drivers\Kmm4xNT.sys [95484 2002-04-26] (DATOM Dariusz Cielebąk) S1 EIO64; system32\DRIVERS\EIO64.sys [X] S3 GPCIDrv; \??\G:\ASRock 960GM-GS3 FX\OC Guru\GPCIDrv64.sys [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Extension: Quick Searcher - C:\Users\Tadek\AppData\Roaming\Mozilla\Firefox\Profiles\epooierz.default-1426892647573\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-11-25] [brak podpisu cyfrowego] URLSearchHook: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 - (Brak nazwy) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {59FB080E-FBB8-4c50-AACB-88398E034FF2} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {B0BECF4F-572B-46b9-A095-D36AC1ABC9D3} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku Task: {30954809-6658-42A4-82DD-1883D1890CC2} - System32\Tasks\{382B2174-4864-4D13-A091-17E28A590AEE} => pcalua.exe -a "G:\WinRAR\7-Zip 4.64 PL.exe" -d G:\WinRAR Task: {60FC499D-C7B9-448D-9BD9-AEDDED8FAEAF} - System32\Tasks\{D49BD548-9834-403E-B6B0-E3461D3CA1E5} => pcalua.exe -a H:\AutoRun\Setup32.exe -d H:\AutoRun Task: {A50169F4-58C4-4B4B-9F9F-0F53A1EC012B} - System32\Tasks\{E2F9A9ED-BA62-4F99-8807-D4C07226829D} => G:\ASUS EAH5750\AMD Catalyst\GPUTweak2_Ver1057_ 20150626\GPUTweakII.exe Task: {DE414DDA-9B66-4A03-BAEA-A65588EA60E4} - System32\Tasks\{DE85DA7A-1188-474B-ACE8-66C9A5401930} => G:\Ontrack EasyRecovery Pro\EasyRecovery.exe StandardProfile\AuthorizedApplications: [C:\Windows\explorers.exe] => Enabled:explorers C:\Program Files (x86)\Temp C:\ProgramData\desktop.ini C:\ProgramData\mazuki.dll C:\ProgramData\Nero C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ARMA 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3 Splitter\009soft.com.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3Filter\Documentation (rus)\AC3Filter & SPDIF.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Assassins Creed Syndicate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Catalyst Control Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CI Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD2SVCD Software bundle C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DYNALOG limited C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EasyRecovery Professional C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PocketRAR C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rebellion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Słownik ortograficzny PWN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SQUARE ENIX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StrongRecovery 2.1\Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StrongRecovery 2.1\History.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VSO\ConvertXtoDVD 5\ Sterowniki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VSO\DVD Converter Ultimate 3\ Sterowniki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VSO\VSO Video Converter 1\ Sterowniki C:\Users\Tadek\ves.dat C:\Users\Tadek\AppData\Local\user_data.ini C:\Users\Tadek\AppData\Roaming\PStrip.* C:\Users\Tadek\AppData\Roaming\Tadekv1.18.0 - Trial versionlog.dat C:\Users\Tadek\AppData\Roaming\winamp5571_pro_all.exe C:\Users\Tadek\AppData\Roaming\ASPackage C:\Users\Tadek\AppData\Roaming\Opera Software C:\Users\Tadek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Games.lnk C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBF Viewer 2000 C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Whispered Secrets - The Story of Tideville - Collector's Edition C:\Users\Tadek\Desktop\MULTIMEDIA\Google Chrome.lnk C:\Users\Tadek\Desktop\MULTIMEDIA\Mozilla Thunderbird.lnk C:\Users\Tadek\Desktop\MULTIMEDIA\Origin.lnk C:\Users\Tadek\Desktop\MULTIMEDIA\YouTube Player.lnk C:\Users\Tadek\Desktop\NARZĘDZIA\Adobe Reader 6.0.lnk C:\Users\Tadek\Desktop\NARZĘDZIA\Nero\Nero*.lnk C:\Users\Tadek\Desktop\NARZĘDZIA\BURN\Express Burn.lnk C:\Users\Tadek\Desktop\Sprzęt\EasyRecovery Professional.lnk C:\Users\Tadek\Desktop\Sprzęt\mIRC.lnk C:\Users\Tadek\Desktop\Sprzęt\Onis 2.5.lnk C:\Users\Tadek\Desktop\Sprzęt\Ontrack Crisis Center.lnk C:\Users\Tadek\Desktop\Sprzęt\XFast USB.LNK C:\Users\Tadek\Desktop\Sprzęt\OC Guru\GIGABYTE OC GURU.lnk C:\Users\Tadek\Desktop\Sprzęt\GT630\ASRock OC Tuner.lnk C:\Users\Tadek\Documents\MAGIX\Video deluxe 2013 Plus\*.lnk C:\Windows\SysWow64\Drivers\Kmm4xNT.sys File: C:\Windows\system32\User32.dll File: C:\Windows\SysWOW64\User32.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows wyczyść z prawokliku gałęzie Aplikacja i System, a w sekcji Dzienniki aplikacji i usług > Microsoft > Windows wyczyść CodeIntegrity. Po akcji zresetuj system, by nagrały się tylko bieżące błędy. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
tamir Opublikowano 25 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2015 NIS po restarcie zameldował ponownie usunięcie infekcji i pliku assassins-creed-syndicate-fix-v_1_1_30.exe pewnie franca działa nadal dołączam nowe logi. Addition.txt Fixlog.txt FRST.txt Nowy raport NIS.txt Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2015 Zgłoś Udostępnij Opublikowano 26 Listopada 2015 NIS po restarcie zameldował ponownie usunięcie infekcji i pliku assassins-creed-syndicate-fix-v_1_1_30.exe Pełna ścieżka: c:\users\tadek\desktop\assassins creed syndicate\assassins-creed-syndicate-fix-v_1_1_30.exe Ta nazwa sugeruje, że to jakiś crack do Assassins Creed Syndicate ręcznie przez Ciebie pobrany. Wszystko pomyślnie usunięte. Brak nowych obiektów w logu, a w Dziennikach nie nagrał się żaden nowy błąd. Kończymy: 1. Usuń folder G:\00 Raporty i logi\FRST. Następnie zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji wszystkie przeglądarki. Na widoku także większe porządki na dysku, o których mówiłam. Odnośnik do komentarza
tamir Opublikowano 26 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2015 Serdecznie dziekuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi