bajan1234 Opublikowano 10 Marca 2016 Zgłoś Udostępnij Opublikowano 10 Marca 2016 Proszę o pomoc. 03.10.2016 po włączeniu laptopa zauważyłem komunikat rzekomo od orange że z mojej sieci łączono się z botnetem sality. Wykonałem skan eset smart security 8, niczego nie znalazł. Dlatego zwracam się o pomoc tutaj. Niestety nie mogę dołayczyć loga z GMER gdyż wywala błąd i bluescreen. Proszę o sprawdzenie loga z FRST i jeżeli to możliwe pomoc. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 Ten komunikat może być pochodną innego zainfekowanego komputera zlokalizowanego w Twojej sieci. W raportach widać wprawdzie pewne ślady po infekcji (ustawiony Debugger), ale wyglądają one na nieaktywne. Czyli do wdrożenia tylko drobne czyszczenie:1. Otwórz Notatnik i wklej w nim:CloseProcesses:IFEO\RegWorks.exe: [Debugger] svchost.exeIFEO\RSITx64.exe: [Debugger] svchost.exeBootExecute: autocheck autochk * sdnclean64.exeTask: {0C8E6933-ECFE-44A4-8870-06CC05EBB6ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {157D28B0-3229-43A5-9EC4-B8BED0B2F75E} - System32\Tasks\{DE26C488-2ADA-417D-8BC3-767A39608A03} => pcalua.exe -a "E:\Pobrane\AG3DB Public Release\AG3DBC\bin\Release\AG3DBC.exe" -d "E:\Pobrane\AG3DB Public Release\AG3DBC\bin\Release"Task: {157DCE99-91A4-4231-B289-8CCF3E7B698E} - System32\Tasks\{F792CBFE-675A-4C12-8250-9841D1808C83} => pcalua.exe -a C:\Windows\AppPatch\AppLoc.exe -d E:\Gry\Banished\EDIT\CM3D2EditTrial -c "E:\Gry\Banished\EDIT\CM3D2EditTrial\uninst.exe" "/L0411"Task: {2BF11BE6-1E5C-47C7-9C59-3328376B9EFE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2C850EEC-9D48-4ACA-9C78-E8535038B098} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {314C3EC0-7761-448B-B05A-99E8B2BA57A7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {34956357-672F-46E3-82C9-BEBAC4B81B75} - System32\Tasks\{2288573C-C73A-4C1B-B168-102951861E04} => pcalua.exe -a F:\redist\gfwlivesetup.exe -d F:\redistTask: {3DE4959F-FFD2-4122-95EE-7D3D74E104F1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {485E1CF2-07BB-4336-AFF5-18ABC8F4ACFE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4E724EFD-8FA1-402F-88B0-967DECFF14F5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5375776B-F652-4FB2-9DF6-14CBD28BA067} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {9C61412D-E6DD-44EE-BF2B-248079402E1B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B23CF1CB-BF53-4744-9779-9290563A700F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {B7C01277-8E47-4FB0-95A8-EFFF48B29FE3} - System32\Tasks\{EB21521C-4200-4A39-BEFB-D792B7061637} => pcalua.exe -a "C:\Users\Bajan\Downloads\Silent Hill 3 PL\Silent Hill 3 PL.exe" -d "C:\Users\Bajan\Downloads\Silent Hill 3 PL"Task: {C3AB4EEB-0F61-414A-BCB3-044321F70CD5} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exeTask: {ED7D81DA-5180-4C42-96D9-CFC4A6F38682} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exeTask: {F7968903-2F03-48C3-A6F6-94E88A08AD58} - System32\Tasks\{8DAA0089-5EDF-4122-993E-5CFD439D0B6A} => pcalua.exe -a "E:\Pobrane\Silent Hill 3\directx8.1b\dxsetup.exe" -d "E:\Pobrane\Silent Hill 3\directx8.1b"Task: {FED447C7-F5F8-4332-A3BF-5D540942F3FA} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exeHKU\S-1-5-21-3747112732-852065818-843328708-1001\...\MountPoints2: F - "F:\setup\rsrc\Autorun.exe"CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M191AFA8C-386D-4C06-AF7A-6C8DA97E394D&SearchSource=55&CUI=&UM=8&UP=SP1FAD61C9-73BA-4AE4-946C-A11F550D6A54&SSPV=SP2201TB_sp_ch&SSPV=SP2201TB_sp_chSearchScopes: HKU\S-1-5-21-3747112732-852065818-843328708-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKU\S-1-5-21-3747112732-852065818-843328708-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =FF Plugin HKU\S-1-5-21-3747112732-852065818-843328708-1001: ubisoft.com/uplaypc -> E:\Gry\Settlers\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [brak pliku]C:\ProgramData\TempC:\ProgramData\Spybot - Search & DestroyC:\WINDOWS\SysWOW64\zlib.dllCMD: netsh advfirewall resetEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bajan1234 Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Oto wymagane logi. Dziękuje za pomoc. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 (edytowane) Czy nadal występuje u Ciebie tytułowy komunikat? Natomiast Fix FRST w większości pomyślnie wykonany. Jeden wpis adware w Google Chrome nie został przetworzony. Pod tym kątem: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres trovi.com. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi