Trager Opublikowano 19 Września 2016 Zgłoś Udostępnij Opublikowano 19 Września 2016 FRST: http://www.wklej.org/id/2855952/txt/ Addition: http://www.wklej.org/id/2855961/txt/ Shortcut: http://www.wklej.org/id/2855967/txt/ Odnośnik do komentarza
picasso Opublikowano 19 Września 2016 Zgłoś Udostępnij Opublikowano 19 Września 2016 Brak opisu problemu, jaka była infekcja (gdzie wykyta), czym czyszczona i jaki jest obecnie stan systemu (czy wszystko w porządku). Był też używany DelFix i poprzednie dane (o ile były), zostały usunięte. W dostarczonych logach nie widać oznak aktywnej infekcji. Do czyszczenia tylko szczątkowe wpisy. 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 22 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 HPSLPSVC; C:\Users\MARCIN~1\AppData\Local\Temp\7zS44C6\hpslpsvc64.dll [X] U4 DiagTrack; Brak ImagePath HKLM\...\StartupApproved\Run: => "ETDCtrl" HKLM\...\StartupApproved\Run: => "BtServer" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1046488821-2392662828-2514841194-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-1046488821-2392662828-2514841194-1001 -> {A359A327-2ECE-4F31-9AEA-31ACBDC86F2F} URL = CHR DefaultSearchURL: Default -> hxxp://pandasecurity.mystart.com/results.php?searchsource=omnibar&pr=vmn&id=pandasecuritytb&v=2_3&ent=ds_671&q={searchTerms} CHR DefaultSearchKeyword: Default -> yahoo CHR HKLM-x32\...\Chrome\Extension: [fdhbkaahephniejapepaiggngjnedpci] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes FirewallRules: [{E367B26A-36A6-4282-875E-685DA6FE049C}] => (Block) C:\windows\system32\svchost.exe AlternateDataStreams: C:\WINDOWS\splwow64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\appidapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\appidsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\AppxAllUserStore.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DevicePairing.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\dnsapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\dnsrslvr.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\eventcls.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\InkEd.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\kmddsp.tsp:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MDMAgent.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MFMediaEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mfplat.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\msxml6.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\profsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\QSHVHOST.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\QSVRMGMT.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasapi32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rascfg.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasdiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasmxs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasser.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\schedsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\schtasks.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SkyDrive.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SkyDriveTelemetry.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\spoolsv.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SyncEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SystemSettings.Handlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\taskeng.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\tzsync.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\untfs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vpnike.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vssapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vsstrace.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Immersive.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\WinSCard.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\WSDApi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\WSDMon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\appidapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\AppxAllUserStore.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\DevicePairing.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\dnsapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\eventcls.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\InkEd.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\kmddsp.tsp:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\MFMediaEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mfplat.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\msxml6.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\QSHVHOST.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\QSVRMGMT.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasapi32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rascfg.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasdiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasmxs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasser.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\schtasks.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\taskeng.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\untfs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\vssapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\vsstrace.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Immersive.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\WinSCard.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\WSDApi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\agilevpn.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthenum.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthport.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\BTHUSB.SYS:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\dam.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\intelpep.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndistapi.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndproxy.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\pdc.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\wanarp.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\wfplwfs.sys:$CmdTcID [64] C:\Users\marcin danielewicz\AppData\Roaming\wpulog.txt C:\WINDOWS\system32\Drivers\etc\hosts.ccebak C:\WINDOWS\system32\Drivers\etc\HOSTS_2016-09-03.BAK Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są już potrzebne. Odnośnik do komentarza
Trager Opublikowano 20 Września 2016 Autor Zgłoś Udostępnij Opublikowano 20 Września 2016 Dziękuje za skrypt Fixlog http://www.wklej.org/id/2857288/txt/ Odnośnik do komentarza
picasso Opublikowano 20 Września 2016 Zgłoś Udostępnij Opublikowano 20 Września 2016 Skrypt pomyślnie wykonany. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
Trager Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Witam HitmanPro,dalej coś wykrywa-http://wklej.org/id/2865632/ -czy to false positive? Malwarebytes go nie wykrywa Odnośnik do komentarza
picasso Opublikowano 24 Września 2016 Zgłoś Udostępnij Opublikowano 24 Września 2016 To jakiś drobny szczątek adware z przeszłości, do usunięcia. Odnośnik do komentarza
Trager Opublikowano 24 Września 2016 Autor Zgłoś Udostępnij Opublikowano 24 Września 2016 Dziekuję,można temat zamknąć Odnośnik do komentarza
Rekomendowane odpowiedzi