cossack Opublikowano 29 Września 2016 Zgłoś Udostępnij Opublikowano 29 Września 2016 Witam Z tego co zauważyłem, mój temat nie jest odosobniony i nawet dzisiaj był poruszany. Otóż, po powrocie do mieszkania z pracy i włączeniu laptopa, zasypała mnie fala alertów z Avasta. Dostęp do internetu miałem tymczasowo zablokowany. Powodowała to CyberTarcza Orange. Z informacji przez nią wyświetlonych, dowiedziałem się, że sieć domowa mogła zostać zaatakowana przez "trojan ruskill". Na wstępie zaznaczę, że w mieszkaniu znajdują się cztery laptopy. Zadzwoniłem na infolinię Orange i polecono mi zresetować ruter, w celu odzyskania połączenia z internetem. Faktycznie, internet jest, ale strach przed możliwością posiadania na laptopie wirusa mogącego wykraść hasła pozostał. Przeskanowałem laptopa Avastem i już nie wykrywa żadnych problemów. W załączniku dodałem wymagane dwa raporty. Może na ich podstawie da się określić czy laptop został zainfekowany? Z góry dziękuję za pomoc, pozdrawiam! Shortcut.txt GMER.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Tak jak w przypadku wszystkich innych tematów, zero objawów infekcji trojanem. Jak wspominałam w konkurencyjnych wątkach, Cybertarcza stawia diagnozę na podstawie IP, a to w sieci Orange jest zmienne i mogłeś otrzymać IP będące wcześniej w użyciu przez zainfekowany "element". Polecono Ci reset routera asygnujący inne IP i to wszystko co można w tej kwestii zrobić. Dla świętego spokoju możesz dodać raporty z pozostałych lapków w sieci. PS. Do wykonania poboczne działania: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 21 NPAPI, Adobe Reader X MUI, Java 6 Update 20. To zagrożenie infekcjami szyfrującymi dane. Najnowsze wersje w przyklejonym: KLIK. 2. Drobny kosmetyczny skrypt usuwający wpisy szczątkowe i przekierowania gazeta.pl (prawdopodobnie wtręty wprowadzone przez instalację AllPlayer lub czegoś podobnego). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {06854BE8-025E-4083-BDC4-533096D2A033} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {7CFF3F1D-8562-4D2D-A071-2CE3982B9B21} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {994C86AD-A929-4B2C-88A0-4E25A107A029} - System32\Tasks\Microsoft\Windows\SystemRestore\SR => C:\Windows\system32\srtasks.exe Task: {A6AF9377-77CE-47AB-AD7D-EC32CAD0C82D} - System32\Tasks\Microsoft\Windows\Location\Notifications => C:\Windows\System32\LocationNotificationWindows.exe Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku S3 Tosrfcom; Brak ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-1725284843-4271641495-247276432-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=190" FF Homepage: hxxp://www.gazeta.pl/0,0.html?p=190 FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files (x86)\GUT9A0E.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLSubtitleSearcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Bartosz\Downloads\Niepotwierdzony 164862.crdownload C:\Users\Public\Desktop\Rejestracja gwarancji firmy Toshiba.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne. Odnośnik do komentarza
cossack Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Dziękuję bardzo za pomoc. Odinstalowałem podane aplikacje. Jeżeli chodzi o resztę lapków, wieczorem postaram się wkleić raporty. Tym czasem w załączniku dodaję raport z FRST. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 Skrypt FRST pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz drugi FRST z Pulpitu. Wyczyść też foldery Przywracania systemu: KLIK. I czekam na logi z pozostałych systemów. Odnośnik do komentarza
cossack Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 Wszystko zrobione, dziękuje bardzo. W załączniku raporty z drugiego lapka. Niestety nie mam obecnie możliwość przesłania raportów z pozostałych laptopów. Na koniec mam jeszcze jedno pytanie. Jeżeli ktoś ma zawirusowany komputer, to czy jest możliwe by przez wspólną sieć domową zainfekowało drugiej osobie komputer? Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Na koniec mam jeszcze jedno pytanie. Jeżeli ktoś ma zawirusowany komputer, to czy jest możliwe by przez wspólną sieć domową zainfekowało drugiej osobie komputer? Zależy z jakim typem infekcji mamy do czynienia. Wirusy, robaki sieciowe czy infekcje szyfrujące dane jak najbardziej mogą się "przerzucać" na inne komputery, bądź szyfrować dyski innych komputerów. Ale jak mówię, póki co tu nie ma żadnych śladów tego rodzaju infekcji. I w tym komputerze brak oznak tytułowej infekcji. Tutaj tylko do wywalenia niepożądany sponsorowany Bing uruchamiany w starcie + skutki jego obecności w Firefox, ale nie jest to związane z problemem Cybertarczy. 1. Odinstaluj stary program YouTube Downloader. On prawdopodobnie w ogóle już nie działa. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2577532048-60505754-3398219096-1002\...\Run: [bingSvc] => C:\Users\Oliwia\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-03-22] (© 2015 Microsoft Corporation) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-2577532048-60505754-3398219096-1002 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo C:\Users\Oliwia\AppData\Local\Microsoft\BingSvc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść Firefox z przekierowań Bing: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia trzeba będzie przeinstalować. Zamiast Adblock Plus polecam jednak uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. Odnośnik do komentarza
cossack Opublikowano 19 Października 2016 Autor Zgłoś Udostępnij Opublikowano 19 Października 2016 Przepraszam, że dopiero teraz odpisuje, ale wcześniej nie miałem kiedy.Otóż zrobiłem wszystko według instrukcji. Bardzo dziękuję za pomoc.W załączniku dodaje raport. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2016 Zgłoś Udostępnij Opublikowano 22 Października 2016 Skrypt pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz FRST i jego logi z folderu ftps na Pulpicie. Następnie wyczyść punkt Przywracania utworzony przez FRST: KLIK. To wszystko. Odnośnik do komentarza
cossack Opublikowano 13 Listopada 2016 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2016 Bardzo dziękuję za pomoc,pozdrawiam! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się