watFiree Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Witam , wczoraj CyberTarcza Orange zablokowała mi internet ponieważ wykryła na którym PC locky . Wykonałem skan Malwarabytes ale znalazło tylko jakieś pliki od Lenovo. Mógłby ktoś sprawdzić mi logi i doradzić co mogę jeszcze zrobić ? EDIT: Proszę o sprawdzenie tych nowych z FRST (GMER narazie szuka) Addition_07-10-2016 15.02.43.txt FRST_07-10-2016 15.02.43.txt Shortcut_07-10-2016 15.02.43.txt Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Na przyszłość: zabrakło obowiązkowych plików FRST Shortcut i GMER. Ale już to sobie darujmy, wątpliwe by w nich były dane wnoszące coś do sprawy. Skan Cybertarczy bazuje na IP a nie zawartości systemu, więc tu nie da się zrobić nic więcej niż wymusić zmianę IP (Orange przypisuje adresy zmienne) poprzez reset urządzenia sieciowego. W podanych tu raportach nie ma żadnych oznak tej infekcji. Znaleziska MBAM nie powiązane z problemem, MBAM wykrył świństwa adware/PUP preintegrowane na laptopach Lenovo. Przy próbie rozwiązywania problemów zainstalowałeś dodatkowe programy i obecnie jest za dużo antywirusów, co powinno być obrazowane problemami z wydajnością i długim startem Windows. PS. Tylko poboczne działania: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj nadwyżkę antywirusów AVG lub ESET Smart Security; preintegrowane na Lenovo aplikacje wątpliwej konduity z grupy Pokki Host App Service, Lenovo Web Start, Start Menu; sponsorowany przez adware YTD Video Downloader 4.9.1. - Uruchom Program Install and Uninstall Troubleshooter i usuń za jego pomocą Metric Collection SDK 35. 2. Doczyszczanie wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC64~1.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC32~1.DLL => Brak pliku HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-3820551375-3570498258-4154233937-1002\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe Task: {2AA71A0C-0D67-49F4-9326-7DDC11F7E8BA} - System32\Tasks\{B6A8654D-5B77-4C80-9886-6718572962F5} => pcalua.exe -a E:\start.exe -d E:\ Task: {65608733-5F8A-45BF-A1F5-E4E2C6C4B3F9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo) Task: {8623EECC-4F24-4ABC-BF69-4102B5C7FE38} - System32\Tasks\{63C94EBD-57EF-4B7E-8F79-8DB2A55E0C41} => pcalua.exe -a "C:\Program Files (x86)\OBS\uninstall.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" SearchScopes: HKU\S-1-5-21-3820551375-3570498258-4154233937-1002 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={AB099386-04FE-44F2-810A-95AF5F4F5685}&mid=9c368062d5c247cca1e5013773c6ed99-1d8099c7bdd18409115ea547ae7cac683ec11f9a&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-03-06 18:28:32&v=4.2.6.552&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne. Odnośnik do komentarza
watFiree Opublikowano 7 Października 2016 Autor Zgłoś Udostępnij Opublikowano 7 Października 2016 Zainstalowałem ESET'a ponieważ tak było w ''poradniku'' od Orange. Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Co nie zmienia nic w podanych przeze mnie instrukcjach. Nawisem mówiąc, zamiast instalować pełny pakiet ESET Smart Security, mogłeś się posłużyć minimalistyczną wersją ESET Online Scanner, by przeskanować system. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się