Nie działa JACK i ogólna prośba o czyszczenie.

[EDgar8]

Mój kolega instalował ostatnio jakąś grę, przez asystenta dobrychprogramów i zainstalował mu się Avast, i może coś jeszcze - więc zrobiłem raporty.

Stary post, zobacz niżej

Addition.txt

FRST.txt

Shortcut.txt

Edytowane 22 Kwietnia 2017 przez EDgar8

[jessica]

Po tylu dniach pewnie temat jest już nieaktualny, więc mogę sobie pozwolić na "pomoc", bo i tak pewnie nie jest już potrzebna.

 

Otwórz Notatnik i wklej w nim:

 

Task: {0558B993-F3E3-42A5-9C08-2B44526828DA} - System32\Tasks\{315FE303-7BE0-431A-BFAB-2B2D5E1B3F14} => pcalua.exe -a C:\Users\admin\Pictures\epson514355eu.exe -d C:\Users\admin\Pictures
Task: {1C5CEAFC-9ACF-4FC7-BF84-6F3CC9B68A54} - System32\Tasks\{4FC5FED4-E4AB-415D-9A8E-D525ED757473} => pcalua.exe -a C:\Users\admin\Downloads\epson377868eu(1).exe -d C:\Users\admin\Downloads
Task: {41649118-1A2E-4357-A802-B5D1E6192FE9} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-10-05] (Byte Technologies LLC) <==== UWAGA
Task: {98948F67-4E63-483D-AB4A-B172B9FE097B} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-10-05] (Byte Technologies LLC) <==== UWAGA
Task: {A91C16E7-656C-46DA-8DAD-D0A462883DA8} - System32\Tasks\{B9C8F99B-F0B2-4F26-B62E-1DDA6C9C05D6} => pcalua.exe -a C:\Users\admin\Downloads\epson514355eu.exe -d C:\Users\admin\Downloads
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
RemoveDirectory: C:\Program Files\ByteFence
S2 ByteFenceService; C:\Program Files\ByteFence\ByteFenceService.exe [145888 2016-10-05] (Byte Technologies LLC)
R2 rtop; C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe [254280 2016-10-25] ()
S4 LMIGuardianSvc; "C:\Program Files (x86)\LogMeIn Hamachi\x64\LMIGuardianSvc.exe" [X]
2016-10-25 17:07 - 2016-10-25 17:07 - 00000000 ____D C:\ProgramData\ByteFence
2016-10-25 16:57 - 2016-10-25 16:57 - 00003482 _____ C:\Windows\System32\Tasks\ByteFence Scan
2016-10-25 16:57 - 2016-10-25 16:57 - 00003384 _____ C:\Windows\System32\Tasks\ByteFence
2016-10-25 16:56 - 2016-10-25 17:10 - 00000000 ____D C:\Program Files\ByteFence
2016-10-25 16:56 - 2016-10-25 16:56 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteFence Anti-Malware
2016-10-25 16:53 - 2016-10-25 16:53 - 01166208 _____ ( ) C:\Users\admin\Downloads\Euro-Truck-Simulator-2-65999-dp.exe
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

jessi

[EDgar8]

aktualne ale nie wiem jaka skala zagrożenia

[jessica]

Nic więcej podejrzanego w logach nie znalazłam, oprócz tego, co podałam.

 

jessi

[picasso]

Jeśli chodzi o poprzedni zestaw logów i podany Fix, to widoczny był tylko szkodliwy skaner Bytefence i jego komponenty zostały zadane do usuwania w skrypcie FRST, tylko nie ma tu żadnego potwierdzenia wykonania tej akcji (brak fixlog.txt i nowych logów FRST). Natomiast dodatkowe uwagi:

- W Fix FRST został podany reset pliku Hosts. Zawartość pliku Hosts wskazywała jednak, że to ochrona wprowadzona przez instalację Unchecky (bądź Reason Core Security). Programów tych owszem na liście nie widać.

- Avast wygląda na odinstalowany, ale niekompletnie. Brak go na liście zainstalowanych (z wyjątkiem ukrytego komponentu sandboxa), widoczne też wpisy puste i brak usług/sterowników, a jednocześnie załadowane w tle procesy i moduły Avast.

 

Pierwsze logi były bardzo stare i w oparcie o nie był tworzony skrypt. Nie wiadomo co jest obecnie w systemie. Zrób nowy skan FRST.

[EDgar8]

Jak uda mi się załapać na zdalne sterowanie jego kompem to zrobię.

[EDgar8]

Pierwsze logi były bardzo stare i w oparcie o nie był tworzony skrypt. Nie wiadomo co jest obecnie w systemie. Zrób nowy skan FRST.

Kolega przesłał logi.

Shortcut.txt

FRST.txt

Addition.txt

[Zappa]

Wykonaj drobną kosmetykę

 

Otwórz notatnik i wklej:

 

S4 LMIGuardianSvc; "C:\Program Files (x86)\LogMeIn Hamachi\x64\LMIGuardianSvc.exe" [X]

U0 aswVmm; Brak ImagePath
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
Task: {41649118-1A2E-4357-A802-B5D1E6192FE9} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-10-05] (Byte Technologies LLC) <==== UWAGA
Task: {98948F67-4E63-483D-AB4A-B172B9FE097B} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-10-05] (Byte Technologies LLC) <==== UWAGA
Task: {1C5CEAFC-9ACF-4FC7-BF84-6F3CC9B68A54} - System32\Tasks\{4FC5FED4-E4AB-415D-9A8E-D525ED757473} => pcalua.exe -a C:\Users\admin\Downloads\epson377868eu(1).exe -d C:\Users\admin\Downloads
Task: {A91C16E7-656C-46DA-8DAD-D0A462883DA8} - System32\Tasks\{B9C8F99B-F0B2-4F26-B62E-1DDA6C9C05D6} => pcalua.exe -a C:\Users\admin\Downloads\epson514355eu.exe -d C:\Users\admin\Downloads
C:\Program Files\ByteFence
Empty Temp:

 

plik zapisz jako fixlist.txt i umieść na pulpicie. Uruchom FRST i kliknij w Napraw. przedstaw wynikowy fixlog.txt.

[EDgar8]

Wykonaj drobną kosmetykę

bo to co jessica wysłała to nie było zrobione

[Zappa]

 

bo to co jessica wysłała to nie było zrobione

Opieram się na tym, co dałeś wczoraj. Wykonaj co podałem - sprawa może się niepotrzebnie przedłużać.

[EDgar8]

Ogółem ten komp nieco zamula, co można zrobić?
Wyłączyłem Windows Update bo zżera mocno.
Czy założyć wątek na innym forum?

Fixlog.txt

Edytowane 30 Listopada 2016 przez Rucek

[Zappa]

Zrób nowy skan FRST > opcji Shortcut nie zaznaczaj.

[EDgar8]

Zrobione

 

proszę o sprawdzenie czy nie ma żadnego syfu oraz nie działa jack na słuchawki

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Pomijam brak raportu GMER. W raportach brak oznak infekcji pomijając jakąś dziwną instalację, której się pozbędziesz.

 

Jeśli zaś chodzi o wejście Jack to temat przenosie do działu Hardware, skąd poczekasz na pomoc z tym związaną. 

 

---

 

1. Popatrz na poniższe wyniki. 

 

World of Tanks (HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812eu}_is1) (Version:  - Wargaming.net)

WorldofTanks (HKLM-x32\...\WorldofTanks) (Version:  - )

 

Na zielono program bez obiekcji, poprawny, a na czerwono z obiekcjami, podejrzany. Generalnie ta druga instalacja jest jakaś podejrzana i niecertyfikowana. Wygląda to na jakąś fałszywkę. Odinstaluj.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://go.playmmogames.com/aff_c?offer_id=174&aff_id=1034 --start-fullscreen
ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://go.playmmogames.com/aff_c?offer_id=174&aff_id=1034 --start-fullscreen
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlogl). Ze strony tego działu to na tyle.

[EDgar8]

Brak raportu GMER, ponieważ nie podejrzewam infekcji.

Zauważ temat jest stary, a że dziś korzystałem przez TV z komputera znajomego to zgodził się zrobić logi. Zauważyłem, że u niego w tle działa Iobit Malware Fighter. Może zostać? Nie ma innego zbędnego syfu w Autoruns?