Trocadero Opublikowano 23 Grudnia 2016 Zgłoś Udostępnij Opublikowano 23 Grudnia 2016 Dzień dobry,Obawiam się, że przywlokłem wirusa na nowy komputer Od 3 lat korzystałem z Windowsa Home Premium 32 bit. Nigdy nie miałem z nim poważnych problemów. Co jakiś czas skanowałem programami: AdwCleaner, Malwarebytes, Comodo Antivirus, Spybot Search&Destroy.Kilka dni temu zaczęło dziać się coś bardzo dziwnego:-system bardzo wolno chodził-wieszały się programy-nie można było uruchomić/odinstalować większości programów (np. antywirusowych, ale nie tylko)-nie dało się zamknąć i zrestartować systemu w normalny sposób (tylko za pomocą przycisków na obudowie)-nie ładował się Comodo Firewall (wyskakiwała informacja o błędzie) i bardzo ciężko było go uruchomić ręcznie-były problemy z połączeniem internetowym-zdarzało się, że foldery się tworzyły, ale były niewidoczneByła to poważna awaria i z systemu nie dało się korzystać. Po wejściu w Tryb Awaryjny system działał błyskawicznie.Zmieniłem komputer i zainstalowałem nowy system.Obecnie wszystko wydaje się w porządku, ale zaciekawił mnie proces taskgen.exe, który stara się uruchomić task.vbs. Kilka razy pozwoliłem na dostęp, bo wydawał mi się ok. Ale w końcu poszukałem w internecie, przeczytałem objawy i wyszło, że może być to VBS/TrojanDownloader.Agent.NSW. Oczywiście w systemie mogą działać inne szkodliwe procesy, którym mogłem dać stałą zgodę firewallem na działanie. Obecny komputer jest dużo szybszy od starego, więc spowolnienie może nie być od razu widoczne. Można prosić o pomoc? GMER.txt Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Grudnia 2016 Zgłoś Udostępnij Opublikowano 23 Grudnia 2016 W raportach nie widać jawnej infekcji, działania poboczne: kasacja polityk grup, pustych wpisów w harmonogramie zadań oraz martwej usługi. Na wszelki wypadek przeprowadzimy skanowanie programem HitmanPro.1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia S3 HWiNFO32; \??\C:\Users\MRC\AppData\Local\Temp\HWiNFO64A.SYS [X]Task: {6835AC8A-C7F4-48B1-BFE0-EBB244E0B826} - \AutoKMS -> Brak pliku Task: {FA75C709-6C6D-4DC6-9AE0-82A6096BB360} - \USER_ESRV_SVC_QUEENCREEK -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów. Odnośnik do komentarza
Rucek Opublikowano 23 Grudnia 2016 Zgłoś Udostępnij Opublikowano 23 Grudnia 2016 Dodatkowo - Spybot Search&Destroy - odinstaluj to, to program śmieć. Odnośnik do komentarza
Trocadero Opublikowano 23 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 23 Grudnia 2016 HitmanPro nie wykrył niczego. Małe sprostowanie: proces nazywa się taskeng.exe, a nie taskgen.exe. Hmm, co w takim razie zrobić kiedy ten proces będzie chciał w przyszłości uruchomić task.vbs? Jeżeli jest bezpieczny, to nie chciałbym blokować jakiejś usługi Windowsa, która może być przydatna. Z drugiej strony przeczytałem w internecie, że cyt. "Posiadanie więcej niż jeden plik o nazwie taskeng.exe oznacza, że dodatkowy plik jest wirusem". Ja takich plików mam łącznie 10 (choć na innym podpiętym dysku mam drugiego, rezerwowego Windowsa). Dalej piszą, że taskeng.exe "jest bezpieczny i niewidoczny (...) działa w sposób niezauważalny w tle i, w normalnych warunkach, nie może być zatrzymany lub zakończony.". Tymczasem ja mogłem go zablokować przez Comodo. Rucek: Tak zrobię. Odnośnik do komentarza
Miszel03 Opublikowano 24 Grudnia 2016 Zgłoś Udostępnij Opublikowano 24 Grudnia 2016 HitmanPro nie wykrył niczego. OK. Małe sprostowanie: proces nazywa się taskeng.exe, a nie taskgen.exe. Tak coś własnie myślałem, że pomyliłeś nazwy. Taskeng jest prawidłowym plikiem aparatu harmonogramu zadań. Ja takich plików mam łącznie 10 Plików czy procesów? To znaczna różnica. Odnośnik do komentarza
Trocadero Opublikowano 24 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 24 Grudnia 2016 Plików. Z tym, że jak pisałem mam ma wszystkich dyskach łącznie 2 Windowsy. Odnośnik do komentarza
Miszel03 Opublikowano 25 Grudnia 2016 Zgłoś Udostępnij Opublikowano 25 Grudnia 2016 To są prawidłowe procesy. Nie szkodliwe. Odnośnik do komentarza
Trocadero Opublikowano 25 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 25 Grudnia 2016 Dzięki za pomoc Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 26 Grudnia 2016 Zgłoś Udostępnij Opublikowano 26 Grudnia 2016 Kończymy. Usuń narzędzia diagnostyczni / dezynfekcyjne (są bardzo często aktualizowane, więc jednorazowe) - KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się