xantyr Opublikowano 13 Stycznia 2017 Zgłoś Udostępnij Opublikowano 13 Stycznia 2017 Posiadam win10 i od kilku dni wyskakuje mi komunikat, że na komputerze jest zagrożenie i muszę to usunąć. Próbowałem usunąć za pomocą windows defendera, malwarebytes, tdsskiller oraz adwcleaner. Windows defender wykrywa owe zagrożenie, ale inne programy już nie...W razie czego mogę zrobić skan każdym programem. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Stycznia 2017 Zgłoś Udostępnij Opublikowano 14 Stycznia 2017 Windows defender wykrywa owe zagrożenie, ale inne programy już nie... Zagrożenia, które zostały wykryte przez Windows Defender usuń. Po tym działaniu dostarcz screen z zakładki Historia (z widokiem na ścieżki zagrożeń). Dostarcz również raporty ze skanowania programami Malwarebytes oraz AdwCleaner (narzędzie TDSSKiller użyte bezpodstawnie, bo przecież tutaj nie ma żadnej infekcji rootkit). W systemie faktycznie widoczne infekcje, bez zwlekania przechodzimy do działań. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nhook.exe U3 idsvc; Brak ImagePath S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] S2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-06-03] () [brak podpisu cyfrowego] 2016-07-09 10:43 - 2016-07-09 10:43 - 6870016 _____ () C:\Users\Xantyr\AppData\Roaming\agent.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0128512 _____ () C:\Users\Xantyr\AppData\Roaming\Installer.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0018432 _____ () C:\Users\Xantyr\AppData\Roaming\Main.dat C:\Windows\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F}.job Task: {2ACEFA9A-4C53-43F0-A9CA-9CCBD2A04D74} - \AutoPico Daily Restart -> Brak pliku Task: {306B8F2A-7AC7-4824-9D7D-95F01617651F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {401F9A89-2B52-48DD-8130-0D5ADD372AD3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4F62D0A4-811C-4219-8149-B86A0CC0784E} - System32\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F} => C:\Users\Xantyr\AppData\Roaming\{2E72A~1\PRICEF~1.EXE Task: {52985967-A27A-4ABC-8FCB-F5BDA1819A91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5C476A51-9814-472F-BFBA-4E989655883C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {A1FC7072-9562-42B0-9309-5F050799CDB0} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {BFE1742A-A34A-4FDE-831E-C0F3B930E6CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D9BA2E95-CBA9-43DB-AB47-23FCEF85F444} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DD5C6861-9413-44C4-BE16-AECD6D731810} - System32\Tasks\XantyrBicepsHymnedV2 => Rundll32.exe ScuttledIrrigating.dll,main 7 1 Task: {DE51687B-57F5-4C5C-A22E-515A9127D979} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {EA072DB7-1184-4A9C-9425-FEC7F618D78C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku FirewallRules: [{517819FA-5458-4513-940B-2B6B8F64D707}] => C:\Windows\KMS-R@1n.exe FirewallRules: [{1857A4D9-7D98-4161-94B5-1633353533FE}] => C:\Windows\KMS-R@1n.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\Users\Xantyr\Desktop\Nowy folder\JDownloader 2.lnk C:\Users\Xantyr\Desktop\Nowy folder\LOL Recorder.lnk C:\Users\Xantyr\Desktop\Nowy folder\rafon — skrót.lnk C:\Users\Xantyr\Desktop\Nowy folder\Terraria.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeprowadź skanowanie za pomocą programu HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
xantyr Opublikowano 14 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2017 Miszel03 Raportów nie posiadam, gdyż usunąłem oba programy, gdy niczego nie wykryły. Zaraz zabieram się do działania według Twoich instrukcji. Za każdym razem jak usuwam te pliki za pomocą windows defender, to co jakiś czas znowu wyskakuje to samo zagrożenie i tak w kółko. Już wszystko zrobione, czekam na dalsze instrukcje. Addition.txt Fixlog.txt FRST.txt Shortcut.txt hitmanpro.txt Odnośnik do komentarza
Miszel03 Opublikowano 15 Stycznia 2017 Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 Raportów nie posiadam, gdyż usunąłem oba programy, gdy niczego nie wykryły. Rozumiem, ale raport Windows Defender masz na pewno w zakładce Historia. 1. W HitmanPro usuwasz wszystkie detekcje (z wyjątkiem FRST, więc pomijasz całą sekcje Suspicious files). Raportu z dezynfekcji dostarczać nie musisz. 2. Sprawdź poniższe pliki w usłudze VirusTotal.com i dostarcz link prowadzący do analizy. C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.dll 3. Poobserwuj czy komunikaty wyskakują nadal Odnośnik do komentarza
xantyr Opublikowano 15 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 https://virustotal.com/pl/file/9896a6fcb9bb5ac1ec5297b4a65be3f647589adf7c37b45f3f7466decd6a4a7f/analysis/1484480979/ https://virustotal.com/pl/file/0398221231cff97e1fdc03d357ac4610afb8f3cdde4c90a9ec4d7823b405699e/analysis/1484481078/ Odnośnik do komentarza
Miszel03 Opublikowano 15 Stycznia 2017 Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 Oba pliki, które były podjęte analizie skasuj ręcznie. Odpowiedz na pkt. 3 mojego poprzedniego postu. Odnośnik do komentarza
xantyr Opublikowano 17 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2017 (edytowane) Tak, komunikaty nadal się pojawiają. EDIT: Czy mogę nadal liczyć na pomoc? Edytowane 18 Stycznia 2017 przez Rucek Łączę. Odnośnik do komentarza
Miszel03 Opublikowano 18 Stycznia 2017 Zgłoś Udostępnij Opublikowano 18 Stycznia 2017 EDIT: Czy mogę nadal liczyć na pomoc? Oczywiście, mój brak odpowiedzi nigdy nie oznacza przerwania pomocy. Czasem po prostu mam inne sprawy na łepetynie lub zastanawiam się nad problemem związanym z tematem. Zrób nowe raport FRST. Odnośnik do komentarza
xantyr Opublikowano 18 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2017 Skan zrobiony, proszę o ocenę.Pytałem czy nadal mogę liczyć na pomoc, bo chciałbym jak najszybciej uporać się z problemem. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 18 Stycznia 2017 Zgłoś Udostępnij Opublikowano 18 Stycznia 2017 W raportach już brak oznak infekcji. Wyczyść folder C:\ProgramData\Microsoft\Windows Defender\Scans\FileStash, zaktualizuj Windows Defendera i sprawdź czy problem ustąpił. Odnośnik do komentarza
xantyr Opublikowano 18 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2017 Wyczyszczone, zaraz zaktualizuje defender Odnośnik do komentarza
Miszel03 Opublikowano 20 Stycznia 2017 Zgłoś Udostępnij Opublikowano 20 Stycznia 2017 Gdybyś edytował post, to po napisz do mnie PW, bo mogę to przeoczyć. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się