LeonZawodowiec Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Witam, Wczoraj o 20:58 mój skype oszalał i zaczął wysyłać linki do znajomych w URL było ID każdego ze znajomych. Wcześniej taka sytuacja nie wystąpiła. Załączam logi. Wykonałem skan adwCleanerem lecz nic nie znalazł. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 W raportach brak oznak aktywnej infekcji, ale takie zachowanie temu zaprzecza. System doczyszczam z adware i śladów po innych infekcjach, sprzątam również po innych programach. Przeprowadzimy całościowy skan systemu (poprzez renomowany MBAM) i zabezpieczymy konto Skype. Akcja. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X] S3 ATP; system32\DRIVERS\cmdatp.sys [X] S1 Capsax64Drv0; System32\Drivers\Capsax64Drv0.sys [X] S1 CSN5PDTS82; System32\Drivers\CSN5PDTS82.sys [X] S1 CSN5PDTS82x64; System32\Drivers\CSN5PDTS82x64.sys [X] S1 CsNdisLWF; System32\Drivers\CsNdisLWF.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] U3 kxddqpow; \??\C:\Users\ZAWODO~1\AppData\Local\Temp\kxddqpow.sys [X] Task: {81331BAC-0336-472E-8C62-C11D818EBC4A} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {9ED3FA42-6CFA-4ADD-8D4F-1B1EA337C464} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert Online.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Solid Edge ST6\Standard Parts\Installation Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Solid Edge ST6\Standard Parts\User Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm Public Test\Heroes of the Storm Public Test.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert Online\Black Desert Online.lnk C:\Users\ZawodowieC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome Canary.lnk C:\Users\ZawodowieC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\ZawodowieC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ZawodowieC\AppData\Local\Mozilla C:\Users\ZawodowieC\AppData\Roaming\Mozilla C:\Users\ZawodowieC\AppData\Roaming\Profiles CMD: dir /a "C:\Users\ZawodowieC\AppData\Roaming" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. W razie wykrycia czegoś, przedstaw raport nie usuwając detekcji. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
LeonZawodowiec Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Dziękuję za odpowiedź. Zanim wykonam te czynności mam pytanie. Czy mogę skanować tym Malwarebytem mając innego antywirusa (ESET Smart Security)? Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 (edytowane) Tak możesz spokojnie to zrobić. Ewentualnie na czas późniejszej dezynfekcji (ale dopiero jak zobaczę wyniki) to go wyłączymy. Edytowane 3 Lutego 2017 przez Rucek Odnośnik do komentarza
LeonZawodowiec Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Wykonałem wszystko co napisałeś. Załączam pliki. Malwarebytes po pełnym skanowaniu nic nie wykrył. Fixlog.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Malwarebytes po pełnym skanowaniu nic nie wykrył. OK. Jako, że było trochę śladów adware to zrób również log z opcji Skanuj (nie stosuj opcji Oczyść!) w programie AdwCleaner. P.S: jesteś w stanie pokazać mi jakoś ten link? Wystarczy tylko adres. Jeśli tak to wyślij mi go na PW w formie zamaskowanej np.: zamiast http daj hxxp. Teraz wygląda to już w porządku. 1. Przeinstaluj program Skype, pamiętaj, aby zainstalować najnowszą wersję, korzystając ze strony producenta - KLIK. 2. Zmień hasło dostępu do Skype oraz do maila, na którego zarejestrowane jest konto. Odnośnik do komentarza
LeonZawodowiec Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 adwCleaner nic nie wykrył. Linki poszły na PW. AdwCleanerS0.txt Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Skype przeinstalowany? Co do haseł to przeczytałem wiadomość Sprawdziłem otrzymane linki i wynik mam taki, że jeden producent oznaczył obie strony jako podejrzane - KLIK / KLIK (i ja też je tak oznaczyłem). Czy linki dalej się rozsyłają? Znajomym, którzy otrzymali linki poleć by założyli temat tutaj lub chociaż przeskanowali system za pomocą Malwarebytes. Odnośnik do komentarza
LeonZawodowiec Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Na razie nic się nie rozesłało na nowym koncie. Zobaczymy z czasem, jak coś to dam znać. A jak odzyskam swoje konto to mogę podesłać wszystkie linki. Dzięki za zainteresowanie. Pozdrawiam! Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 W takim razie czekam na rozwój wydarzeń Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się