GrzegorzS Opublikowano 3 Marca 2017 Zgłoś Udostępnij Opublikowano 3 Marca 2017 Dzień dobry. Dostałam maila na skrzynkę pocztową z informacją że za 2-3 dni otrzymam przesyłkę kurierską, dane przesyłki w załączniku. Otworzyłam załącznik, ale załącznik się nie otwierał więc go zamknęłam, maila wykasowałam ze skrzynki pocztowej i z kosza również. W prawym dolnym rogu monitora pokazał się komunikat (Microsoft Security Essentials), że zostało wykryte zagrożenie na komputerze na zielonym tle, tak jakby komputer zatrzymał zagrożenie. Ikona po chwili zgasła. Później działanie komputera było prawidłowe. Po czym zalogowałam się do banku, zrobiłam przelew, wylogowałam się i otrzymałam telefon z banku iż na komputerze mam wirusa i żebym zmieniła hasła do konta oraz przeinstalowała system windows dla bezpieczeństwa. Na innym komputerze zmieniłam hasła. Potem komputer przeskanowałam: Combofix przesyłam log z combofixa Eset online scaner Microsoft Security Esentials Microsoft Security Esentials wykrył: BrowserModifier:Win32/Linkhortry BrowserModifier:Win32/Prifou TrojanDownloader:Win32/Silcon!cl TrojanDownloader:Win32/Silcon!cl Zgodnie z instrukcją przesyłam logi z FRST i GMER Proszę o sprawdzenie czy zagrożenie dalej istnieje Addition.txt ComboFix.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
Conor29134 Opublikowano 3 Marca 2017 Zgłoś Udostępnij Opublikowano 3 Marca 2017 Tak dalej siedzi tyle, że musisz poczekać na osoby uprawnione w międzyczasie unikaj logowania się do jakichkolwiek serwisów. C:\Users\Renia\AppData\Roaming\fieldbus-27 C:\ProgramData\alkene-8 HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [alkene-3] => C:\ProgramData\alkene-8\alkene-5.exe [704512 2017-03-03] () HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\RunOnce: [fieldbus-5] => C:\Users\Renia\AppData\Roaming\fieldbus-27\fieldbus-33.exe [685056 2017-03-03] () Odnośnik do komentarza
Miszel03 Opublikowano 3 Marca 2017 Zgłoś Udostępnij Opublikowano 3 Marca 2017 Log z ComboFix zbędny i kompletnie niepotrzebnie wykonany. Zanim następnym razem go użyjesz poczytaj: KLIK. Zostałeś zainfekowany aktualną metodą fałszywych wiadomości kurierskich. Złośliwe oprogramowanie (z mojej wiedzy) aktualnie ma zdolność do pozyskiwania haseł, więc na koniec dezynfekcji prewencyjna zmiana wszystkich haseł w serwisach obowiązkowe. Ponad to widzę trochę adware w systemie, które również należy wyplewić. P.S: Tym razem MSE spisał się (mówię o tym, że przynajmniej powiadomił), lecz jego wykrywalność pozostawia wiele do życzenia. Przejrzyj zewnętrzne oprogramowania zabezpieczające - KLIK, najlepiej wybierz któryś z nich. Polecam darmowe rozwiązanie od Avast. 1. Przez panel sterowania odinstaluj: Adware / PUP: SafeFinder. 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKLM-x32\...\Run: [] => [X]HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [alkene-3] => C:\ProgramData\alkene-8\alkene-5.exe [704512 2017-03-03] ()HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\RunOnce: [fieldbus-5] => C:\Users\Renia\AppData\Roaming\fieldbus-27\fieldbus-33.exe [685056 2017-03-03] ()C:\ProgramData\alkene-8C:\Users\Renia\AppData\Roaming\fieldbus-27HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3464695867-941898725-524424986-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOJQK2RMTSLe26fWBfg77wOFPJSnkc01mX-3yTZpVl7LDyr0TQqov0GWbQEyLhj3d8QbcuLckVJvbRFQcV9olnM1f80u1kU1WdLk2HyPTWhp3DMGR8KqnCvwnvacojhk3I4GacrfUvSurRag8bRLozImt89PFyF&q={searchTerms}SearchScopes: HKU\S-1-5-21-3464695867-941898725-524424986-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOJQK2RMTSLe26fWBfg77wOFPJSnkc01mX-3yTZpVl7LDyr0TQqov0GWbQEyLhj3d8QbcuLckVJvbRFQcV9olnM1f80u1kU1WdLk2HyPTWhp3DMGR8KqnCvwnvacojhk3I4GacrfUvSurRag8bRLozImt89PFyF&q={searchTerms}CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms}CHR DefaultSearchKeyword: Default -> SafeFinderS3 catchme; \??\C:\ComboFix\catchme.sys [X]2016-06-21 08:07 - 2016-06-21 08:07 - 6867968 _____ () C:\Users\Renia\AppData\Roaming\agent.dat2016-06-21 08:07 - 2016-06-21 08:07 - 0067968 _____ () C:\Users\Renia\AppData\Roaming\Config.xml2016-06-21 08:07 - 2016-06-21 08:07 - 0014448 _____ () C:\Users\Renia\AppData\Roaming\InstallationConfiguration.xml2016-06-21 08:07 - 2016-06-21 08:07 - 0128512 _____ () C:\Users\Renia\AppData\Roaming\Installer.dat2016-06-21 08:07 - 2016-06-21 08:07 - 0018432 _____ () C:\Users\Renia\AppData\Roaming\Main.dat2016-06-21 08:07 - 2016-06-21 08:07 - 0005568 _____ () C:\Users\Renia\AppData\Roaming\md.xml2016-06-21 08:07 - 2016-06-21 08:07 - 0126464 _____ () C:\Users\Renia\AppData\Roaming\noah.dat2016-06-21 08:08 - 2016-06-21 08:08 - 0032038 _____ () C:\Users\Renia\AppData\Roaming\uninstall_temp.ico2016-06-21 08:07 - 2016-06-21 08:07 - 1759964 _____ () C:\Users\Renia\AppData\Roaming\Villanix.tstTask: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {30D9BF8B-8C43-42B7-BD72-93EB917AD051} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {F2B6FDE4-4E8B-46F3-B72F-1992C8DD7357} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku C:\Users\Renia\Desktop\ZATRUDNIENIE\REKRUTACJA\Umowy z placówkami\UMOWA NR 01 badania — skrót.lnkC:\Users\Renia\Desktop\BIEŻĄCE\PROJEKT PFRON\ośw pracownika projekt.lnkC:\Users\Renia\Desktop\BIEŻĄCE\PROJEKT PFRON\ośw. użytkownika Personel.lnkC:\Users\Renia\Desktop\BIEŻĄCE\PRACOWNICZE\Zakresy obowiązków\OPIEKUN BRWINÓW.lnkC:\Users\Renia\Desktop\BIEŻĄCE\PRACOWNICZE\Umowy zlecenia\Szymański A\Umowa zlec A.Szymański.lnkC:\Users\Renia\Desktop\BIEŻĄCE\NAPISY\napis zatrudnienie zus zgłoszenia — skrót.lnkDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Renia\AppData\Local\MozillaC:\Users\Renia\AppData\Roaming\MozillaC:\Users\Renia\AppData\Roaming\ProfilesEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.3. Zastosuj narzędzie AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania.4. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
GrzegorzS Opublikowano 3 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2017 Dzięki za wszystkie informacje Jeżeli chodzi o pkt1 to nie znalazłem w panelu sterowania SafeFinder Wszystkie pozostałe zrobiłem zgodnie z instrukcją Przesyłam logi Addition.txt AdwCleanerC0.txt Fixlog.txt FRST.txt raportMalware.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 4 Marca 2017 Zgłoś Udostępnij Opublikowano 4 Marca 2017 Jeżeli chodzi o pkt1 to nie znalazłem w panelu sterowania SafeFinder Czyli prawdopodobnie była to reszta, usunę po niej klucz w rejestrze. Większość pomyślnie wykonana, zostaję tylko do zwalczenie infekcja, która ma najwyraźniej gdzieś swój punkt reinfekcji. Czy podpinałeś w ostatnim czasie jakieś dyski zewnętrzne pod ten komputer? 1. Zagrożenie wykryte przez Malwarebytes daj do kasacji, komentując je powiem, że to drobnostki od adware / PUP. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [paraffin-3] => C:\ProgramData\paraffin-39\paraffin-1.exe [715776 2017-03-03] () Startup: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-21.lnk [2017-03-03] C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-21.lnk ShortcutTarget: microamp-21.lnk -> C:\Users\Renia\AppData\Roaming\microamp-85\microamp-63.exe () RemoveDirectory: C:\ProgramData\paraffin-39 RemoveDirectory: C:\Users\Renia\AppData\Roaming\microamp-85 C:\Users\Renia\Desktop\ZATRUDNIENIE\REKRUTACJA\Umowy z placówkami\UMOWA NR 01 badania — skrót.lnk Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3CAD43DF-E80A-459E-A5C3-C38C278C101D} /f CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Renia\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poproszę o kolejny skan, tym razem narzędziem HitmanPro. Jak wyżej - jeśli coś wykryje, to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
GrzegorzS Opublikowano 4 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2017 Witam, Z tego co wiem to dyski zewnętrzne na pewno nie, natomiast pendrive owszem Zagrożenie Malware skasowałem Pozostałe instrukcje wykonałem Przesyłam logi Addition.txt Fixlog.txt FRST.txt HitmanPro_20170304_0839.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 4 Marca 2017 Zgłoś Udostępnij Opublikowano 4 Marca 2017 Wygląda to lepiej. Pendirva to również dysk zewnętrzny - prawdopodobnie jest zainfekowany. Komputery, do którego go podpinałeś poddaj kwarantannie* sam pendrive przyszykuj. Wynik z HitmanPro sugeruję, że to jakiś nowy wariant ataku, bo wcześniej infekcją był Spyware, natomiast teraz wygląda to na Ransomware. Czy jakieś dane zostały zaszyfrowane? 1. Wyniki z HitmanPro oprócz detekcji z programem FRST wszystkie daj do kasacji. Dostarcz raport z tej dezynfekcji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\ProgramData\tqf DeleteQuarantine: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy zestaw raportów FRST w celu oceny, dostarcz plik Fixlog. * - nie wysyłaj maili z załącznikami, nie podpinaj urządzeń z pamięcią zewnętrzną, nie wykonuj żadnych operacji związanych z pieniądzmi, nie wrzucaj żadnych plików. Nie loguj się w żadnych serwisach. Zrób raporty z tego komputera, do które podpinałeś pendriva. Odnośnik do komentarza
GrzegorzS Opublikowano 4 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2017 Pendrive odłączyłem, był używany w jeszcze dwóch innych kompach. Jeden to bardzo stary xp, właśnie skanuje go FRST Czym przeskanować pendrive? Całą resztę wykonałem i przesyłam logi Addition.txt Fixlog.txt FRST.txt HitmanPro_20170304_2020.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 5 Marca 2017 Zgłoś Udostępnij Opublikowano 5 Marca 2017 Na tym systemie jest OK. Zastoju DelFix. Teraz czekam na raporty z pozostałych systemów, z którymi miał styczność pendrive. Czym przeskanować pendrive? Tym zajmiemy się, na końcu. Odnośnik do komentarza
GrzegorzS Opublikowano 5 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2017 Wielkie dzięki za zainteresowanie się problemem i szybką pomoc:) Raporty z pozostałych systemów prześlę w przyszłym tygodniu (po 12 marca) jak wrócę do pracy Swojego staruszka z xp nie będę już skanował, on i tak jest już do odstawki, a przynajmniej do formatu. Chociaż wczoraj próbowałem, ale zawiesił się na GMER Nowe raporty zamieszczę w tym temacie, nie będę zakładał nowego. Jeszcze raz wielkie dzięki i pozdrawiam Odnośnik do komentarza
Miszel03 Opublikowano 5 Marca 2017 Zgłoś Udostępnij Opublikowano 5 Marca 2017 OK, w takim razie czekam. Czy możemy przejść do dezynfekcji pendriva? Powiedz mi jeszcze czy na pewno żadne pliki nie zostały zaszyfrowane? Odnośnik do komentarza
GrzegorzS Opublikowano 5 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 5 Marca 2017 (edytowane) Prawdę mówiąc nie jestem użytkownikiem tego lapka, ale z tego co się orientuję to nie. Na chwilę obecną nic więcej w tym temacie nie powiem. Oczywiście możemy przejść do dezynfekcji pendriva. Co mam zrobić Edytowane 5 Marca 2017 przez Miszel03 Usuwam zbędne formatowanie w poście. Odpowiem później. //Miszel03 Odnośnik do komentarza
GrzegorzS Opublikowano 13 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 13 Marca 2017 Witam, Chciałem wrócić do tematu i przesyłam logi z komputera, który miał styczność z zainfekowanymi pendrivami Skan Gmer wyłapał obecność Rootkit Proszę o pomoc i dalsze wskazówki Przesyłam logi Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Marca 2017 Zgłoś Udostępnij Opublikowano 13 Marca 2017 Oczywiście możemy przejść do dezynfekcji pendriva. Co mam zrobić Podepnij pendriva do protu USB er i zrób z niego raport z opcji Research i Listing za pomocą USBFix. Ten system nie został zainfekowany (ale i tak standardowo w takich przypadkach wdrążam również skan). Skan Gmer wyłapał obecność Rootkit Fałszywy alarm. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO: Brak nazwy -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> Brak pliku Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku U3 idsvc; Brak ImagePath S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] Task: {0138A8FD-A09B-4F0D-AFA1-8C8079C13518} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {3990B779-5E44-43BE-A203-FDAC39D77312} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3E22D726-0A8A-4BB2-A891-81674154561A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {5D982CFE-4CE2-4427-8DEE-8FC997123932} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {61BD247E-B23E-4796-8582-AFD2809D37A3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {6D81200E-ECD0-42FA-AB9C-C2403499FEF7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {815C13FE-8053-48DB-BFDD-94C3B9A854EC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {86D250AD-B6DC-46FA-8B3C-BEF06832D702} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {8E594526-D7F1-4963-9000-A09EFBD81CBE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {918AF789-F7DB-4A1B-BC1F-9E5F7127B428} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {AAA479E9-0A98-40B6-9545-F65E382E16E5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {ACECBC0F-9CE0-4600-9392-825692CFF39C} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku Task: {BD75B43E-7A45-467C-B61E-A7B08677AAF7} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {C010BBC2-4B51-46EB-80D6-001DC784BEAB} - System32\Tasks\{FFBF6180-448C-4920-8999-5C1B471C8207} => pcalua.exe -a C:\Users\Właściciel\AppData\Local\Temp\Temp1_FontShow.zip\FontShow_Setup.exe Task: {D5C746C4-A9E4-4C94-A84B-FE417825AC9D} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {F0AD4DF0-CE44-4402-97E3-8217DF70B162} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F0E542C0-8463-47A1-84E8-07923412DDD5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą narzędzia HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). Pamiętaj tylko o raporcie z HitmanPro. Odnośnik do komentarza
GrzegorzS Opublikowano 14 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2017 Witam, wszystko wykonałem Przesyłam raporty z USBFix, włożyłem od razu dwa pendrivy, których najczęściej używam. Przesyłam raport z Hitman Pro HitmanPro_20170314_0742.txt UsbFix Listing 1 GRZEGORZ.txt UsbFix Scan 1 GRZEGORZ.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Marca 2017 Zgłoś Udostępnij Opublikowano 14 Marca 2017 Do kasacji nadają się tylko trzy poniższe detekcje wykryte przez HitmanPro. HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QImageIOHandlerFactoryInterface:\C:\Program Files (x86)\Mobogenie\ (Rocketfuel) HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QSqlDriverFactoryInterface:\C:\Program Files (x86)\Mobogenie\ (Rocketfuel) HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Plugin Cache 4.8.false\C:\Program Files (x86)\Mobogenie\ (Rocketfuel) Jeśli chodzi zaś o pendrive to tylko na urządzeniu G:\ coś zostało wykryte. Podepnij go i kliknij Clean. Uwaga: aplikacje usuwa katalogi o nawie muza i muzyka (jeśli takowe odnajdzie). P.S: Widzę, że masz na pendrive instalki aplikacji SpyHunter - a to bardzo wątpliwa aplikacja. Usunąć. Odnośnik do komentarza
GrzegorzS Opublikowano 14 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2017 Wszystko zrobiłem zgodnie z instrukcjami Przesyłam jeszcze jedne logi z innego kompa, który miał kontakt z podejrzanymi pendrivami. i miał wymieniane pliki po przez sieć z laptopem, który był czyszczony jako pierwszy. przesyłam również log z Adwcleaner Addition.txt AdwCleanerC0.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Marca 2017 Zgłoś Udostępnij Opublikowano 14 Marca 2017 Jak ostatnio: tutaj też nie doszło do infekcji, ale i tak przeprowadzimy skan (oczywiście, niewykluczone, że ta infekcja w ogóle nie rozprzestrzenia się poprzez USB). 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKLM-x32\...\Run: [] => [X] Winlogon\Notify\ScCertProp: wlnotify.dll [X] C:\Users\Public\polpdfedit.exe C:\Users\Marcin\AppData\Roaming\Microsoft\Excel\zestawienie%20527%20za%202016305790801607721262\zestawienie%20527%20za%202016.xls.lnk DeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Marcin\AppData\Local\MozillaC:\Users\Marcin\AppData\Roaming\MozillaC:\Users\Marcin\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą narzędzia HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). Pamiętaj tylko o raporcie z HitmanPro. Odnośnik do komentarza
GrzegorzS Opublikowano 15 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2017 HitmanPro nic nie znalazł, ale przesyłam raport. HitmanPro_20170315_1240.txt Odnośnik do komentarza
Miszel03 Opublikowano 15 Marca 2017 Zgłoś Udostępnij Opublikowano 15 Marca 2017 Owszem, nic nie znalazł. Krzyczy tylko FP FRST. Czy możemy kończyć? Odnośnik do komentarza
GrzegorzS Opublikowano 15 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2017 Tak, możemy kończyć, wielkie dzięki za skuteczną i szybka pomoc. Wielki szacunek dla wiedzy. Pozdrawiam Odnośnik do komentarza
Miszel03 Opublikowano 15 Marca 2017 Zgłoś Udostępnij Opublikowano 15 Marca 2017 Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Zaktualizuj również ważne programy - KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się