Podejrzewam infekcję

[tamir]

Nagminne zrywanie połączenia internetowego w trakcie działania oprogramowania FTP FlashFXP i po podłaczeniu pulpitu zdalnego.

Bez ich uruchomienia przerwania nie występują.

Proszę o analizę logów.

Rootkit scan 2017-03-08.txt

FRST.txt

Addition.txt

Shortcut.txt

Edytowane 10 Marca 2017 przez tamir

[Rucek]

Logi kasuję - użyto starej wersji FRST z 2015 roku.

Brakuje trzeciego logu z FRST. Więc, od początku:

 

Zapoznaj się proszę z zasadami działu:
1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Postępując zgodnie z powyższymi instrukcjami - edytuj post i dołącz resztę wymaganych logów do tematu.
Programy FRST i GMER - zapisz na pulpicie, na pulpicie pojawią się też wtedy wyniki skanowania FRST.
Łącznie mają być 4 logi: FRST [FRST.txt, Addition.txt, Shortcut.txt], oraz GMER [tworzysz plik GMER.txt i wklejasz do niego wynik skanowania].
 

[tamir]

Logi dołączone

[Miszel03]

Brak oznak aktywnej infekcji, są tylko szczątki po adware, po których obowiązkowo trzeba posprzątać. Potem temat jedzie do działu Windows 7.

 

1. Włącz przywracanie systemu.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\epooierz.default-1426892647573 -> mystartsearch
StartMenuInternet: (HKLM) Opera - G:\Opera\Opera.exe hxxp://www.istartpageing.com/?type=sc&ts=1449770344&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307
S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Windows\Tasks\{3EC6D4CD-AC18-87E9-3D96-3B11173B2260}.job
Task: {C6606C70-28E2-48CA-A8CB-1842918E2D12} - System32\Tasks\{3EC6D4CD-AC18-87E9-3D96-3B11173B2260} => C:\Users\Tadek\AppData\Roaming\{3EC6D~1\PRICEF~1.EXE 
Task: {E406F3EB-2773-434C-A2C6-643588C1B1D4} - System32\Tasks\{AC164FDD-B8DC-41CB-A09C-C7F8A062260B} => pcalua.exe -a C:\Users\Tadek\AppData\Local\Temp\jre-8u77-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
Task: C:\Windows\Tasks\{3EC6D4CD-AC18-87E9-3D96-3B11173B2260}.job => C:\Users\Tadek\AppData\Roaming\{3EC6D~1\PRICEF~1.EXE 
AlternateDataStreams: C:\ProgramData\TEMP:0574215C [120]
AlternateDataStreams: C:\ProgramData\TEMP:264B2CC4 [328]
AlternateDataStreams: C:\ProgramData\TEMP:D95ACC7D [135]
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[tamir]

Pliki:
 

Fixlog.txt

AdwCleaner-skanuj.txt

AdwCleaner-usuń.txt

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Powtórz akcję z AdwClaner przy użyciu jego najnowszej wersji - KLIK i wykonaj nowy zestaw raportów..