MagKam Opublikowano 20 Marca 2017 Zgłoś Udostępnij Opublikowano 20 Marca 2017 Witam, od pewnego czasu miałam problemy z oprogramowaniem antywirus wym NOD, w końcu w ogóle przestał się uruchamiać. Po długiej walce udało mi się zainstalować nową wersję i wgrać próbny klucz. Skanowanie wykryło zagrożenia, w powershell.exe (trojan) które zgodnie z informacją w eset zostało wyleczone. Jednak po tym zdarzeniu na drugi dzień komputer sam zaczął się wyłączać. Myślę, że jednak nie udało się do końca antywirusowi poradzić z problemem, chyba że to przypadek i problem ze sprzętem. Przesyłam logi i proszę o rzucenie okiem, czy to może być jakiś wirus. Addition.txt FRST.txt gmr.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Marca 2017 Zgłoś Udostępnij Opublikowano 20 Marca 2017 System jest zainfekowany poważną infekcją bez plikową, zakodowaną w rejestrze. Sytuacja z ESET nie dziwi mnie w cale. Oni mają to do siebie, że wykrywalność mają jedną z najlepszych, ale niestety ich produkt nie jest w stanie poprawnie wyleczyć systemu. Zauważyłem również, że pracujesz w trybie testu. To podejrzane zagadnienie, jeśli nie jest ustawieniem celowym. W takiej sytuacji uczono mnie tak bym sprawdził obecność niepodpisanego sterownika - takowego nie znalazłem, ale i tak poproszę o skan za pomocą Kaspersky TDSSKiller. Dla wszystkich wyników zastosuj opcję Skip (ominiecie), dostarcz tylko raport w celu weryfikacji i oceny wyników. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKU\S-1-5-21-4219447721-3461528330-2681957728-1000\...\Run: [{2748092B-4BD1-425C-AC63-6B191BC46172}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\NQLFGVIM').KADAYKQQ)));ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuGroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4219447721-3461528330-2681957728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a15007-353&apn_uid=3877430472204117&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a15007-353&apn_uid=3877430472204117&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms}SearchScopes: HKU\S-1-5-21-4219447721-3461528330-2681957728-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\tr1wyw6o.default -> Ask.comFF SelectedSearchEngine: Mozilla\Firefox\Profiles\tr1wyw6o.default -> Ask.comFF Keyword.URL: Mozilla\Firefox\Profiles\tr1wyw6o.default -> hxxp://dts.search.ask.com/sr?src=ffb&gct=ds&appid=128&systemid=488&v=a15007-353&apn_dtid=TCH001&apn_ptnrs=AG1&apn_uid=3877430472204117&o=APN11459&q=S3 catchme; \??\C:\ComboFix\catchme.sys [X]U3 pxldqpow; \??\C:\Users\BIBLIO~1\AppData\Local\Temp\pxldqpow.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EPSON\EPSON Printer Software Uninstall.lnkC:\Users\Komputer\Desktop\Wniosek o dotację na budowę biblioteki.lnktestsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. UWAGA: gdy wyłączenie trybu Testu spowoduje problemy to włączysz go ponownie używając skryptu w FRST: testsigning on: Reboot: Zapis i wykonanie jest identyczne jak powyżej. 2. Wyczyść oraz zabezpiecz przeglądarki. ------> Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. ------> Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
MagKam Opublikowano 20 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 20 Marca 2017 Dziękuję za odpowiedź. Wszystko zrobiłam. Pliki w załączniku. AdwCleanerS1.txt kaspersky.txt malwarebytes.txt Fixlog.txt FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Marca 2017 Zgłoś Udostępnij Opublikowano 20 Marca 2017 Kaspersky TDSSKiller nic nie wykrył. Teraz jeden problem z głowy. Komentując zaś resztę działań: jest o wiele lepiej. Pomyliłem detekcje z Google Chrome. Jej nie ma na dysku, to były szczątki. 1. Wszystkie zagrożenie wykryte przez AdwCleaner oraz Malwarebytes daj do kasacji. Cześć się zdubluje, ale nic nie będzie. 2. Zrób nowy zestaw raportów FRST w celu podsumowania. Odnośnik do komentarza
MagKam Opublikowano 21 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2017 Dzięki. Faktycznie nie napisałam, że Chrome nie jest zainstalowany. Usunęłam wszystkie zagrożenia z AdwCleaner oraz Malwarebytes. Przesyłam pliki z FRST do podsumowania. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Marca 2017 Zgłoś Udostępnij Opublikowano 21 Marca 2017 Jest w porządku. Jak oceniasz obecną sytuację systemu? Odnośnik do komentarza
MagKam Opublikowano 21 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2017 Na początku dziękuję za pomoc i gratuluję wiedzy Komputer działa sprawnie, nie zawiesza się przy uruchamianiu aplikacji, przeglądaniu stron, otwierania dokumentów tekstowych itp. Jak ustrzec się przed tego typu infekcjami, skoro eset sobie nie poradził? Może jakiś inny program antywirusowy, a może zainstalować dodatkowo jakieś narzędzie. Czy tego typu wirusy roznoszą się przez sieć (router), pendrive? Na co narażony był komputer podczas jego bytowania? Wykradał hasła, czy tylko złośliwie psuł system? Odnośnik do komentarza
Miszel03 Opublikowano 21 Marca 2017 Zgłoś Udostępnij Opublikowano 21 Marca 2017 Jak ustrzec się przed tego typu infekcjami, skoro eset sobie nie poradził? Może jakiś inny program antywirusowy, a może zainstalować dodatkowo jakieś narzędzie. Raczej zostawiłbym rozwiązanie ESET, ale korzystał bym bardziej rozważniej z internetu. Czy tego typu wirusy roznoszą się przez sieć (router), pendrive? W większośći przez pobieranie zarażonych danych z internetu (m.in korzystanie również z asystentów pobierania programów - KLIK). Na co narażony był komputer podczas jego bytowania? Wykradał hasła, czy tylko złośliwie psuł system? Nie jestem w stanie podać dokładnie nazwy infekcji, ale myślę, że prewencyjna zmiana haseł w serwisach jest jak najbardziej zalecana. Na początku dziękuję za pomoc i gratuluję wiedzy Komputer działa sprawnie, nie zawiesza się przy uruchamianiu aplikacji, przeglądaniu stron, otwierania dokumentów tekstowych itp. W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi). Malwarebytes możesz już odinstalować. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się