Skocz do zawartości

Windows 10, możliwe zainfekowanie trojanem.


Rekomendowane odpowiedzi

Witam, mam problem ponieważ pobrałem z sieci paczkę z programem którego nie sprawdziłem antywirusem przed odpaleniem. Po uruchomieniu instalacji natychmiast dość agresywnie zareagował Kaspersky, następnie rozpoczął skanowanie i ponowny restart w celu usunięcia przybysza. Po restarcie chciał wykonać pełne skanowanie systemu, wyłączyłem go i odpaliłem Kaspersky rescue disk. W załączniku dodaje raporty z tego skanu oraz wymagane raporty systemowe. Proszę o pomoc w pozbyciu się możliwych infekcji jak i pozostałości.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach brak oznak infekcji. Zakładam, że modyfikacja pliku Hosts to Twoja sprawka. Te detekcje Kasperskiego nie wyglądają na poważne.

 

1. Przez panel sterowania odinstaluj: Unigine Valley Benchmark version 1.0. Jest flagowany przez FRST, więc pewnie ma coś za uszami. 

 

Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.  

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1326796172-1758662683-4277469698-1001\...\Run: [backup4all Scheduler] => [X]
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku
BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku
FF NewTab: Mozilla\Firefox\Profiles\3h9hdr6k.default -> chrome://sstart/content/sstart.html
C:\ProgramData\sdpsenv.dat
AlternateDataStreams: C:\ProgramData\sdpsenv.dat:naughtypirates [322]
AlternateDataStreams: C:\ProgramData\TEMP:21654C57 [284]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [144]
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [140]
AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [438]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [290]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stoper\Pomoc programu Stoper.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stoper\Stoper.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware (masz na dysku, więc robisz tylko kompleks aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dziękuję za odpowiedź.

 

Odinstalowałem Unigine Valley Benchmark i uTorrent. 

W załączniku dodaje wszystkie raporty. Malwarebytes nieczego nie wykrył. 

 

Mam jeszcze małą dodatkową prośbę, zawsze podczas uruchamiania systemu pojawia mi się informacja o nowej wersji Glary Utilities, mam w opcjach wyłączony ten program z autostartu mimo to jest jakiś agent którego nie wiem jak się pozbyć a w opcjach programu niczego nie znalazłem. 

Odnośnik do komentarza

Nie aktualizowanie oprogramowania to pierwszy stopień do nowego tematu u Nas na forum :) Czy nie łatwiej zaktualizować program? Trudno mi konkretnie powiedzieć, który wpis na powłoce startowej odpowiada za monit o dostępności aktualizacji.

 

Task: {6E5E4155-DCE7-4120-A4A0-C3813DABFCE9} - System32\Tasks\GlaryInitialize 5 => C:\Programy\Narzędzia\Pakiety Narzędziowe\Glary Utilities\Glary Utilities 5\Initialize.exe [2016-10-21] (Glarysoft Ltd) -> Harmonogram Zadań

Task: {C41A3F7F-D8E8-4054-89E2-26CB796FF082} - System32\Tasks\GU5SkipUAC => C:\Programy\Narzędzia\Pakiety Narzędziowe\Glary Utilities\Glary Utilities 5\Integrator.exe [2016-10-21] (Glarysoft Ltd) -> Harmonogram Zadań

 

HKU\S-1-5-21-1326796172-1758662683-4277469698-1001\...\StartupApproved\Run: => "GUDelayStartup" -> wpis w Konfiguracji systemu Windows (usługa msconfig).

 

HKU\S-1-5-21-1326796172-1758662683-4277469698-1001\...\Run: [GUDelayStartup] => C:\Programy\Narzędzia\Pakiety Narzędziowe\Glary Utilities\Glary Utilities 5\StartupManager.exe [43984 2016-10-21] (Glarysoft Ltd) -> wpis na powłoce startowej

 

Informacja o aktualizacjach często jest głębiej wbudowana i nie można jej wyłączyć. Niektóre programy nie działają na nieaktualnych wersjach ze względu na bezpieczeństwo produktu. 

 

Jeśli zaś chodzi o stronę infekcyjną to wygląd to wszystko tj. mówiłem w porządku, a wynik MBAM tylko to potwierdził. 

Możemy kończyć? 

Odnośnik do komentarza

Zastosowałem DelFix - log w załączniku. Zaktualizowałem Windowsa do najnowszej wersji, oraz przeglądarki i javę. 

 

Mam małą prośbę i pytanie jak pozbyć się ikonki Windows Defender z paska narzędzi: (pojawiła się na stałe, nawet bez tego wykrzyknika jest widoczna)  

 

th_57885_screen_123_195lo.jpg   th_58001_Zrzutekranu_123_432lo.jpg

 

 

 

 

Po aktualizacji skorzystałem z tej strony http://www.zawszeczujni.pl/2015/08/dostosowanie-ustawien-prywatnosci-i.html stąd ta edycja wcześniejsza również pliku hosts. Między innymi dlatego też ten wykrzyknik w Windows Defender czy mogę to tak zostawić ?

Z góry dziękuję za pomoc.

DelFix.txt

Odnośnik do komentarza
  • Kliknij PPM na zegarku systemowym, wybierz "Dostosuj ikony powiadomień" -> Wybierz "Ikony wyświetlane na pasku zadań".
  • Odnajdź na liście usługę Windows Defender i zastoju dla niej "Ukryj ikony i powiadomienia" lub "Pokazuj tylko powiadomienia".
  • Uruchom ponowie system i sprawdź efekty.
A jeśli chodzi zaś o DelFix to akcja pomyślnie wykonana.
Odnośnik do komentarza

Po wejściu do "Dostosuj ikony powiadomień" pojawiają się opcje powiadomień i akcji, nie ma niestety wyboru opcji "Ikony wyświetlane na pasku zadań". Taka opcja jest w -> PPM na zegarku systemowym  -> "ustawienia paska zadan" dokładna nazwa to - "wybierz Ikony wyświetlane na pasku zadań" lecz włączenie lub wyłączenie programu tutaj zmienia jedynie jego pozycje z widocznej na pasku na ukrytą (rozwijaną z paska).

"Dostosuj ikony powiadomień" urachamienego z PPM na zegarku systemowym jest opcja zmiany - "powiadomienia od tych nadawców" lecz brak tam Windows Defender. 

Pozmieniali w tym nowym Windows.

 

 

 

edit.

 

Udało mi się ją wyłączyć w:

 

menedżer zadań -> uruchamianie -> Windows Defender notification icon (wyłącz) . Po czym restart i nie pojawia się już.

 

Dziękuję bardzo za pomoc. 

 

Pozdrawiam.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...