Fitman Opublikowano 2 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 Witam, na jednym z komputerów w domenie jest problem po zalogowaniu wyskakuje komunikat "wystąpił problem podczas uruchamiania pliku nie można odnaleźć określonego modułu". Blokował też proxy, na chwilę wyłączyłem opcję proxy i internet powrócił. Dodaję logi z FRST, proszę o sprawdzenie i pomoc. Z góry dziękuje Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 2 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 System jest zainfekowany przez Trojan:Win32/Fuery.B!cl. Detekcja ta została zarejestrowana przez Windows Defender, ale raporty wciąż wskazują na to, że jest aktywna usługa Trojana (w lokalizacji C:\ProgramData\D1C36853). Przypuszczalnie została usunięta tylko biblioteka / moduł C:\ProgramData\D1C36853\D1C36832.dll bez usługi, która teraz próbując załadować skasowany komponent zwraca błąd. Przeprowadź następujące działania celem usunięcia infekcji (zostanie wyczyszczony również kosz): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Users\awojtysiak\Desktop\Aktualizacja Fertigung.lnk C:\Users\awojtysiak\Desktop\Skrót do KSIĘGOWOŚĆ NIP, REGON, KRS.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Adobe Reader 7.0.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Brava! Reader.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Exact Globe 2003 Enterprise.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Fertigung 2005a.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Mozilla Firefox.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Reorganisation.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Skrót do kooperacja.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Skype.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\TimoCom TRUCK & CARGO.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\zlecenie transportowe.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox\Dropbox Website.URL ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku R2 D1C36853; C:\ProgramData\D1C36853\D1C36864.dll [2871824 2018-07-19] () [brak podpisu cyfrowego] Folder: C:\ProgramData\D1C36853 C:\ProgramData\D1C36853 S3 dbx; system32\DRIVERS\dbx.sys [X] HKLM Group Policy restriction on software: C:\Program Files\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinRAR HKLM Group Policy restriction on software: C:\Program Files (x86)\CCleaner HKLM Group Policy restriction on software: C:\Program Files\CCleaner IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. W razie pytań pozostaje do dyspozycji. Odnośnik do komentarza
Fitman Opublikowano 2 Sierpnia 2018 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 Po wczytaniu treści poprawionej przez Ciebie, nie wyskakuje komunikat. Mbam nic nie wykrył. Logi poniżej. I dzięki wielkie za pomoc. Fixlog.txt Addition.txt FRST.txt mbam.txt Odnośnik do komentarza
Miszel03 Opublikowano 2 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 Infekcja pomyślnie usunięta. Te poniższe blokady typu Debbuger to Twoja modyfikacja? IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe Pytam, bo coś je odtwarza. Usunę je jeszcze raz. Poprawki + drobna diagnostyka grup polityk: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Przedstaw plik Fixlog i zrób nowy log FRST w celu oceny. Odnośnik do komentarza
Fitman Opublikowano 2 Sierpnia 2018 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 Nie modyfikowałem i nie tworzyłem Debbugera. Być może powoduje to dameware łącze się nim z komputerem. Poniżej logi. Dzięki za poświęcony czas. FRST.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 2 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 HKLM Group Policy restriction on software: C:\Program Files\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinRAR HKLM Group Policy restriction on software: C:\Program Files (x86)\CCleaner HKLM Group Policy restriction on software: C:\Program Files\CCleaner Czy powyższe polityki miały jakiś konkretny cel / uzasadnienie. używałeś ich do czegoś? Zostały skasowane. Wcześniej wspominałem o "drobnej diagnostyce grup polityk" - te zadania to standard systemów Windows 8 i nowszych, jeśli zostanie użyta funkcja Grup polityk, a służą one do odświeżania zasad. Nie ma się więc czym martwić. Przypuszczalnie były powiązane z przytoczonymi tu politykami. Cytat Dzięki za poświęcony czas. Miło mi, że mogłem pomóc. Jeśli nie masz więcej pytań przejdź do finalizacji: zastosuj DelFix oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Cytat Nie modyfikowałem i nie tworzyłem Debbugera. Być może powoduje to dameware łącze się nim z komputerem. Debugger ustawiony na svchost nie jest normalny, więc martwi mnie. To może być rezultat działania malware / adware, ale oczywiście nie wykluczone, że są jakieś wyjątki od reguły. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się