miszaa Opublikowano 5 Stycznia 2019 Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 witam serdecznie, Mam PC współużykowanego z "zielonym" userem, który go mocno zainfekował... Powalczyłem już róznymi antywirami i antyMalware (sporo szkodników znalazły...)., ale ponieważ nadal mulił zapusciłem ComboFix. Bardzo proszę o analizę logów + wskazanie co jeszcze powinienem zrobić... Pozdrawiam :) ComboFix.txt OTL.Txt Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2019 Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 Cytat 1601-01-03 20:26 . 1601-01-03 20:26 73216 ------w- c:\program files (x86)\Common Files\RloUowYZYABT.exe W tej lokalizacji nie powinno być żadnego pliku *.exe. Zrób logi z FRST. https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/?tab=comments#comment-160527 jessi Odnośnik do komentarza
miszaa Opublikowano 5 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 6 minut temu, jessica napisał: W tej lokalizacji nie powinno być żadnego pliku *.exe. Dopisałem mu rozszerzenie .vir (RloUowYZYABT.exe.vir) Logi z FRST w załączniku. FRST.txt Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2019 Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 FRST powinien zrobić trzy logi, a nie jeden. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-01-05] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-01-05] <==== UWAGA GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll => Brak pliku Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll Brak pliku S3 gusvc; "C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] 2019-01-05 14:15 - 2019-01-05 14:15 - 000000004 _____ () C:\ProgramData\ext.dat 2019-01-05 14:10 - 2019-01-05 14:30 - 000000004 _____ () C:\ProgramData\lock.dat 2019-01-05 14:10 - 2019-01-05 14:10 - 000000008 _____ () C:\ProgramData\ts.dat 1601-01-03 21:26 - 1601-01-03 21:26 - 000073216 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\RloUowYZYABT.exe.vir C:\Users\m.szafarz\AppData\Roaming\zquZWENY.exe C:\Users\m.szafarz\AppData\Local\installer.dat EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. jessi Odnośnik do komentarza
miszaa Opublikowano 5 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 W załączeniu logi (w tym 1 po naprawie). pozdrawiam Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2019 Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler MSCONFIG\startupreg: lkNJyPss55.exe => C:\Program Files\Common Files\FAAQWR3D\lkNJyPss55.exe RemoveDirectory: C:\Program Files\Common Files\FAAQWR3D C:\Windows\Minidump\*.dmp 2019-01-05 14:15 - 2019-01-05 14:15 - 000000004 _____ () C:\ProgramData\ext.dat 2019-01-05 14:10 - 2019-01-05 14:30 - 000000004 _____ () C:\ProgramData\lock.dat 2019-01-05 14:10 - 2019-01-05 14:10 - 000000008 _____ () C:\ProgramData\ts.dat 1601-01-03 21:26 - 1601-01-03 21:26 - 000186368 ____N (Microsoft Corporation) C:\Users\m.szafarz\ynSFrui.exe 1601-01-03 21:26 - 1601-01-03 21:26 - 000073216 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\RloUowYZYABT.exe.vir 1601-01-03 21:26 - 1601-01-03 21:26 - 000073216 ____N (Microsoft Corporation) C:\Users\m.szafarz\AppData\Roaming\zquZWENY.exe 2019-01-05 14:04 - 2019-01-05 14:04 - 000140800 _____ () C:\Users\m.szafarz\AppData\Local\installer.dat VirusTotal: C:\Windows\System32\LF2GRPJL.DLL; C:\Windows\system32\LF2GRPOW.exe EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Daj z tego "fixlog". Zrób nowe logi FRST jessi (zajrzę tu nie wcześniej nić o 23:05) Odnośnik do komentarza
miszaa Opublikowano 5 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 Zrobione :) Logi w załącznikach. Może być jutro na spokojnie. I tak "pożar" został już "opanowany" ;-) Thx :) Mirek P.S. Mam jeszcze do odzysku HDD po quick format... - ja stosuję do odzysku "dmde.exe", ale robiłem to do pojedyńczych plików... a tutaj mam ok. 500GB w tysiącach plików... a darmowa wersja pozwala na odzysk tylko pojedyńczo... :( Czy orientujesz sięw temacie innej app do hurtowego odzysku, nalepiej z zachowaniem struktury folderów? Fixlog.txt Addition.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2019 Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 Nie ma w logach już niczego podejrzanego. Na liście Twoich programów nie ma PC-Doktor, ani Symantec, więc usuniemy pozostałości: Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler Task: {AC5C820D-7998-4620-B4BA-FDDD5A6152E5} - System32\Tasks\PCDEventLauncher => C:\Program Files\PC-Doctor\sessionchecker.exe [2011-03-31] (PC-Doctor, Inc.) Task: {06A38C2B-76AF-4B5D-A5B4-1AAEBCBE855F} - System32\Tasks\PCDoctorBackgroundMonitorTask => C:\Program Files\PC-Doctor\uaclauncher.exe [2011-03-31] (PC-Doctor, Inc.) RemoveDirectory: C:\Program Files\PC-Doctor HKLM\...\RunOnce: [*WerKernelReporting] => C:\Windows\SYSTEM32\WerFault.exe [415232 2009-07-14] (Microsoft Corporation) HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp BHO-x32: Symantec VIP Access Add-On -> {C63CD127-A1CB-4D49-A4F7-D6F88A917BE6} -> C:\Program Files (x86)\Symantec\VIP Access Client\VIPAddOnForIE.dll [2011-04-13] (Symantec Corporation) Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll Brak pliku S2 VIPAppService; C:\Program Files (x86)\Symantec\VIP Access Client\VIPAppService.exe [84088 2011-04-13] (Symantec Corporation) C:\Users\m.szafarz\AppData\Local\wbem.ini EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
miszaa Opublikowano 5 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 Zrobione - logi w załączeniu. Dziękuję :) Czy pod kątem "robaków" powinieniem jeszcze czymś przeskanować HDD ? pozdrawiam Mirek Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2019 Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 Cytat FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-01-05] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-01-05] <==== UWAGA to znowu jest! Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-01-05] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-01-05] <==== UWAGA EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Używałeś już różnych skanerów, więc chyba nie ma potrzeba skanowania czymś jeszcze. jessi Odnośnik do komentarza
miszaa Opublikowano 5 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 Odinstalowac Mozillę... i wywalić folder? Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2019 Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 zrób to, co zaleciłam w swoim ostatnim poście, a jeśli kiedyś jeszcze się to pojawi w logu FRST, to przeinstalujesz Firefoxa. jessi Odnośnik do komentarza
miszaa Opublikowano 5 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2019 Dziękuję za całą pomoc :) pozdrawiam serdecznie! M. Odnośnik do komentarza
miszaa Opublikowano 6 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 jessi Nadal pojawiają się wpisy: FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-01-06] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-01-06] <==== UWAGA Reinstalacja FF nic nie daje... Co to są za wpisy? o czym świadczą? Mam zainstalowany "IBM Security Trusteer Rapport", który monitoruje przeglądarki... Mirek Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 6 Stycznia 2019 Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 Cytat "C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js" => nie znaleziono "C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg" => nie znaleziono To nie infekcja powraca, tylko u Ciebie FRST nie działa prawidłowo, choć u wszystkich innych użytkowników na całym świecie działa prawidłowo. Nie wiem, dlaczego tylko u Ciebie źle działa? Użyj > MBAM Podczas instalacji usuń zaznaczenie z okienka przy "Uruchom okres testowy Malwarebytes Anti-Malware Premium". Zaznacz wszystko co wykryje, kliknij na Usuń zaznaczone. Odnośnik do komentarza
miszaa Opublikowano 6 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 35 minut temu, jessica napisał: Użyj > MBAM Podczas instalacji usuń zaznaczenie z okienka przy "Uruchom okres testowy Malwarebytes Anti-Malware Premium". Nie ma takiej opcji do zaznaczenia podczas instalacji... - jest tylko wybór co do miejsca użytkowania: Dom/Firma. Odnośnik do komentarza
miszaa Opublikowano 6 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 Znalazł Adware WhiteClick (2 szt.). Odnośnik do komentarza
jessica Opublikowano 6 Stycznia 2019 Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 Cytat C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg Sprawdź, czy ten plik dalej jest w tych lokalizacjach. Jeśli jest, to spróbuj usunąć ręcznie. . Odnośnik do komentarza
miszaa Opublikowano 6 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 W lokalizacji c:\Program Files\mozilla firefox\defaults\pref\ jest plik: kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js W lokalizacji C:\Program Files\mozilla firefox\ jest plik: kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg Usunąłem ręcznie. Zobaczę co będzie po restarcie.... M. Odnośnik do komentarza
miszaa Opublikowano 6 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 Po restarcie PC i uruchomienia Firefoxa ww. pliki pojawiły się ponownie... pozdrawiam Mirek Odnośnik do komentarza
jessica Opublikowano 6 Stycznia 2019 Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 tak się zastanawiam, czy nie są to przypadkiem pliki Kasperskiego (kl na początku nazw plików) FRST zbada te pliki na VIRUSTOTAL: Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler VirusTotal: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js; C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Pokaż z tego "fixlog". jessi Odnośnik do komentarza
miszaa Opublikowano 6 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 w załączeniu "fixlog". Wygląda, na VIRUSTOTAL że jest czysto... Mirek Fixlog.txt Odnośnik do komentarza
miszaa Opublikowano 6 Stycznia 2019 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 Jeszcze raz dziękuję serdecznie za pomoc :) pozdrawiam ciepło w tym zimnym dniu :) Mirek Odnośnik do komentarza
jessica Opublikowano 6 Stycznia 2019 Zgłoś Udostępnij Opublikowano 6 Stycznia 2019 zostawiamy te pliki w spokoju. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się