Bester20 Opublikowano 2 Września Zgłoś Udostępnij Opublikowano 2 Września Witam, podejrzewam obecność na moim PC trojana rootkit ZeroAccess, Malwarebytes oraz Fortect nic nie wykryły, natomiast McAfee coś wykrył i zawiesił się na 99% pełnego skanowania. Sprawdzałem niżej podlinkowany wątek na forum, chciałem wykonać skan za pomocą SystemLook x64 żeby przynajmniej pozyskać informacje o pliku, ale podany do narzędzia link nie działa. Wobec tego mam pytanie - w jaki sposób mógłbym przynajmniej wykryć, najlepiej zaś usunąć rootkita? PS. Również mam problem z desktop.ini, wiem, że może to być akurat zwykły błąd wynikający ze zbędnego pliku, ale na wszelki wypadek chciałbym sprawdzić czy to nie trojan. Odnośnik do komentarza
Illidan Opublikowano 2 Września Zgłoś Udostępnij Opublikowano 2 Września Cześć. Zrób zestaw logów programem "FRST", logi zamieść w załączniku tutaj na forum. Wykonaj też log "Shortcut.exe". Ten podlinkowany wątek ma już swoje lata, a program "SystemLook" jest już niewspierany i nierozwijany. Odnośnik do komentarza
Bester20 Opublikowano 7 Września Autor Zgłoś Udostępnij Opublikowano 7 Września W dniu 2.09.2024 o 23:35, Illidan napisał(a): Wykonaj też log "Shortcut.exe" Z tego co zrozumiałem mowa o Shortcut.txt na panelu w sekcji "Skan opcjonalny"? Poniżej załączam pliki logów: Addition_07-09-2024 20.56.22.txt FRST_07-09-2024 20.56.22.txt Shortcut_07-09-2024 20.56.22.txt Odnośnik do komentarza
Illidan Opublikowano 7 Września Zgłoś Udostępnij Opublikowano 7 Września Tak, chodziło mi o zestaw logów, czyli i o "Shortcut.exe". Ok to zobaczmy, co tam masz w systemie... Uruchom FRST. Skopiuj zawartość podaną niżej i nigdzie nie wklejaj-FRST sam znajdzie "fixlist" w schowku systemowym. Spoiler START:: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GSC Game World\S.T.A.L.K.E.R. - Shadow of Chernobyl\Kod odblokowujący.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GSC Game World\S.T.A.L.K.E.R. - Shadow of Chernobyl\Pokaż ReadMe.txt.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA HKU\S-1-5-21-1387036239-2962875848-3040863821-1001\...\Run: [YandexDisk2] => C:\Users\Admin\AppData\Roaming\Yandex\YandexDisk2\3.2.34.4962\YandexDisk2.exe -autostart (Brak pliku) GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X] U1 aswbdisk; Brak ImagePath CustomCLSID: HKU\S-1-5-21-1387036239-2962875848-3040863821-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1387036239-2962875848-3040863821-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => Brak pliku CustomCLSID: HKU\S-1-5-21-1387036239-2962875848-3040863821-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1387036239-2962875848-3040863821-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1387036239-2962875848-3040863821-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\FileCoAuth.exe => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Telegram Desktop\Деинсталлировать Telegram.lnk AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjkhkjq [0] AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyqfh [0] AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkhkjq [0] FirewallRules: [{F19527A8-1CF4-4030-99CC-32EB9C930353}] => (Allow) C:\Users\Admin\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku FirewallRules: [{20F5A9D8-58F6-4402-B98A-71B4E95530FC}] => (Allow) C:\Users\Admin\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku FirewallRules: [TCP Query User{BE1FE955-CC0E-4D87-B0E3-45ADB6994ACD}C:\users\admin\documents\m\aria2c.exe] => (Allow) C:\users\admin\documents\m\aria2c.exe => Brak pliku FirewallRules: [UDP Query User{872CACBD-9D9C-4855-B0FB-8958A7EE9F62}C:\users\admin\documents\m\aria2c.exe] => (Allow) C:\users\admin\documents\m\aria2c.exe => Brak pliku FirewallRules: [{6125EC37-F4E3-4B4C-A6CE-E8244FB191A6}] => (Allow) C:\Program Files\Pinnacle\Studio Trial\programs\RM.exe => Brak pliku FirewallRules: [{F28C2BC4-0A5A-4A7C-B4D1-00526E7E3C2B}] => (Allow) C:\Program Files\Pinnacle\Studio Trial\programs\RM.exe => Brak pliku FirewallRules: [{F9494113-920D-44B5-9914-139F7BB865B1}] => (Allow) C:\Program Files\Pinnacle\Studio Trial\programs\NGStudio.exe => Brak pliku FirewallRules: [{3B2E0EC3-D9EB-4023-AE2F-CB692C65BA86}] => (Allow) C:\Program Files\Pinnacle\Studio Trial\programs\NGStudio.exe => Brak pliku FirewallRules: [{62D3AD42-5726-489C-9440-F1ED5DFC44C9}] => (Allow) C:\Program Files\Pinnacle\Studio Trial\programs\UMI.exe => Brak pliku FirewallRules: [{AB89F110-CA37-4E0F-BB2A-BD44CC01AEDD}] => (Allow) C:\Program Files\Pinnacle\Studio Trial\programs\UMI.exe => Brak pliku FirewallRules: [TCP Query User{AC0A570C-1E6D-4538-9091-77CCDD99CD82}C:\program files (x86)\synology\assistant\dsassistant.exe] => (Allow) C:\program files (x86)\synology\assistant\dsassistant.exe => Brak pliku FirewallRules: [UDP Query User{DFD28CC9-03EE-4422-8C27-FE3163810BDC}C:\program files (x86)\synology\assistant\dsassistant.exe] => (Allow) C:\program files (x86)\synology\assistant\dsassistant.exe => Brak pliku FirewallRules: [TCP Query User{81D57D8E-DA49-4CCB-A3EE-5DE437753A6D}C:\users\admin\documents\maszyna\aria2c.exe] => (Allow) C:\users\admin\documents\maszyna\aria2c.exe => Brak pliku FirewallRules: [UDP Query User{84BDCF5F-5612-4F84-9B9F-7D2A34077EC5}C:\users\admin\documents\maszyna\aria2c.exe] => (Allow) C:\users\admin\documents\maszyna\aria2c.exe => Brak pliku END:: Fixlist przeznaczona tylko dla autora tematu! Po restarcie komputera pokaż otrzymany "Fixlog" na forum, jest w tym samym miejscu co apka "FRST". Pobierz jeszcze darmowy "Malwaresbytes", przeskanuj nim system, usuń jeśli coś znajdzie, potem pobierz "AdwCleaner" i to samo zrób, przeskanuj , usuń. Pokaż raporty z usuwania, jeśli będzie coś jeszcze usuwane. Odnośnik do komentarza
Bester20 Opublikowano 10 Września Autor Zgłoś Udostępnij Opublikowano 10 Września Fixlog_09-09-2024 23.58.34.txt AdwCleaner[C00].txt Malwarebytes Raport ze skanowania 2024-09-09 225701.txt Odnośnik do komentarza
Illidan Opublikowano 11 Września Zgłoś Udostępnij Opublikowano 11 Września W FRST wszystko zrobione, reszta aplikacji też coś znalazła i usunęła. Zrób jeszcze raz logi z FRST, ale tylko FRST.txt. i Additiin.txt. Odnośnik do komentarza
Bester20 Opublikowano 12 Września Autor Zgłoś Udostępnij Opublikowano 12 Września FRST_13-09-2024 00.49.50.txt Addition_13-09-2024 00.49.50.txt Odnośnik do komentarza
Illidan Opublikowano 13 Września Zgłoś Udostępnij Opublikowano 13 Września Czysto, w logach nic więcej już nie widzę, możemy jeszcze jedynie wyczyścić pliki tymczasowe systemu. Uruchom FRST. Skopiuj zawartość podaną niżej i nigdzie nie wklejaj-FRST sam znajdzie "fixlist" w schowku systemowym. Spoiler START:: CreateRestorePoint: EmptyTemp: END:: Po restarcie komputera pokaż otrzymany "Fixlog" na forum. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się