SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Proszę o sprawdzenie logów
Pełna wersja: Proszę o sprawdzenie logów
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

pajky

16.01.2015, 19:23
System i sprzęt:
Acer Aspire V5 na CPU AMD. Wolny, ale kiedyś szybszy był Wink Windows 8 z najnowszymi poprawkami. Obecna ochrona Bitdefender IS + Zemana Antilogger, doraźny skan ze 2x/mies. MBAM, czasem Emsisoft Emergency Kit. Wcześniejsze antywirusy Norton, Panda. Kilka dodatków Firefox zabezpieczających przeglądane strony (będą chyba w logach) + Hitman do przeglądarek.

Objawy zainfekowania:
Komputer w miarę normalnie się uruchamia i zamyka. Zaraz po uruchomieniu dysk na zmiane z CPU jest używane prawie w 100% co zamula cały system, po pewnym czasie 3-4min użycie spada w okolice 50%. Prawie każdy program uruchamia się dłuższy czas, użycie HDD i CPU skacze znów do 100%. Kliknięcie PPM w dowolnym celu w explorerze uaktywnia się po ok. 20sek, często explorer przestaje odpowiadać na 30-40sek. IE potrafi się czasem wysypać. Kafelki albo uruchamiają się długo albo całkowicie wysypują, kręci się w nieskończoność kółeczko zajętości.

Wykonywane działania:
MBAM, CureIt, Bitdefender IS, Emsisoft Emergency Kit, oprócz 1sztpliku .tmp (niegroźne) z firefox znalezionego przez MBAM i usunięciu nic nie znaleziono. Skan ADW znalazł zagrozenia - usunięte, log w załączniku. Następnie skan FRST, JRT, GMER.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

JRT

[Aby zobaczyć linki, zarejestruj się tutaj]

Gmer wstępne

[Aby zobaczyć linki, zarejestruj się tutaj]

Gmer szczegółowe

[Aby zobaczyć linki, zarejestruj się tutaj]

ADW R

[Aby zobaczyć linki, zarejestruj się tutaj]

ADW S
Po dłuuuuuuuuuuugim czasie zeskanował

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

tachion

16.01.2015, 22:25
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
HKU\S-1-5-21-2399201575-416795345-4116640574-1006\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-2399201575-416795345-4116640574-1006\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-2399201575-416795345-4116640574-1006 -> DefaultScope {0D523B86-871C-4BFD-BCAB-B413251CA1C3} URL = http://www.google.com/search?hl=pl&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2399201575-416795345-4116640574-1006 -> {0D523B86-871C-4BFD-BCAB-B413251CA1C3} URL = http://www.google.com/search?hl=pl&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2399201575-416795345-4116640574-1006 -> {8A98C191-3D9C-45F8-91E2-7A5FF16B4142} URL =
ShellExecuteHooks-x32:- {F6ACC71C-420B-4a95-905C-C7534706813C} -No File [ ]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File
CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - No Path
S2 NanoServiceMain; "C:\Program Files (x86)\Panda Security\Panda Security Protection\PSANHost.exe" [X]
S2 PSUAService; "C:\Program Files (x86)\Panda Security\Panda Security Protection\PSUAService.exe" [X]
U5 GeSWall; C:\Windows\SysWOW64\Drivers\GeSWall.sys [157184 2009-07-30] (GentleSecurity S.a.r.l.)
C:\Users\maluch\Doctor Web
C:\9b56af0a25df8b5f54814249
C:\ProgramData\Panda Security
Task: {23D772E7-F632-4459-B161-7BA65D89D2DF} - \Optimize Start Menu Cache Files-S-1-5-21-2399201575-416795345-4116640574-1001 No Task File <==== ATTENTION
Task: {28C7FF2F-9FA5-405A-AFED-23EE6308FC38} - \CrystalDiskInfo No Task File <==== ATTENTION
Task: {2C00F555-C2C7-43E1-96C4-B402B6055FE2} - \User_Feed_Synchronization-{895DDEF7-EDF2-4859-8956-4D902CCCD58D} No Task File <==== ATTENTION
Task: {3A4C2A89-D209-4C97-A505-DEF73A9ADE34} - \PMMUpdate No Task File <==== ATTENTION
Task: {41EF7E93-F411-45F7-9865-CAD46D428BC3} - System32\Tasks\ALUAgent => C:\Program Files (x86)\Acer\Live Updater\liveupdater_agent.exe [2012-06-21] ()
Task: {45FFF64C-CB21-4EEF-8AD1-7B01DF5FC685} - \Optimize Start Menu Cache Files-S-1-5-21-2399201575-416795345-4116640574-1005 No Task File <==== ATTENTION
Task: {5E358EAF-3CAC-4775-BCE7-F19AE0243A59} - \{EF56B984-353F-4B9D-B7E6-D068FC91EECC} No Task File <==== ATTENTION
Task: {67166ADC-F263-4381-82BC-E8E95572A2F5} - System32\Tasks\ALU => C:\Program Files (x86)\Acer\Live Updater\updater.exe [2012-11-06] ()
Task: {78E668A0-0E18-4C49-891D-75E90412AC41} - \Power Management No Task File <==== ATTENTION
Task: {8D6E9F31-A2F9-4004-970F-F0F3E7E4DACB} - \User_Feed_Synchronization-{EB51B99C-6F8C-4FB1-8479-A1730197BB91} No Task File <==== ATTENTION
Task: {9273EFFD-9E10-4FF8-9B34-1C0D02AF772B} - \{742C7C73-7E0C-497A-9899-7B1D38598156} No Task File <==== ATTENTION
Task: {95986F32-3F0A-4D4D-A128-45627783D161} - \EgisUpdate No Task File <==== ATTENTION
Task: {A0FB9ACE-E7C8-4DE8-B67A-70FF028DEA04} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-12-12] (Adobe Systems Incorporated)
AlternateDataStreams: C:\ProgramData\Temp:905844AA
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSUAService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSIServer => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PSUAService => ""="Service"
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\AdwCleaner
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Adobe Flash Player 15 Plugin

Użyj autorskiego deinstalatora pandy.

[Aby zobaczyć linki, zarejestruj się tutaj]


Zrób porządek z dodatkami w przeglądarce firefox,niepotrzebne usuń,lub zresetuj program firefox.

Otwórz menu w górnym rogu po prawej stronie > otwórz menu pomoc oznaczone czerwoną ramką.

[Aby zobaczyć linki, zarejestruj się tutaj]


Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Zainstaluj Adobe Flash Player

[Aby zobaczyć linki, zarejestruj się tutaj]

Ofertę opcjonalną McAfee odhacz.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt + OTL ale bez extras

pajky

18.01.2015, 10:18
Dzięki, logi po wykonaniu zaleceń. Widzę, że panda się nie odinstalowała... chyba zainstaluje i usunę jeszcze raz, bo się wysypała kiedyś podczas deinstalacji.

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Additional

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut

tachion

18.01.2015, 14:12
Użyj jeszcze tego narzędzia

[Aby zobaczyć linki, zarejestruj się tutaj]


Jak nie pomoże to zrób tak jak pisałeś,czy się uda czy nie daj log z FRST.txt

pajky

21.01.2015, 10:29
Poczyściłem ręcznie po Pandzie, bo uninstaler wymiękł a ponowna instalacja nie poszła.
Myślę, że logi już czyste (na moje oko)

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

tachion

22.01.2015, 21:23
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
ShellIconOverlayIdentifiers-x32: [GeSWall] -> {F6ACC71C-420B-4a95-905C-C7534706813C} =>No File
BootExecute: autocheck autochk *
SearchScopes: HKU\S-1-5-21-2399201575-416795345-4116640574-1006 -> {8A98C191-3D9C-45F8-91E2-7A5FF16B4142} URL =
CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - No Path
R0 fsbts; C:\Windows\System32\Drivers\fsbts.sys [56016 2013-11-01] ()
S1 NNSALPC; system32\DRIVERS\NNSAlpc.sys [X]
S1 NNSHTTP; system32\DRIVERS\NNSHttp.sys [X]
S1 NNSHTTPS; system32\DRIVERS\NNSHttps.sys [X]
S1 NNSIDS; system32\DRIVERS\NNSIds.sys [X]
S1 NNSPICC; system32\DRIVERS\NNSPicc.sys [X]
S4 NNSPIHSW; system32\DRIVERS\NNSPihsw.sys [X]
S1 NNSPOP3; system32\DRIVERS\NNSPop3.sys [X]
S1 NNSPROT; system32\DRIVERS\NNSProt.sys [X]
S1 NNSPRV; system32\DRIVERS\NNSPrv.sys [X]
S1 NNSSMTP; system32\DRIVERS\NNSSmtp.sys [X]
S1 NNSSTRM; system32\DRIVERS\NNSStrm.sys [X]
S1 NNSTLSC; system32\DRIVERS\NNSTlsc.sys [X]
S2 PSINAflt; system32\DRIVERS\PSINAflt.sys [X]
S2 PSINFile; system32\DRIVERS\PSINFile.sys [X]
S1 PSINKNC; system32\DRIVERS\psinknc.sys [X]
S2 PSINProc; system32\DRIVERS\PSINProc.sys [X]
S2 PSINProt; system32\DRIVERS\PSINProt.sys [X]
S2 PSINReg; system32\DRIVERS\PSINReg.sys [X]
S3 PSKMAD; System32\DRIVERS\PSKMAD.sys [X]
C:\ProgramData\Doctor Web
C:\Users\maluch\Doctor Web
C:\Device
C:\ProgramData\1383379647.2408.bin
C:\ProgramData\1383379647.2648.bin
C:\ProgramData\1383379647.3240.bin
C:\ProgramData\1383379647.3768.bin
C:\ProgramData\1383379647.4372.bin
C:\ProgramData\1383379647.4916.bin
C:\ProgramData\1383379647.5060.bin
C:\ProgramData\1383379647.6448.bin
C:\ProgramData\1383379647.6708.bin
C:\ProgramData\1383379647.6904.bin
C:\ProgramData\1383379647.6936.bin
C:\ProgramData\1383379647.6980.bin
C:\ProgramData\1383379647.6984.bin
C:\ProgramData\1403788576.bdinstall.bin
C:\ProgramData\1403790706.bdinstall.bin
C:\ProgramData\1403791029.1828.bin
C:\ProgramData\1403791029.4692.bin
C:\ProgramData\1403791029.4736.bin
C:\ProgramData\1403791029.4748.bin
C:\ProgramData\1403791029.4780.bin
C:\ProgramData\1403791029.4784.bin
C:\ProgramData\1403791029.4788.bin
C:\ProgramData\1403791029.4792.bin
C:\ProgramData\1403791029.4796.bin
C:\ProgramData\1403791029.4828.bin
C:\ProgramData\1403791029.4832.bin
C:\ProgramData\1403793839.bdinstall.bin
C:\ProgramData\1404238565.bdinstall.bin
C:\ProgramData\1407582534.bdinstall.bin
C:\ProgramData\1407585657.bdinstall.bin
RemoveDirectory: C:\AdwCleaner
CreateRestorePoint:
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

pajky

25.01.2015, 08:53

[Aby zobaczyć linki, zarejestruj się tutaj]

fixlog

tachion

25.01.2015, 13:22
Ok to by było na tyle.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

pajky

29.01.2015, 10:23
ok, dzieki
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Proszę o sprawdzenie logów