Liczba postów: 6
Liczba wątków: 1
Dołączył: 16.02.2016
Reputacja:
0
Witam,
Mam problem z powracającymi trojanami pcds32.exe i pcds64.exe. W losowych momentach pojawiają się w c:\Windows\Temp.
Pousuwałem chyba wszystko FRST-em, MBAM-em i Hitmanem Pro. Usunąłem wszystkie podejrzane foldery z Users, z uruchamiania, rejestru. Dopiero Spy Shelter pozwala mi to blokować, ale pojawia się zwykle 2-3x dziennie.
Log MBAM:
[Aby zobaczyć linki, zarejestruj się tutaj]
Spy SHelter raportuje:
Kod: 2016-02-16 13:03:44,C:\Program Files\Java\jdk1.8.0_40\jre\bin\javaw.exe,53,Allowed ;Execution of an application ("C:\Windows\TEMP\pcds32.exe")
2016-02-16 13:03:49,C:\Windows\Temp\pcds32.exe,53,Allowed ;Execution of an application (C:\Windows\TEMP\pcds32.exe)
2016-02-16 13:03:49,C:\Program Files\Java\jdk1.8.0_40\jre\bin\javaw.exe,53,Allowed ;Execution of an application ("C:\Windows\TEMP\pcds64.exe")
2016-02-16 13:03:50,C:\Windows\Temp\pcds64.exe,53,Allowed ;Execution of an application (C:\Windows\TEMP\pcds64.exe)
2016-02-16 13:03:50,C:\Windows\Temp\pcds64.exe,53,Allowed ;Execution of an application ("C:\Windows\TEMP\pcds64.exe")
2016-02-16 13:03:59,C:\Windows\Temp\pcds32.exe,53,Allowed ;Execution of an application (C:\Windows\Temp\pcds32.exe)
2016-02-16 13:04:03,C:\Windows\Temp\pcds64.exe,53,Terminated ;Execution of an application (C:\Windows\TEMP\pcds64.exe)
2016-02-16 13:04:09,C:\Windows\Temp\pcds32.exe,53,Blocked ;Execution of an application (C:\Windows\Temp\pcds32.exe)
Log FRST.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Log Addition.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Log Shortcut.txt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję za pomoc
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
17.02.2016, 20:26
(Ten post był ostatnio modyfikowany: 17.02.2016, 20:56 przez tachion.)
Odinstaluj:
Java 8 Update 31 (64-bit)
Java 8 Update 31
Java SE Development Kit 7 Update 51
Java SE Development Kit 8 Update 40
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin HKU\S-1-5-21-3217433430-1510333266-289489060-1000: @citrixonline.com/appdetectorplugin -> C:\Users\zuri\AppData\Local\Citrix\Plugins\104\npappdetector.dll [No File]
FF Extension: Microsoft Office Metadata Handler - C:\Users\zuri\AppData\Roaming\Mozilla\Firefox\Profiles\b5t4btpg.default\Extensions\{9939CBE9-A432-AF57-6A8D-734C37DEB059} [2015-12-05] [not signed]
C:\Users\zuri\AppData\Roaming\callout.unicode.start.character.xml
C:\Users\zuri\AppData\Roaming\MiloFrostbiteOphthalmometry
C:\Users\zuri\AppData\Roaming\baste.dll
C:\Users\zuri\AppData\Local\PUTTY.RND
C:\ProgramData\TEMP
AlternateDataStreams: C:\ProgramData\TEMP:5C321E34
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\zuri\AppData\Local
CMD: dir /a C:\Users\zuri\AppData\LocalLow
CMD: dir /a C:\Users\zuri\AppData\Roaming
CMD: dir /a C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom, kliknij Skanuj.
Po skanowaniu nic nie usuwaj, pokaż raport z niego.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 16.02.2016
Reputacja:
0
18.02.2016, 08:46
(Ten post był ostatnio modyfikowany: 18.02.2016, 11:49 przez zuri.)
Dziękuję.
Odinstalowałem Javę. Poniżej logi.
PS. W międzyczasie usunąłem Chroma i Firefoxa (łącznie z katalogami i profilami w AppData).
Fixlog.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
AdwCleaner[S1].txt
[Aby zobaczyć linki, zarejestruj się tutaj]
PS. Ten plik przeskanowałem: AppData\Roaming\d3dx10.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
Usunąć?
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Tak do usunięcia.
Rozumiem że wykonywałeś już proces dezynfekcji programem MBAM ?
Fix wykonany 2 razy, a powinno się wykonywać raz.
Nie podejmuj żadnych innych kroków z własnej woli, do puki nie napiszę że można takie działania wykonać.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CMD: attrib -r -h -s C:\Users\zuri\AppData\Roaming\d3dx10.exe /s
CMD: del /q /s C:\Users\zuri\AppData\Roaming\d3dx10.exe
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\zuri\AppData\Local
CMD: dir /a C:\Users\zuri\AppData\LocalLow
CMD: dir /a C:\Users\zuri\AppData\Roaming
CMD: dir /a C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming
CMD: dir /a C:\Windows\Temp
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Liczba postów: 6
Liczba wątków: 1
Dołączył: 16.02.2016
Reputacja:
0
1. Fix wykonałem tylko raz, ale przed fixem usunąłem Chroma i Firefoxa (łącznie z pozostałościami), dlatego fix nic nie znalazł.
2. MBAMa stosowałem przed napisaniem na forum, pousuwał kilka rzeczy (jak w logu), ale nie pomógł z powracaniem wirusów
Fixlog.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Po fixie
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej:
CloseProcesses:
Unlock: C:\Users\zuri\AppData\Roaming\d3dx10.exe
C:\Users\zuri\AppData\Roaming\d3dx10.exe
zapisz i w programie klik napraw
Liczba postów: 6
Liczba wątków: 1
Dołączył: 16.02.2016
Reputacja:
0
Fixlog.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
I na wszelki wypadek FRST.txt po naprawie:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
No w końcu znikła gadzina.
To teraz zaktualizuj bazy w MBAM+dodatkowo ściągnij hitmanpro i wykonaj nimi pełne skany i podaj raport.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 16.02.2016
Reputacja:
0
19.02.2016, 00:12
(Ten post był ostatnio modyfikowany: 19.02.2016, 00:22 przez zuri.)
HitmanPro:
[Aby zobaczyć linki, zarejestruj się tutaj]
MBAM:
[Aby zobaczyć linki, zarejestruj się tutaj]
EDIT:
Na wszelki wypadek zrobiłem jeszcze skana ADWCleanerem, ale nic nie znalazł. Więc tylko to jedno co wyszukał MBAM.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do kasuj tą bibliotekę programem.
Usuń również:
C:\Users\zuri\AppData\Roaming\Mozilla
C:\AdwCleaner
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Skanuj co jakiś czas gruntownie programami na żądanie partycje systemową !
Liczba postów: 6
Liczba wątków: 1
Dołączył: 16.02.2016
Reputacja:
0
Ok, pousuwam.
Dzięki wielkie za pomoc
|