Podejrzany załącznik maila - przeterminowane faktury - wirus?
#1
Dzień dobry,

mamuśka dostała maila z załącznikiem pod tytułem przeterminowane faktury, w treści maila były ostrzeżenia o niezapłaconych fakturach i firmie windykacyjnej itp.... Załącznik został pobrany. Był to folder w którym znajdował się plik .rar. Plik .rar został rozpakowany i pojawił się plik z dziwnym rozszerzeniem. Żadnego z tych plików nie można było usunąć.

Gdy podjąłem się usunięcia problemu, bez zastanowienia się, użyłem programu Unlocker i usunąłem cały folder. Dodatkowo procesy (w liczbie 4), które blokowały folder przed usunięciem, zakończyłem w menadżerze zadań. Wybaczcie, ale nie pamiętam jak się nazywały, coś na literę w....

ESET NOD32 nie wykrywał nic.
Przeskanowałem komputer Malwarebytes, zostały wykryte zagrożenia. Wrzucam raport ze skanowania.
Dodatkowo Malwarebytes blokuje włączenie Mozilli Firefox. Wrzucam screen z ostrzeżenia.
Załączam skan z OTL. Załączam skan z FRST.

Komputer stary, Win XP.

Proszę o pomoc.

Z góry dziękuję,
Artur


Załączone pliki Miniatury
   

.txt   Addition.txt (Rozmiar: 81,3 KB / Pobrań: 166)
.txt   Extras.Txt (Rozmiar: 58,22 KB / Pobrań: 150)
.txt   FRST.txt (Rozmiar: 28,15 KB / Pobrań: 132)
.txt   OTL.Txt (Rozmiar: 99,82 KB / Pobrań: 144)
.txt   skan malwarebytes.txt (Rozmiar: 2,97 KB / Pobrań: 123)
Odpowiedz
#2
Musisz się co najmniej do soboty uzbroić w cierpliwość,bo mam komputer rozłożony na pierwsze części. Jeśli plik z załącznika nie bym uruchamiany, to niema się czym przejmować.
Odpowiedz
#3
Plik był prawdopodobnie uruchomiony. Wybacz za dokładność, nie ja osobiście się w to wkopałem. :/ czekam cierpliwie
Odpowiedz
#4
Jeśli jeszcze aktualne.

Odinstaluj:
pdfforge Toolbar

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\Policies\Explorer: []
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\CurrentVersion\Windows: [Load] C:\YDPDict\watch.exe <==== UWAGA
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\Winlogon: [Shell] C:\Documents and Settings\All Users\peritel-55\peritel-5.exe -1,explorer.exe <==== UWAGA
Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\doublers-3.lnk [2018-02-28]
ShortcutTarget: doublers-3.lnk -> C:\Documents and Settings\Admin\Dane aplikacji\doublers-9\doublers-1.exe ()
Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\slim.jse [2018-02-28] ()
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com?o=15003&l=dis
HKU\S-1-5-21-1645522239-1454471165-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
URLSearchHook: HKU\S-1-5-21-1645522239-1454471165-682003330-1004 - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -  Brak pliku
SearchScopes: HKLM -> {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = hxxp://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
SearchScopes: HKU\.DEFAULT -> {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = hxxp://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
SearchScopes: HKU\S-1-5-21-1645522239-1454471165-682003330-1004 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
BHO: Brak nazwy -> {A3BC75A2-1F87-4686-AA43-5347D756017C} -> Brak pliku
BHO: pdfforge Toolbar -> {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Brak pliku
Toolbar: HKLM - Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} -  Brak pliku
Toolbar: HKLM - pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} -  Brak pliku
Toolbar: HKU\S-1-5-21-1645522239-1454471165-682003330-1004 -> Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -  Brak pliku
Toolbar: HKU\S-1-5-21-1645522239-1454471165-682003330-1004 -> Brak nazwy - {A057A204-BACC-4D26-9990-79A187E2698E} -  Brak pliku
FF SearchPlugin: C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\fmw1u2ti.default\searchplugins\ask-search.xml [2013-12-17]
FF SearchPlugin: C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\fmw1u2ti.default\searchplugins\askcom.xml [2012-12-25]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
FF Extension: (Eset Plugin) - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2009-10-14] [Przestarzale] [Brak podpisu cyfrowego]
FF HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\Firefox\Extensions: [[email protected]] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku]
S4 IntelIde; Brak ImagePath
U1 WS2IFSL; Brak ImagePath
ShellIconOverlayIdentifiers: [ DropboxExt10] -> {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ DropboxExt9] -> {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D57FAB99 [130]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh firewall reset
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleaner z opcji Clean.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt > Shortcut.txt
Odpowiedz
#5
Poradziłem sobie w inny sposób, natomiast wciąż bym prosił o sprawdzenie logów czy wszystko jest w porządku i czy infekcja nie odrodziła się.
MBAM nie wykrywa nic.

Z góry wielkie dzięki!


Załączone pliki
.txt   Addition.txt (Rozmiar: 82,71 KB / Pobrań: 139)
.txt   FRST.txt (Rozmiar: 23,29 KB / Pobrań: 155)
.txt   Shortcut.txt (Rozmiar: 66,41 KB / Pobrań: 188)
Odpowiedz
#6
pdfforge Toolbar v1.1.2 nie został odinstalowany

Prześlij raporty po wykonanym skrypcie, z adwcleaner również.
Odpowiedz
#7
1) pdfforge Toolbar v1.1.2 - odinstalowane
2) adwcleaner - gdy chcę pobrać którąkolwiek wersję którą można zainstalować na win XP antywir wykrywa wirusa. Załączam screena. Nie przejmować się i instalować?
3) Załączam nowe logi FRST


Załączone pliki Miniatury
   

.txt   Addition.txt (Rozmiar: 82,04 KB / Pobrań: 133)
.txt   FRST.txt (Rozmiar: 20,84 KB / Pobrań: 144)
.txt   Shortcut.txt (Rozmiar: 65,21 KB / Pobrań: 134)
Odpowiedz
#8
Co do adw cleaner to tu masz raport z VT więc raczej jest to jakiś błąd z racji tego że używasz starej wersji ESETa

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#9
Program jest bezpieczny ale i tak nie pobrałeś ze źródła które podałem.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
CloseProcesses:
CreateRestorePoint:
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-10-17] [Przestarzale] [Brak podpisu cyfrowego]
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
FF Extension: (Eset Plugin) - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2009-10-14] [Przestarzale] [Brak podpisu cyfrowego]
FF HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\Firefox\Extensions: [[email protected]] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono
ShellIconOverlayIdentifiers: [ DropboxExt10] -> {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ DropboxExt9] -> {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
MSCONFIG\startupfolder: C:^Documents and Settings^Admin^Menu Start^Programy^Autostart^slim.jse => C:\WINDOWS\pss\slim.jseStartup
FF Plugin: [email protected]/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll [2006-11-03] (Yahoo! Inc.)
U1 WS2IFSL; Brak ImagePath
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh firewall reset
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Pokaż fixlog po wykonaniu tego skryptu.

Pobierz adwclenaer ze źródła które podawałem i wykonaj czynności.

Jeśli eset nadal będzie heurystyką wykrywał program jako zagrożenie to wyłącz w nim ochronę.
Odpowiedz
#10
1) Czyszczenie AdwCleanerem wykonane;
2) Naprawianie FRST wykonane.
Kod:
Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 14.03.2018
Uruchomiony przez Admin (15-03-2018 23:15:25) Run:4
Uruchomiony z C:\Documents and Settings\Admin\Pulpit
Załadowane profile: Admin (Dostępne profile: Admin)
Tryb startu: Normal

==============================================

fixlist - zawartość:
*****************
CloseProcesses:
CreateRestorePoint:
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-10-17] [Przestarzale] [Brak podpisu cyfrowego]
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
FF Extension: (Eset Plugin) - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2009-10-14] [Przestarzale] [Brak podpisu cyfrowego]
FF HKU\S-1-5-21-1645522239-1454471165-682003330-1004\...\Firefox\Extensions: [[email protected]] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono
ShellIconOverlayIdentifiers: [ DropboxExt10] -> {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ DropboxExt9] -> {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
MSCONFIG\startupfolder: C:^Documents and Settings^Admin^Menu Start^Programy^Autostart^slim.jse => C:\WINDOWS\pss\slim.jseStartup
FF Plugin: [email protected]/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll [2006-11-03] (Yahoo! Inc.)
U1 WS2IFSL; Brak ImagePath
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh firewall reset
EmptyTemp:
*****************

Procesy zostały pomyślnie zamknięte.
Punkt przywracania został pomyślnie utworzony.
"HKLM\Software\Mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}" => pomyślnie usunięto
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension => pomyślnie przeniesiono
"HKLM\Software\Mozilla\Thunderbird\Extensions\\[email protected]" => pomyślnie usunięto
C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => pomyślnie przeniesiono
"HKU\S-1-5-21-1645522239-1454471165-682003330-1004\Software\Mozilla\Firefox\Extensions\\[email protected]" => pomyślnie usunięto
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ DropboxExt10" => pomyślnie usunięto
HKLM\Software\Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B} => nie znaleziono
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ DropboxExt9" => pomyślnie usunięto
HKLM\Software\Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B} => nie znaleziono
"HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Admin^Menu Start^Programy^Autostart^slim.jse" => pomyślnie usunięto
C:\WINDOWS\pss\slim.jseStartup => pomyślnie przeniesiono
"HKLM\Software\MozillaPlugins\[email protected]/YahooActiveXPluginBridge;version=1.0.0.1" => pomyślnie usunięto
C:\Program Files\Yahoo!\Common\npyaxmpb.dll => pomyślnie przeniesiono
"HKLM\System\CurrentControlSet\Services\WS2IFSL" => pomyślnie usunięto
WS2IFSL => serwis pomyślnie usunięto
"HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys" => pomyślnie usunięto
"HKLM\System\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys" => pomyślnie usunięto

========= reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f =========


Operacja ukończona pomyślnie


========= Koniec  Reg: =========


========= netsh firewall reset =========

Ok.


========= Koniec  CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9763 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 0 B
Java, Flash, Steam htmlcache => 1066 B
Windows/system/dllcache/drivers => -8405013 B
Edge => 0 B
Chrome => 0 B
Firefox => 115696681 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 0 B
LocalService => 692 B
NetworkService => 66228 B
Admin => 96836055 B

RecycleBin => 11617598 B
EmptyTemp: => 205.8 MB danych tymczasowych Usunięto.

================================


System wymagał restartu.

==== Koniec  Fixlog 23:16:49 ====

Załączam raporty.


Załączone pliki
.txt   Fixlog.txt (Rozmiar: 4,67 KB / Pobrań: 141)
.txt   AdwCleaner[C0].txt (Rozmiar: 4,13 KB / Pobrań: 129)
Odpowiedz
#11
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#12
Wybacz, że tak późno ale rzadko mam dostęp do tego komputera. :/
Wrzucam logi z dzisiaj.


Załączone pliki
.txt   Addition.txt (Rozmiar: 79,26 KB / Pobrań: 140)
.txt   FRST.txt (Rozmiar: 20,06 KB / Pobrań: 141)
.txt   Shortcut.txt (Rozmiar: 65,21 KB / Pobrań: 129)
Odpowiedz
#13
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
RemoveDirectory: C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\_MEI4242
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D57FAB99 [130]

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odpowiedz
#14
Naprawione.
Komputer nie restartował się. To źle, dobrze?
Załączam Fixlog.
Kod:
Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 14.03.2018
Uruchomiony przez Admin (29-03-2018 19:19:31) Run:5
Uruchomiony z C:\Documents and Settings\Admin\Pulpit
Załadowane profile: Admin (Dostępne profile: Admin)
Tryb startu: Normal

==============================================

fixlist - zawartość:
*****************
RemoveDirectory: C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\_MEI4242
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D57FAB99 [130]
*****************

"C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\_MEI4242" => nie znaleziono
C:\Documents and Settings\All Users\Dane aplikacji\TEMP => ":D57FAB99" ADS pomyślnie usunięto

==== Koniec  Fixlog 19:19:31 ====


Dodatkowo miałbym prośbę o sprawdzenie laptopa Mamuśki. Mam nadzieję, że nie przeniosła się jakaś infekcja dalej. Na laptopie działa ten sam NOD32. Przeskanowałem i wyczyściłem AdwCleanerem.

Skanowanie AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

Czyszczenie AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

Additional:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST: 

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut:

[Aby zobaczyć linki, zarejestruj się tutaj]



Załączone pliki
.txt   Fixlog.txt (Rozmiar: 763 bajtów / Pobrań: 138)
.txt   Shortcut.txt (Rozmiar: 64,74 KB / Pobrań: 142)
.txt   FRST.txt (Rozmiar: 29,61 KB / Pobrań: 144)
.txt   Addition.txt (Rozmiar: 77,41 KB / Pobrań: 121)
Odpowiedz
#15
Kolego jak podaje do wykonania skrypt to wykonuj go na koncie w którym został wykonany skan. Ty Podajesz raport z innego konta a wykonujesz skrypt też na innym.

W takim wypadku podaj mi skany z obydwóch kont jakie posiadasz.
Odpowiedz
#16
Na komputerze stacjonarnym (czyli komputer z pierwszego posta) jest jedno konto, chyba, że drugie jest nie wiem ukryte???? Disbeliever Na tym właśnie koncie wykonywałem skrypt i rezultat wkleiłem w kodzie w poście nr 14.
Załączam skany z FRST z komputera stacjonarnego z konta które jako jedyne jest do wyboru podczas logowania.
additional:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

shortcuts: 

[Aby zobaczyć linki, zarejestruj się tutaj]



W poście nr 14 wkleiłem też skany z innego komputera, laptopa na którego mogła się przenieść infekcja.
Odpowiedz
#17
Ja dostałem dzisiaj na maila w firmie też email z fakturą. Był to plik Excela i trzeba było dać wyłącz ochronę aby się wyświetliło więc dałem. Pojawił się plik .exe z ikoną jakiejś gry chyba GTA aż tak się nie znam na pulpicie i tego już nie kliknąłem bo SpyShelter Firewall zablokował i ubiłem proces. Przeskanowałem komputer Malwarebytes, Kaspersky, Norton i Comodo i nic nie znalazło.
Co mogę jeszcze zrobić i sprawdzić ? Najbardziej obawiam się, że to mógł być jakiś szpiegujący program. Ewentualnie jak ktoś się zna i chce to mogę podesłać ten mail z załącznikiem lub sam załącznik do sprawdzenia ?
Odpowiedz
#18
1) Załóż własny temat - taki tam regulamin działu Suspicious
2) Wrzuć ten plik na hosting i umieść w tagu [ malware ], może to pomóc Tachionowi w ustaleniu, co się mogło przedostać przez SSFW Smile
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#19
Machej666

Trochę tu zostało namieszane, ale mniejsza o to.

Teraz na komputerze mamy:

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku nastepujaca tresc:

Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1993962763-1715567821-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> DefaultScope - brak wartosci
SearchScopes: HKU\S-1-5-21-1993962763-1715567821-839522115-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Extension: (Microsoft .NET Framework Assistant) - C:\Documents and Settings\Izabela Machejek\Dane aplikacji\Mozilla\Firefox\Profiles\sk5i3naa.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010-10-14] [Przestarzale] [Brak podpisu cyfrowego]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-11-02] [Przestarzale] [Brak podpisu cyfrowego]
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
FF Extension: (Eset Plugin) - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2009-10-15] [Przestarzale] [Brak podpisu cyfrowego]
FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation)
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
S2 Kmm4xNT; C:\WINDOWS\system32\Drivers\Kmm4xNT.sys [95484 2002-04-26] (DATOM Dariusz Cielebąk) [Brak podpisu cyfrowego]
RemoveDirectory: C:\AdwCleaner
VirusTotal: C:\Documents and Settings\All Users\Dane aplikacji\50AF6DE89D.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Google Update Helper (HKLM\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.11 - Google Inc.) Hidden
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Odinstaluj:
Adobe Flash Player 10 ActiveX

Zainstaluj najnowszy jesli potrzebujesz w IE Adobe Flash Player ActiveX

[Aby zobaczyć linki, zarejestruj się tutaj]


Java 8 Update 121 jeśli nie używane to dla bezp. odinstaluj.

Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu: 
Nie można odnaleźć urządzenia.

System i tak będzie blokował ten sterownik bo jest niezgodny. Załączona korekcja w skrypcie. 

Wsparcie bezp. dla Firefoxa 52 ESM są tylko do czerwca tego roku.
Odpowiedz
#20
Najnowszy Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]


Adobe Flash Player 10 ActiveX oraz Java 8 Update 121 odinstalowane.

"Wsparcie bezp. dla Firefoxa 52 ESM są tylko do czerwca tego roku."
Należy zmienić przeglądarkę? Chrome będzie ok? Czy system XP jest poprostu już zbyt stary?
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości