SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Poproszę o pomoc w sprawdzenimu logów

Tryby wyświetlania wątku
Poproszę o pomoc w sprawdzenimu logów
wnuczka818 Offline
Nowicjusz
Liczba postów: 1
Liczba wątków: 1
Dołączył: 25.05.2015
Reputacja: 0
#1
25.05.2015, 21:26
Cześć,

Mój komputer został zainfekowany, po pewny czasie po włączeniu pojawia się niebieski ekran z komunikatem "error disk for crash dump".

Na innym forum polecono mi żeby przywrócić ustawienia fabryczne w biosie i tak zrobiłam, zeskanowałam także komputer malwarebytes ale sytuacja nadal się powtarza.


Czy moglibyście mi pomóc?


Poniżej znajdują się linki do moich logów wykonanych programem First:

FIRST

[Aby zobaczyć linki, zarejestruj się tutaj]



Additional

[Aby zobaczyć linki, zarejestruj się tutaj]



Shortcut

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#2
27.05.2015, 20:53 (Ten post był ostatnio modyfikowany: 27.05.2015, 22:07 przez tachion.)
Na początek odinstaluj:


Adobe AIR
Avast Free Antivirus (na chwilę obecną).



Do notatnika wklej i zapisz jako [b]fixlist.txt[/b]


Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4062863497-795254779-2801782627-1000\...\Run: [AdobeBridge] => [X]
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1022152 2014-12-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [WGA Remover] => C:\Program Files (x86)\WGA Remover\wgaremover.exe [600064 2014-11-15] ()
HKU\S-1-5-21-4062863497-795254779-2801782627-1000\...\Run: [Skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [31280256 2015-04-17] (Skype Technologies S.A.)
AutoConfigURL: [S-1-5-21-4062863497-795254779-2801782627-1000] => http://www.bg.ump.edu.pl/proxy.pac 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-4062863497-795254779-2801782627-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/pl-pl/?ocid=iehp
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files\AVAST Software\Avast\WebRep\FF
FF Extension: Avast Online Security - C:\Program Files\AVAST Software\Avast\WebRep\FF [2015-01-18]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\justyna\AppData\Roaming\Opera Software
C:\Users\justyna\AppData\Local\Opera Software
C:\Program Files (x86)\f0cd20a7-ab0d-48b2-8b4c-92e52c3f629e
C:\Program Files (x86)\Opera
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\Windows\system32\Drivers\etc\hp.bak
C:\Users\justyna\Downloads\proxy.pac
C:\Users\justyna\Downloads\proxy (1).pac
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\AdwCleaner
Task: {18E1C88C-5A4A-465F-BA9C-8B112ECD702E} - System32\Tasks\AdobeAAMUpdater-1.0-justyna1-justyna => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2010-03-06] (Adobe Systems Incorporated)
Task: {6F34F251-F24E-4D17-9F7E-38A540258073} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2015-01-18] (AVAST Software)
CMD: netsh advfirewall reset
RemoveProxy:
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 

Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.



Z czego to jest ?  C:\Users\justyna\Documents\stary rejestr Nie zostało to czasem przypadkowo zaimportowane do rejestru ?


Jakie też działania były lub są wykonywane programem CCleaner ?

Sprawdź w menadżerze urządzeń czy masz aktualne sterowniki lub niewybrakowane jak np. Kontroler Ethernet lub Drukarka. Jeśli tak to zaktualizuj sterowniki pobierając je  z strony producenta twojego laptopa lub innego sprzętu.

Rozumiem że pamięć ram jest też oryginalna,dopasowana do sprzętu ? Czy ktoś dokładał kości ram lub cokolwiek robił z nimi ?

W menu start > uruchom wpisz cmd i z PPM uruchom jako administrator wpisz:

chkdsk /r enter. Potwierdź wklepując Y enter. Uruchom ponownie komputer. Czekasz do zakończenia działań i samoczynnego restartu.
Zwróć uwagę na komunikaty czy były wykonywane działania naprawcze.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt

Napisz czy problemy dalej występują.
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości