gravity1287

Skanowanie wykrywa 8 zagrożeń.

Recommended Posts

Witam,

przeskanowałem dysk Emsisoft Internet Security i znalazł mi on 8 zagrożeń. Nie wiem czy mogę poddać bezpiecznie wyniki kwarantannie, ponieważ wszystkie wykryte "zagrożenia" to klucze rejestru. Plik z wynikami skanowania daję w załączniku. Co powinienem zrobić z tymi wynikami skanowania?

--------

Skanowanie: Emsisoft Internet Security

System operacyjny: Windows 10, 64-bit.

Dodatkowo: SpyShelter Firewall.

scan_150905-182857.txt

Scan_150905-183615.txt

Share this post


Link to post
Share on other sites

Witaj gravity1287,

 

 Będę potrzebować jeszcze kilku logów. Proszę pobrać Farbar Recovery Scan Tool (FRST):
1. Kliknij dwukrotnie, aby go uruchomić. 
2. Podczas uruchomienia wyskoczy okno z powiadomieniem, kliknij "Tak". 
3. Naciśnij przycisk "Skanuj".
4. Farbar Recovery Scan Tool stworzy następujące dzienniki:
FRST.txt
Addition.txt
 
Uzyskane raporty proszę umieścić w kolejnym swoim poście, wybierając opcję "More Reply Options".

 

Share this post


Link to post
Share on other sites

Witaj gravity1287,

 

Dziękuje za dodatkowe logi. Przekazałem je do analizy przez nasz zespól. Wrócę do tego wątku, jak tylko będę wiedzieć więcej na ten temat.

Share this post


Link to post
Share on other sites

Witaj gravity1287,

 

Trochę niepokoją mnie wyniki skanowania, gdyż w wynikach widnieją wpisy rejestru, które normalnie nie występują w systemie Windows.

 

Jednakże, z większym problemem (po analizie logu) mamy do czynienia w Twoim systemie.

 


Proszę pobrać narzędzie RogueKiller wybierając jeden z poniższych linków i zapisz na pulpicie:

 

  • Proszę zamknąć wszystkie programy, oraz odłączyć wszystkie urządzenia USB lub zewnętrzne dyski twarde.
  • Dwuktornie kliknij RogueKiller.exe aby uruchomić narzędzie.
(Użytkownicy systemu Windows Vista i Windows 7: Prawy przycisk myszy i wybieramy
Uruchom jako administrator).
  • Gdy skanowanie wstępne się zakończy, kliknij Scan.
  • Gdy status zmieni się na "Scan Finished", tylko zamknij program. <--Proszę niczego nie naprawiać!
  • Pik z raportem RogueKiller proszę umieścić w kolejnym swoim poście, wybierając opcję "More Reply Options".
 
  • Plik z logiem można również znaleźć na pulpicie
(RKreport[X]_S_xxDATAxx_xCZASx)
  • Gdzie najwyższa wartość [X], oznacza najnowszy raport ze skanowania.

 

Share this post


Link to post
Share on other sites

Witaj Mikołaj R.,

Przeskanowałem komputer programem RogueKiller. Podczas jego pracy wyskoczyło okienko czy uploadować nieznany plik na Virustotal (jakiś plik zrzutu pamięci z rozszerzeniem *.dmp), aby poprawić wyniki wyszukiwania, więc dałem Tak. Po zakończeniu drugiego skanowania zamknąłem program lecz nic się nie zapisało. Przeskanowałem więc drugi raz tak samo od początku i po zakończeniu skanowania dałem Raport>Eksport TXT. W załączeniu plik właśnie z tym raportem po skanowaniu.

logRK.txt

 

Nie wiem więc, czy log wygenerował się poprawnie. W razie czego mogę przeskanować tym programem w trybie awaryjnym jeśli trzeba.

Share this post


Link to post
Share on other sites

Witaj gravity1287,

Proszę zamknąć wszystkie programy, odłączyć wszystkie urządzenia USB lub zewnętrzne dyski twarde przed włączeniem

narzędzia.

  • Dwukrotnie kliknij RogueKiller.exe aby uruchomić narzędzie

    (Użytkownicy systemu Windows Vista i Windows 7: Prawy przycisk myszy i wybierz

    Uruchom jako administrator).

  • Gdy skanowanie wstępne się zakończy, kliknij Skanowanie.
  • Gdy status zmieni się na "Scan Finished"
    • Proszę kliknąć w zakładkę Rejestr i wybrać następujące pozycje:

      [PUM.StartMenu] (X64)
      HKEY_USERS\S-1-5-21-2701551946-3257715618-2181831940-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
      | Start_TrackProgs : 0  -> Znaleziono
      [PUM.StartMenu] (X86)
      HKEY_USERS\S-1-5-21-2701551946-3257715618-2181831940-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
      | Start_TrackProgs : 0  -> Znaleziono
    • Następnie kliknąć w przycisk Usuń.
  • Pik z raportem RogueKiller proszę umieścić w kolejnym swoim poście, wybierając opcję "More Reply Options".
    • Plik z logiem można również znaleźć na pulpicie

      (RKreport[X]_D_xxDATAxx_xCZASx)

  • Gdzie najwyższa wartość [X], oznacza najnowszy raport z Usuwania.
Kolejnym krokiem będzie ponowne wygenerowanie świeżych logów za pomocą FRST.

Proszę pobrać ponownie (gdyż została wydana nowa wersja) Farbar Recovery Scan Tool (FRST):

1. Kliknij dwukrotnie, aby go uruchomić.

2. Podczas uruchomienia wyskoczy okno z powiadomieniem, kliknij "Tak".

3. Naciśnij przycisk "Skanuj".

4. Farbar Recovery Scan Tool stworzy następujące dzienniki:

FRST.txt

Addition.txt

Uzyskane raporty proszę umieścić w kolejnym swoim poście, wybierając opcję "More Reply Options".

Share this post


Link to post
Share on other sites

Witaj gravity1287,

Proszę skopiować poniższy kod, do Notatnika i Zapisać jako fixlist.txt

na swój Pulpit.

HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
2015-09-07 22:19 - 2015-09-07 22:19 - 00003274 _____
C:\WINDOWS\System32\Tasks\{05286594-3C2C-400B-9CE1-0D656A360958}
Task: {135D47D2-4216-40EC-BBDF-443237AAD8E0} -
\Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {13B0AC1E-A9D1-4B6B-8A55-44889144F0F8} -
\Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku
<==== UWAGA
Task: {2776F363-BEDC-431B-93E2-FAF3840C517E} -
\Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {4ADD090A-334C-4194-A005-B799E6BA70A2} -
\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku
<==== UWAGA
Task: {5C213676-5C2D-4882-9A3A-72EB62719009} -
\Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku
<==== UWAGA
Task: {5DB6C73F-A257-4D13-9A9A-F8819A5EF0BD} -
\Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {7E6BB932-8202-463C-9D4B-C57C0CC6B007} -
\Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {96572EF2-5573-492F-B893-B9A032665CF3} -
\Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {CB0F1E28-729F-4CEF-BA8F-CC132859383B} -
\Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {DB8CA254-575C-4777-A136-E849F5F60667} -
\Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {E3DB72BF-AFD2-47A6-9E2B-E23FDF6F4366} -
\Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {F79A6859-75AF-4EFC-AF55-AB69C384D05C} -
System32\Tasks\cFos\Registration Tasks\Open Browser => Firefox.exe
-osint -url
"http://www.cfos.de/pl/download/download.htm?reg-10.06.2206&upd=r";
Po zapisaniu pliku, proszę zaknąć notatnik.

WAŻNE: Ważne aby oba pliki, FRST64 i fixlist.txt były w tej samej lokalizacji. W innym przypadku fix

nie zadziała.

UWAGA: Ten skrypt został napisany specjalnie dla tego użytkownika, do zastosowania na tej konkretnej

maszynie. Uruchomienie tego skryptu na innym komputerze może spowodować uszkodzenie systemu operacyjnego!

Proszę uruchomić FRST64 i kliknąć jeden raz przycisk Napraw. Proces naprawy może trochę trwać.

Jeżeli narzędzie poprosi o restart systemu, to proszę wykonać taki restart, po czym narzędzie ponownie się uruchomi.

Po zakończeniu operacji usuwania narzędzie utworzy na pulpicie plik (Fixlog.txt). Proszę go umieścić w kolejnym swoim

poście, wybierając opcję "More Reply Options".

WAŻNE: Jeżeli narzędzie wyświetli komunikat o dostępnej nowej wersji, w takim przypadku proszę

pobrać i uruchomić zaktualizowaną wersję.

Share this post


Link to post
Share on other sites

Witaj gravity1287,
 
Wszystkie programy mające za zadanie zwiększenie prędkości internetu to jest mit. One nie działają wbrew zapewnieniom twórców aplikacji tego typu. Nie ma możliwości zwiększenia prędkości transmisji danych. Prędkość ta jest kontrolowana sprzętowo.
Wszystkie tego typu programy używają algorytmy, które mają za zadanie kompresować rozmiar przesyłanych danych, przez co uzyskuje się złudne poczucie przyśpieszenia połączenia internetowego.
Oczywiście, jest możliwość ponownej instalacji tego typu oprogramowania.
 
Wracając jednak do meritum.
 
Dziękuję za podesłany log.
 
Kolejnym krokiem będzie ponowne wygenerowanie świeżych logów z programu FRST w celu upewnienia się, że nie ma żadnych pozostałości po infekcji.
 
 
Proszę pobrać i zainstalować Emsisoft Emergency Kit oraz Farbar Recovery Scan Tool.
Oba skany należy przeprowadzić, w trybie normalnym, nie awaryjnym, oraz z zamkniętymi przeglądarkami.
 
Proszę uruchomić Emsisoft Emergency Kit (EEK):
1. Proszę kliknąć  dwukrotnie na EmergencyKitScanner.exe i zainstalować EEK
2. Gdy instalacja się zakończy program się automatycznie uruchomi.
3. Proszę kliknąć  "Tak", aby Emsisoft Emergency Kit się zaktualizował. 
4. Następnie należy wybrać  "Malware Scan" i skanowanie się rozpocznie.
WAŻNE: Nie należy poddawać kwarantannie ani nie usuwać wykrytych teraz zagrożeń. Potrzebny mi jest raport ze skanowania.
5. Po zakończeniu skanowania, proszę zapisać dziennik skanowania w łatwo dostępnym miejscu i załączyć go w kolejnym poście.
6. Zamknij Emsisoft Emergency Kit.
 
Połowa już została zrobiona.
 
 Farbar Recovery Scan Tool (FRST):
1. Kliknij dwukrotnie, aby go uruchomić. 
2. Podczas uruchomienia wyskoczy okno z powiadomieniem, kliknij "Tak". 
3. Naciśnij przycisk "Skanuj".
Farbar Recovery Scan Tool stworzy następujące dzienniki:
FRST.txt
Addition.txt
 
Uzyskane raporty proszę umieść w kolejnym swoim poście, wybierając opcję "More Reply Options".

Share this post


Link to post
Share on other sites

Poniżej wszystkie 3 raporty:

Addition.txtFRST.txtscan_150912-173002.txt

Są te wpisy rejestru co na początku - w międzyczasie przeinstalowałem SpySheltera, Emsisoft Internet Security i cFos (skanowana instalka ze strony producenta), nic więcej nie grzebałem w systemie.

 

PS.

Przed skanowaniem musiałem usunąć SpySheltera i Emsisoft Internet Security - jak oba działają jednocześnie i mają włączone ochrony, to nie można uruchomić Firefoxa, natomiast odpala się bez problemu Edge. Działając razem powodują też błąd Menu Start i Cortana nie działają.. - obecnie używam jednego programu i ten błąd się nie pojawił. Zainstalowałem ponownie SpySheltera i cFos, którego nie używam do przyspieszania łącza, tylko do utrzymywania niskiego pingu i wbrew opiniom to odczuwalnie działa, i nie ma skoków jak bez tego programu :)

Share this post


Link to post
Share on other sites

Witaj gravity1287,

Dziękuję za cierpliwe oczekiwanie na moją odpowiedź.
Proszę skopiować poniższy kod, do Notatnika i Zapisać jako fixlist.txt
na swój Pulpit.

C:\Users\Daniel\AppData\Local\Temp\dllnt_dump.dll
C:\Users\Daniel\AppData\Local\Temp\drm_dyndata_7380014.dll
C:\Users\Daniel\AppData\Local\Temp\ggdrive-menu.exe
C:\Users\Daniel\AppData\Local\Temp\ggdrive-overlay.exe
C:\Users\Daniel\AppData\Local\Temp\installstats.exe
C:\Users\Daniel\AppData\Local\Temp\jre-8u60-windows-au.exe
C:\Users\Daniel\AppData\Local\Temp\McCSPInstall.dll
C:\Users\Daniel\AppData\Local\Temp\mccspuninstall.exe
C:\Users\Daniel\AppData\Local\Temp\tmpE3CE.tmp.exe
Reg: reg delete
"HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM"
/v "DISABLETASKMGR" /f
Reg: reg delete
"HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM"
/v "DISABLEREGISTRYTOOLS" /f
Reg: reg delete
"HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER"
/v "NORUN" /f
Task: {135D47D2-4216-40EC-BBDF-443237AAD8E0} -
\Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {13B0AC1E-A9D1-4B6B-8A55-44889144F0F8} -
\Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku
<==== UWAGA
Task: {2776F363-BEDC-431B-93E2-FAF3840C517E} -
\Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {4ADD090A-334C-4194-A005-B799E6BA70A2} -
\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku
<==== UWAGA
Task: {5C213676-5C2D-4882-9A3A-72EB62719009} -
\Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku
<==== UWAGA
Task: {5DB6C73F-A257-4D13-9A9A-F8819A5EF0BD} -
\Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {7E6BB932-8202-463C-9D4B-C57C0CC6B007} -
\Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {96572EF2-5573-492F-B893-B9A032665CF3} -
\Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {CB0F1E28-729F-4CEF-BA8F-CC132859383B} -
\Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {D5878475-C994-4302-A879-8E49293878B3} -
\{05286594-3C2C-400B-9CE1-0D656A360958} -> Brak pliku <==== UWAGA
Task: {DB8CA254-575C-4777-A136-E849F5F60667} -
\Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {E3DB72BF-AFD2-47A6-9E2B-E23FDF6F4366} -
\Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <====
UWAGA

Po zapisaniu pliku, proszę zaknąć notatnik.

WAŻNE: Ważne aby oba pliki, FRST64 i fixlist.txt były w tej samej lokalizacji. W innym przypadku fix nie zadziała.

UWAGA: Ten skrypt został napisany specjalnie dla tego użytkownika, do zastosowania na tej konkretnej maszynie. Uruchomienie tego skryptu na innym komputerze może spowodować uszkodzenie systemu operacyjnego!

Proszę uruchomić FRST64 i kliknąć jeden raz przycisk Napraw. Proces naprawy może trochę trwać.

Jeżeli narzędzie poprosi o restart systemu, to proszę wykonać taki restart, po czym narzędzie ponownie się uruchomi.

Po zakończeniu operacji usuwania narzędzie utworzy na pulpicie plik (Fixlog.txt). Proszę go umieścić w kolejnym swoim poście, wybierając opcję "More Reply Options".

WAŻNE: Jeżeli narzędzie wyświetli komunikat o dostępnej nowej wersji, w takim przypadku proszę pobrać i uruchomić zaktualizowaną wersję.
 

 

 

 

Przed skanowaniem musiałem usunąć SpySheltera i Emsisoft Internet Security - jak oba działają jednocześnie i mają włączone ochrony, to nie można uruchomić Firefoxa, natomiast odpala się bez problemu Edge. Działając razem powodują też błąd Menu Start i Cortana nie działają.. - obecnie używam jednego programu i ten błąd się nie pojawił. Zainstalowałem ponownie SpySheltera i cFos, którego nie używam do przyspieszania łącza, tylko do utrzymywania niskiego pingu i wbrew opiniom to odczuwalnie działa, i nie ma skoków jak bez tego programu

Nie dziwię się, że występują problemy. W systemie masz zainstalowane dwie zapory jedną od SpySheltera drugą, w EIS. Nie widzę sensu używania kolejnej zapory, tym bardziej, że może to powodować nieprzewidziane zachowania w systemie Windows.

Share this post


Link to post
Share on other sites

Może nie aż tak bardzo cierpliwie czekałem - zrobiłem porządki w komputerze w międzyczasie oraz zeskanowałem komputer kilkoma AV na żądanie, żeby sprawdzić czy jest coś więcej poza wpisami w rejestrze.

Załączam log z naprawy FRST:

Fixlog.txt

 

Share this post


Link to post
Share on other sites

Witaj gravity1287,

 

Nie do końca poprawnie wszystko się usunęło. Załączyłem ponownie plik fixlist.txt. Proszę pobierz ten i uruchom narzędzie FRST, następnie kliknij jeden raz przycisk Napraw. 
Po zakończeniu operacji usuwania narzędzie utworzy na pulpicie plik (Fixlog.txt). Proszę go umieścić w kolejnym swoim poście, wybierając opcję "More Reply Options".
 

fixlist.txt

Share this post


Link to post
Share on other sites

Witaj gravity1287,

 

Wszystkie infekcje zostały prawidłowo usunięte z systemu. 

 

Jeżeli w czymś mógłbym jeszcze pomóc proszę o ponowny kontakt.

 

Pozdrawiam i dziękuję za kontakt z pomocą techniczną firmy Emsisoft.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.