Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) (/thread-10047.html) |
Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - zuri - 16.02.2016 Witam, Mam problem z powracającymi trojanami pcds32.exe i pcds64.exe. W losowych momentach pojawiają się w c:\Windows\Temp. Pousuwałem chyba wszystko FRST-em, MBAM-em i Hitmanem Pro. Usunąłem wszystkie podejrzane foldery z Users, z uruchamiania, rejestru. Dopiero Spy Shelter pozwala mi to blokować, ale pojawia się zwykle 2-3x dziennie. Log MBAM: [Aby zobaczyć linki, zarejestruj się tutaj] Spy SHelter raportuje: Kod: 2016-02-16 13:03:44,C:\Program Files\Java\jdk1.8.0_40\jre\bin\javaw.exe,53,Allowed ;Execution of an application ("C:\Windows\TEMP\pcds32.exe") Log FRST.txt: [Aby zobaczyć linki, zarejestruj się tutaj] Log Addition.txt: [Aby zobaczyć linki, zarejestruj się tutaj] Log Shortcut.txt: [Aby zobaczyć linki, zarejestruj się tutaj] Z góry dziękuję za pomoc RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - tachion - 17.02.2016 Odinstaluj: Java 8 Update 31 (64-bit) Java 8 Update 31 Java SE Development Kit 7 Update 51 Java SE Development Kit 8 Update 40 Do notatnika wklej i zapisz jako fixlist.txt Kod: CloseProcesses: Zapisany skrypt umieść obok ściągniętego programu FRST Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania. Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom, kliknij Skanuj.Po skanowaniu nic nie usuwaj, pokaż raport z niego. RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - zuri - 18.02.2016 Dziękuję. Odinstalowałem Javę. Poniżej logi. PS. W międzyczasie usunąłem Chroma i Firefoxa (łącznie z katalogami i profilami w AppData). Fixlog.txt [Aby zobaczyć linki, zarejestruj się tutaj] AdwCleaner[S1].txt [Aby zobaczyć linki, zarejestruj się tutaj] PS. Ten plik przeskanowałem: AppData\Roaming\d3dx10.exe [Aby zobaczyć linki, zarejestruj się tutaj] Usunąć? RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - tachion - 18.02.2016 Tak do usunięcia. Rozumiem że wykonywałeś już proces dezynfekcji programem MBAM ? Fix wykonany 2 razy, a powinno się wykonywać raz. Nie podejmuj żadnych innych kroków z własnej woli, do puki nie napiszę że można takie działania wykonać. Do notatnika wklej i zapisz jako fixlist.txt Kod: CMD: attrib -r -h -s C:\Users\zuri\AppData\Roaming\d3dx10.exe /s Zapisany skrypt umieść obok ściągniętego programu FRST Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania. Zrób nowe logi i przedstaw z FRST.txt > Addition.txt RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - zuri - 18.02.2016 1. Fix wykonałem tylko raz, ale przed fixem usunąłem Chroma i Firefoxa (łącznie z pozostałościami), dlatego fix nic nie znalazł. 2. MBAMa stosowałem przed napisaniem na forum, pousuwał kilka rzeczy (jak w logu), ale nie pomógł z powracaniem wirusów Fixlog.txt [Aby zobaczyć linki, zarejestruj się tutaj] Po fixie FRST.txt [Aby zobaczyć linki, zarejestruj się tutaj] Addition.txt [Aby zobaczyć linki, zarejestruj się tutaj] RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - tachion - 18.02.2016 Do notatnika wklej: CloseProcesses: Unlock: C:\Users\zuri\AppData\Roaming\d3dx10.exe C:\Users\zuri\AppData\Roaming\d3dx10.exe zapisz i w programie klik napraw RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - zuri - 18.02.2016 Fixlog.txt [Aby zobaczyć linki, zarejestruj się tutaj] I na wszelki wypadek FRST.txt po naprawie: [Aby zobaczyć linki, zarejestruj się tutaj] RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - tachion - 18.02.2016 No w końcu znikła gadzina. To teraz zaktualizuj bazy w MBAM+dodatkowo ściągnij hitmanpro i wykonaj nimi pełne skany i podaj raport. RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - zuri - 19.02.2016 HitmanPro: [Aby zobaczyć linki, zarejestruj się tutaj] MBAM: [Aby zobaczyć linki, zarejestruj się tutaj] EDIT: Na wszelki wypadek zrobiłem jeszcze skana ADWCleanerem, ale nic nie znalazł. Więc tylko to jedno co wyszukał MBAM. RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - tachion - 20.02.2016 Do kasuj tą bibliotekę programem. Usuń również: C:\Users\zuri\AppData\Roaming\Mozilla C:\AdwCleaner Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj] Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij RunProgram do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych. Skanuj co jakiś czas gruntownie programami na żądanie partycje systemową ! RE: Prośba o sprawdzenie logów - pcds32.exe i pcds64.exe (powracający problem) - zuri - 21.02.2016 Ok, pousuwam. Dzięki wielkie za pomoc |