+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Podejrzany załącznik maila - przeterminowane faktury - wirus? (/thread-11363.html)
Strony:
1
2
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - tachion - 19.04.2018
Ten skrypt miał być wykonany na komputerze Mamy napisałem o tym.
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - Machej666 - 19.04.2018
Cały wątek kręci się wokół sprzętu mamy. Najpierw komputer stacjonarny potem laptop. Zrozumiałem, że w dalszym ciągu mam operować na komputerze stacjonarnym.
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - tachion - 19.04.2018
(16.04.2018, 18:53)tachion napisał(a):Tak więc ten co podałem wykonasz na kompie MAMY[Aby zobaczyć linki, zarejestruj się tutaj]
Machej666
Trochę tu zostało namieszane, ale mniejsza o to.
Teraz na komputerze mamy:
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku nastepujaca tresc:
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - Machej666 - 20.04.2018
Od początku wątku wszystkie podane przez Ciebie skrypty wykonuję na tym samym, posiadającym jedno konto komputerze stacjonarnym mamy. Nie wiem skąd bierze się powyższy problem oraz nie wiem co robię źle.
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - tachion - 20.04.2018
(29.03.2018, 18:22)Machej666 napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Naprawione.
Komputer nie restartował się. To źle, dobrze?
Załączam Fixlog.
Kod:Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 14.03.2018
Uruchomiony przez Admin (29-03-2018 19:19:31) Run:5
Uruchomiony z C:\Documents and Settings\Admin\Pulpit
Załadowane profile: Admin (Dostępne profile: Admin)
Tryb startu: Normal
==============================================
fixlist - zawartość:
*****************
RemoveDirectory: C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\_MEI4242
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D57FAB99 [130]
*****************
"C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\_MEI4242" => nie znaleziono
C:\Documents and Settings\All Users\Dane aplikacji\TEMP => ":D57FAB99" ADS pomyślnie usunięto
==== Koniec Fixlog 19:19:31 ====
Dodatkowo miałbym prośbę o sprawdzenie laptopa Mamuśki. Mam nadzieję, że nie przeniosła się jakaś infekcja dalej. Na laptopie działa ten sam NOD32. Przeskanowałem i wyczyściłem AdwCleanerem.
Skanowanie AdwCleaner:[Aby zobaczyć linki, zarejestruj się tutaj]
Czyszczenie AdwCleaner:[Aby zobaczyć linki, zarejestruj się tutaj]
Additional:[Aby zobaczyć linki, zarejestruj się tutaj]
FRST:[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut:[Aby zobaczyć linki, zarejestruj się tutaj]
Ten skrypt teraz co był podawany to był do tego laptopa, sam prosiłeś żeby sprawdzić.
W końcu mama ma stacjonarny czy laptopa ?
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - Machej666 - 28.04.2018
Spróbuję uporządkować wątek, bo chciałbym porządnie wyczyścić sprzęt.
Mamuśka ma dwa komputery, laptop i stacjonarny. Załączę aktualne logi.
Od pierwszego postu zaczęliśmy od stacjonarnego na którego został pobrany podejrzany załącznik. Rozumiem, że został on już wyczyszczony.
stacjonarny
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Additional:[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut:[Aby zobaczyć linki, zarejestruj się tutaj]
Następnie prosiłem o sprawdzenie jej laptopa.
laptop
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Additional:[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut:[Aby zobaczyć linki, zarejestruj się tutaj]
Będę bardzo wdzięczny za dalszą pomoc.
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - tachion - 01.05.2018
Wszystko to co było podane wcześniej wykonaj na laptopie mamy.
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku nastepujaca tresc:
Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1993962763-1715567821-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> DefaultScope - brak wartosci
SearchScopes: HKU\S-1-5-21-1993962763-1715567821-839522115-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Extension: (Microsoft .NET Framework Assistant) - C:\Documents and Settings\Izabela Machejek\Dane aplikacji\Mozilla\Firefox\Profiles\sk5i3naa.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010-10-14] [Przestarzale] [Brak podpisu cyfrowego]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-11-02] [Przestarzale] [Brak podpisu cyfrowego]
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
FF Extension: (Eset Plugin) - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2009-10-15] [Przestarzale] [Brak podpisu cyfrowego]
FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation)
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
S2 Kmm4xNT; C:\WINDOWS\system32\Drivers\Kmm4xNT.sys [95484 2002-04-26] (DATOM Dariusz Cielebąk) [Brak podpisu cyfrowego]
RemoveDirectory: C:\AdwCleaner
VirusTotal: C:\Documents and Settings\All Users\Dane aplikacji\50AF6DE89D.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Google Update Helper (HKLM\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.11 - Google Inc.) Hidden
EmptyTemp:Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odinstaluj:
Adobe Flash Player 10 ActiveX
Zainstaluj najnowszy jesli potrzebujesz w IE Adobe Flash Player ActiveX
[Aby zobaczyć linki, zarejestruj się tutaj]
Java 8 Update 121 jeśli nie używane to dla bezp. odinstaluj.
Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu:
Nie można odnaleźć urządzenia.
System i tak będzie blokował ten sterownik bo jest niezgodny. Załączona korekcja w skrypcie.
Wsparcie bezp. dla Firefoxa 52 ESM są tylko do czerwca tego roku.
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - Machej666 - 02.05.2018
Wykonany skrypt:
[Aby zobaczyć linki, zarejestruj się tutaj]
Odinstalowane rzeczy według polecenia.Wszystko już jest ok?
Cytat:Wsparcie bezp. dla Firefoxa 52 ESM są tylko do czerwca tego roku.
Jak na to zaradzić?
RE: Podejrzany załącznik maila - przeterminowane faktury - wirus? - M'cin - 02.05.2018
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Było coś jeszcze omawiane tutaj, na forum, jakiś taki projekt niszowej przeglądarki na bazie FF... ale nie mogę znaleźć.