Spyware w systemie
#1
Opisując pokrótce sytuację:
siostra ma zainstalowane jakieś świństwo które pozwala jej byłemu przeglądać co aktualnie robi na swoim laptopie (tak to pewna informacja, ale siostra nie chce udać się z tym na policję), a ja nie wiem jak się zabrać do zlikwidowania tego. Trafiłem na to forum przypadkiem (na szczęście dodaję fora które kiedyś mogą być przydatne do zakładek ^^ ), być może uda się wam mi pomóc (w co bardzo wierzę).
Załączam wygenerowane raporty:
wklej.org/id/2161813
wklej.org/id/2161828
wklej.org/id/2161829
Nie skanowałem tamtego laptopa niczym więcej poza Windows Defenderem (któremu za bardzo nie wierzę, bo nic nie wykrył), jedyne co zauważyłem to że jej laptop który zazwyczaj " tnie się i zacina" działa o wiele wydajniej gdy jest odłączony od internetu (znacznie spada zużycie procesora).
Odpowiedz
#2
Potencjalny ukryty kandydat to Mediaplayer8

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3765691210-32358212-2027813495-1000\...\Run: [mterm] => C:\Users\Edyta\AppData\Local\MediaPlayer8\mmups.exe [852480 2015-03-24] ()
HKLM\...\Run: [PlayMovie] => C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe [173288 2008-12-26] (Acer Corp.)
HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKLM\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&s=2&o=vp32&d=0815&m=aspire_5738
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-3765691210-32358212-2027813495-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&s=2&o=vp32&d=0815&m=aspire_5738
HKU\S-1-5-21-3765691210-32358212-2027813495-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&s=2&o=vp32&d=0815&m=aspire_5738
HKU\S-1-5-21-3765691210-32358212-2027813495-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://global.acer.com
HKU\S-1-5-21-3765691210-32358212-2027813495-1000\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://global.acer.com
HKU\S-1-5-21-3765691210-32358212-2027813495-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
SearchScopes: HKLM -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKLM -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
RemoveDirectory: C:\Users\Edyta\AppData\Local\MediaPlayer8
AlternateDataStreams: C:\ProgramData\Temp:9E22BBE8
RemoveDirectory: C:\AdwCleaner
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

rób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#3
Raport z naprawy:
wklej.org/id/2179833

Kolejne raporty ze skanowania:
wklej.org/id/2179829
wklej.org/id/2179830
wklej.org/id/2179831
Odpowiedz
#4
(25.03.2016, 17:58)Leo Nardo napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(na szczęście dodaję fora które kiedyś mogą być przydatne do zakładek ^^ )

I za to masz mega plusa Wink
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#5
Główny problem został wyeliminowany.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]


Uruchom i w karcie logon odhacz:

Adobe Reader Speed Launcher
ArcadeDeluxeAgent
CLMLServer
NvCplDaemon
NvMediaCenter
Google Desktop Search
APSDaemon
QuickTime Task
GrooveMonitor
ProductReg
swg


Na koniec

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości