Prośba o sprawdzenie logów
#1
Witajcie.


Przed świętami chciałem zakupić sobie kilka gier wyścigowych, ale żeby nie wywalać kasy w błoto postanowiłem najpierw pobrać sobie na próbę z torrentów. Niestety mój komputer to nie mocarz, więc nie mogłem tego zrobić na wirtualnej maszynie. Szukałem zaufanych torrentów, ale mimo to najprawdopodobniej zainfekowałem czymś swój komputer. W folderze AppData/Local/Temp tworzyły się jakieś dziwne foldery z plikami typu Game Launcher i idlemonitor. Dodatkowo CIS wykrywał ciągle gdzieś jakieś podejrzane pliki o różnych rozszerzeniach. Zainstalowałem kilka narzędzi jeden po drugim aby pozbyć się zainfekowanych plików. Z tych, które pamiętam: UnHackMe, Hitman Pro, Malwarebytes, Spybot - S&D, Comodo Cleaning Essentials, adwcleaner i kilku innych (oczywiście po kolei, nie na raz). Praktycznie każdy coś wykrył, a niektóre zagrożenia odnawiały się pomimo usuwania. Ale to nie koniec, gdyż ostatnio podczas przeglądania internetu CIS non stop wywala mi błędy o niezaufanych certyfikatach i zaleca blokować strony. Wolę więc się upewnić, czy aby wszystkie infekcje zostały usunięte. Poniżej wklejam logi.

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]


Addition

[Aby zobaczyć linki, zarejestruj się tutaj]



Shortct

[Aby zobaczyć linki, zarejestruj się tutaj]



Czy CIS Premium 10 jest polecanym antywirusem?
Odpowiedz
#2
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
BootExecute: autocheck autochk *  sdnclean.exe
GroupPolicy: Ograniczenia ? <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3175822175-640308713-1636769604-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
URLSearchHook: [S-1-5-21-3175822175-640308713-1636769604-1000] UWAGA => Brak domyslnego URLSearchHook
FF user.js: detected! => C:\Users\Uzyszkodnik\AppData\Roaming\Mozilla\Firefox\Profiles\zht3xwl3.default\user.js [2017-12-19]
S3 AndnetBus; system32\DRIVERS\lgandnetbus.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
U0 Partizan; system32\drivers\Partizan.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S0 ysyfer; Brak ImagePath
C:\ProgramData\RegRun
C:\Program Files\UnHackMe
C:\RegRunInfo
C:\Windows\winstart.bat
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

Z tego samego poziomu systemu, z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Odinstaluj reklamotwórczy µTorrent i zacznij korzystac z qbittorrent

[Aby zobaczyć linki, zarejestruj się tutaj]


Spybot Search & Destroy skaner o słabej skuteczności na te czasy tak więc możesz odinstalować.

Firefox
Odłącz synchronizację (o ile włączona):

[Aby zobaczyć linki, zarejestruj się tutaj]

Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść całą historię przeglądania.
Odpowiedz
#3
Może przeskanuj antywirusem spoza Windowsa? Mam na myśli live cd/live usb. Przykładowo za pomocą Kaspersky Rescue Disk. Pamiętaj tylko, by zaktualizować bazę wirusów po każdym uruchomieniu systemu z Live cd/live usb.
Inna sprawa, że jeśli pomimo tylu skanować różnymi produktami ciągle są jakieś podejrzane działania to wolałbym reinstalować Windowsa. Skanowanie systemu antywirusem też trochę czasu zajmuje, analizowanie logów też.
Odpowiedz
#4
Dziękuję za pomoc, wklejam fixlog.

[Aby zobaczyć linki, zarejestruj się tutaj]


µTorrent już odinstalowany. Spyboot jak i wszystkie pozostałe narzędzia, którymi skanowałem komputer zostały już odinstalowane. FF wyczyszczony, synchronizacja wyłączona. Jakie dalsze kroki?
Odpowiedz
#5
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#6
Proszę bardzo:

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]


Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#7
Prześlij jeszcze do wglądu zrzuty z tych lokalizacji:


C:\Windows\MEMORY.DMP
C:\Windows\Minidump\011618-14710-01.dmp
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości