Prawdopodobna infekcja

[damian.z]

Objawy zainfekowania:
Dzisiaj jak wróciłem ze szkoły, tata powiedział mi, ze HIPS w Esecie Smart Security wyłączył sie, w raportach jest widoczne, ze program nie uzyskał dostępu do jądra i nie mógł wczytac ustawień , a Windows Update przestał działać. Innych niepokojących objawów nie zauważyłem.

Wykonywane działania:
Mam ESET Smart Security, komputer przeakanowalem OTL i FRST

Logi:
Plik Otl.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Frst.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

HKU\S-1-5-21-1519758137-1379194721-552045611-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-1519758137-1379194721-552045611-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\S-1-5-21-1519758137-1379194721-552045611-1000\...\Policies\Explorer: []
GroupPolicyUsers\S-1-5-21-1519758137-1379194721-552045611-1004\User: Group Policy on Chrome detected <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = aboutblank
SearchScopes: HKLM - DefaultScope value is missing.
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939
AlternateDataStreams: C:\ProgramData\TEMP:C31F31E6

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

[damian.z]

To cos poważnego?

Fixlog.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Po wykonaniu tej czynności wykonałem restart komputera.

[tachion]

Daj nowe logi FRST + OTL

[damian.z]

Jest poprawa :
- Windows Update zaczal dzialac, zainstalowalem dostepne aktualizacje
- Komputer juz sie samoczynnie nie wylacza (myslalem ze to bylo zwiazane z RAM-em)
OTL.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

[tommyklab]

Te .sys, .exe, .dll i inne PE (MZ w nagłówku; executable) z logów co daje @tachion, to skanujcie na VT żeby jakiś efekt dla natępnych potencjalnych zarażonych/następców/potomnych był. Co z tego, że to skasujesz u siebie na kompie?, może to jakaś nowa wersja nowego wąglika jest

[damian.z]

@ up
Ale o co chodzi?
Tak w ogóle to co ja na tym kompie mam?
Zawsze starałem sie kontrolować to w co kilkam i wchodze.
Moze to brat na swoim koncie cos nabroil.

Ps: da sie zablokować instalacje plików. exe na danym koncie (tj. mojego brata)?

[tommyklab]

Ps: da sie zablokować instalacje plików. exe na danym koncie (tj. mojego brata)?

Da się. Chyba przez to:

[Aby zobaczyć linki, zarejestruj się tutaj]

środowiskowe+blokada+exe[/url]

explorer.exe uruchom plik.exe DROP

[damian.z]

@up
nie rozumiem twojego postu :/

Chodzi mi o to, zeby brat, po pobraniu jakiejś aplikacji. exe z internetu nie mogl jej zainstalowac.
chciałbym zeby nie mial dostępu do instalatora, bo przypuszczam, ze te problemy z komputerem to jego sprawka.

[tommyklab]

@ up
Ale o co chodzi?

To co masz do wycięcia z systemu/wyrzucenia to przeskanuj wcześniej na VT

[damian.z]

Jezeli chodzi o te sterowniki LG, to pewnie od telefonu, bo tata ma L5 i czesto przesyla pliki.
Ale zaniepokoilo mnie to ostrzeżenie o "czymś"w google Chrome.

Teraz trzebaby poczekac na tachiona, zeby sprawdzil ten nowe logi

[tachion]

Usuń jeszcze puste wpisy.

Do notatnika wklej i zapisz jako fix.reg

Kod:

Windows Registry Editor Version 5.00

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Po zapisaniu z prawokliku scal,wartości zostaną skorygowane.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[damian.z]

checkup.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Z tego co widze, to musialbym zrobic defragmentacje dysku C
A tego TuneUp nie uzywam juz od dluzszego czasu - mam CCleaner.

No i czeka mnie wymiana RAMu. Nie czyta mi 2GB i od dluzszego czasu mialem z tym problemy. Dam sobie z wymiana rade?

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Rozumiem że wykonałeś fix.reg?

Co do ramu,sprawdzałeś czy pamięć działa też osobno w slotach.
Warto też sprawdzić w biosie ustawiania typu memory remap featureczy opcja nie jest wyłączona czyli Disable

Pamięć to jedna kość2048MB i druga 1024MB tak.

No i jeszcze sprawdź w menu start > uruchom wpisz msconfig> rozruch > opcje zaawansowane i po prawej czy nie masz czasem zaznaczonej opcji Maksymalna pamięć

[damian.z]

Tak mam dwie (2) kosci RAM Good Ram 2GB i 1GB DDR2,
Dzisiaj jest wszystko w porzadku, caly RAM jest dostepny.

A co od tego defragmentowania, to jakim programem to zrobic?
A moze systemowe narzedzie sie nada?

[Tibu]

jak wiadomo najlepszy jest auslogics def

[tachion]

Działania końcowe:

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

[tommyklab]

RAM najlepiej sprawdzić (poza BIOS/UEFI) uruchamiając memtest, tam pisze ile jest "aktywnego" RAMu bez uruchamiania systemu.