Prośba o sprawdzenie logów
#1
Objawy zainfekowania:
Po wejściu na jakąkolwiek stronę wyświetla się komunikat od ESETa: Znaleziono zagrożenie. JS. KryptikI koń trojański

Wykonywane działania:
Komputer skanowany był za pomocą ESETa, który niczego nie znajduje

Logi:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM-x32 - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKCU - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -No File
HKLM-x32\...\Run: [mnchkgfbrSrv] => C:\Windows\system32\mnchkgfbr.vbe
U4 BthAvrcpTg;
U4 BthHFEnum;
U4 bthhfhid;
C:\Users\Żustina\AppData\Local\Temp\EAD4450.exe
C:\Users\Żustina\AppData\Local\Temp\EAD6D73.exe
C:\Users\Żustina\AppData\Local\Temp\EAD7DE2.exe
C:\Users\Żustina\AppData\Local\Temp\EADA339.exe
C:\Users\Żustina\AppData\Local\Temp\EADBB3D.exe
C:\Users\Żustina\AppData\Local\Temp\EADBCC1.exe
C:\Users\Żustina\AppData\Local\Temp\EADCB73.exe
C:\Users\Żustina\AppData\Local\Temp\EADF4C0.exe
C:\Users\Żustina\AppData\Local\Temp\fp_pl_pfs_installer-1.exe
C:\Users\Żustina\AppData\Local\Temp\fp_pl_pfs_installer.exe
C:\Users\Żustina\AppData\Local\Temp\HPConnectedMusicInstaller_100100106.exe
C:\Users\Żustina\AppData\Local\Temp\InstHelper.exe
C:\Users\Żustina\AppData\Local\Temp\ose00000.exe
C:\Users\Żustina\AppData\Local\Temp\ose00001.exe
C:\Users\Żustina\AppData\Local\Temp\SimilarBundleGenericDl.exe
C:\Users\Żustina\AppData\Local\Temp\UninstallEADM.dll


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.
Odpowiedz
#3
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

TDSSKiller:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
TDSS wykrył tylko prawidłowe ale nie podpisane pliki.

Zrób scan FRST i OTL jeszcze raz i podaj log.
Odpowiedz
#5
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.
Odpowiedz
#7
SecurityCheck:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#8
Results of screen317''s Security Check version 0.99.82
x64 (UAC is enabled)
Internet Explorer 10 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Windows Firewall Enabled!
ESET Smart Security 7.0
Windows Defender
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Adobe Flash Player 12.0.0.77 Flash Player out of Date!
Adobe Reader XI
Mozilla Firefox (28.0)
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
GfK e-trendy GfK-Reporting.exe
GfK e-trendy GfK-Updater.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:%
````````````````````End of Log``````````````````````

Do aktualizacji pozycje oznaczone na czerwono.
Odpowiedz
#9
Wszystko zrobione wg instrukcji, ale problem nadal pozostał.

Wklejam jeszcze raz raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#10
Co do raportu to napisałem przecież wyżej.
Z czym dokładnie masz problem jeszcze ?
Odpowiedz
#11
Nadal pojawia się ten komunikat o koniu trojańskim.
Odpowiedz
#12
Z czego ogólnie to wynika,przy odpaleniu jakiej przeglądarki ?
Odpowiedz
#13
Przy Mozilli. Komunikat pojawia się przy wchodzeniu na większość stron, np. Allegro, albo stronę Ministerstwa Finansów oraz strony zagraniczne. Z tego co udało mi się zaobserwować, nie pojawia się, np. przy wejściu na stronę Google. Przy wchodzeniu na te same strony przez Internet Explorer, nie pojawia się żaden komunikat.
Odpowiedz
#14
Już wiem czemu przez Site Finderktóry jeszcze widnieje w rozszerzeniach.

tak więc przechodzimy do czyszczenia

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.
Odpowiedz
#15
Pomogło! Dziękuję bardzo.
Przy okazji, zauważyłam ostatnio, że raz na jakiś czas z mojej skrzynki mailowej na outlook.com wysyłają się same maile z podejrzanym linkiem do osób, które mam zapisane w kontaktach lub z którymi kiedykolwiek wymieniłam jakąś wiadomość. Ostatni taki mail wysłał się wczoraj. Trochę to kłopotliwe, bo używam tej skrzynki do celów zawodowych. Jakieś rozwiązanie?
Odpowiedz
#16
Nie wiem,zmień hasło i login do skrzynki pocztowej.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości