SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Podejrzenie zainfekowania

Tryby wyświetlania wątku
Podejrzenie zainfekowania
Arkovianin Offline
Amator
Liczba postów: 161
Liczba wątków: 19
Dołączył: 22.07.2012
Reputacja: 3
#1
11.02.2015, 02:37
Objawy zainfekowania:
Po otwarciu nowej karty w firefoxie wyskakuje
chrome://quick_start/content/index.html
100% procesora przez proces bezczynności

Wykonywane działania:
Baidu Antivirus(skan gruntowny)-1 wykrycie fałszywego pliku. Spooky bonus.exe - jest to gra
Skanowanie Antyspyware -skan szybki -0 obiektów

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION

[Aby zobaczyć linki, zarejestruj się tutaj]

SHORTCUT

Strona WWW Szukaj
Odpowiedz
hivonzooo Offline
Amator
Liczba postów: 179
Liczba wątków: 9
Dołączył: 12.05.2014
Reputacja: 11
#2
11.02.2015, 08:55
Proces bezczynności pokazuje ile wolnych zasobów procesora zostało, więc nie za bardzo bym się nim przejmował Wink

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
Arkovianin Offline
Amator
Liczba postów: 161
Liczba wątków: 19
Dołączył: 22.07.2012
Reputacja: 3
#3
11.02.2015, 11:32
hivonzooo napisał(a):Proces bezczynności pokazuje ile wolnych zasobów procesora zostało, więc nie za bardzo bym się nim przejmował Wink

[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

A co z resztą? Tylko uprawnieni użytkownicy mogą pomagać w tym dziale,

Strona WWW Szukaj
Odpowiedz
Eugeniusz
Gość
 
#4
11.02.2015, 15:06
hivonzooo napisał(a):Proces bezczynności pokazuje ile wolnych zasobów procesora zostało, więc nie za bardzo bym się nim przejmował
Tak naprawdę, to procesor zawsze jest zajęty i zawsze wykonuje obliczenia. Zleca mu je system operacyjny, np. by go schłodzić.

Tak, procesor jest w stanie się schłodzić wykonując proste obliczenia na rejestrach.
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#5
11.02.2015, 23:38
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\...\Policies\Explorer: [NoResolveSearch] 1
HKLM\...\Policies\Explorer: [ForceClassicControlPanel] 1
HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF NewTab: chrome://quick_start/content/index.html
C:\Users\Karol\AppData\Roaming\Opera Software
C:\Users\Karol\AppData\Local\Opera Software
C:\Windows\system32\AI_RecycleBin
C:\Users\Karol\AppData\Roaming\Mariaglorum
C:\Users\Karol\AppData\Roaming\FinewayStudios
C:\Users\Karol\AppData\Roaming\8floor
C:\ProgramData\TEMP
Task: {957F5E97-8F88-4C85-959E-1E7607EE891F} - System32\Tasks\{0C073937-CC42-4A4D-8CC2-CE2ACB861017} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&amp;ver=7.1.0.105&amp;LastError=12007
AlternateDataStreams: C:\ProgramData\TEMP:C4C5D9DC
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BavSvc => "Service"=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BavSvc => "Service"=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSIServer => ""="Service"
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

te google.com też nie jest standardem tylko jest zmienione przez baidu i nie jest jakieś złośliwe bo i tak przeglądarka przekierowuje na google.pl

W Google Chrome takie zachowanie jest wykrywane jak i FRST jako:

[Aby zobaczyć linki, zarejestruj się tutaj]


CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

Poza tym skoro wykonujesz działania programem adwcleaner to czemu nie pokazujesz logów z działań ?

Rozumiem że to coś ci daje Smile

SpeedBit Video Accelerator
SpeedConnect Internet Accelerator v.8.0

I szczerze to pozbył bym się Baidu jak i SUPERAntiSpyware

Baidu bardzo dużo FP sypie i zapewne nie raz przechwycił apke prawidłową ? Poza tym jest też mało odporny na ctb lockera itp.

Może przesada z tym fp, nie fp tylko programy nie zatwierdzone przez Urząd w Chinach Smile

Radził bym się wyposażyć w inny pakiet bezpieczeństwa.
Szukaj
Odpowiedz
Arkovianin Offline
Amator
Liczba postów: 161
Liczba wątków: 19
Dołączył: 22.07.2012
Reputacja: 3
#6
12.02.2015, 01:01
Mam Avasta i Adwcleaner pomógł, log wywaliłem już. Zastanawia mnie dlaczego proces bezczynności żarł procesor

Strona WWW Szukaj
Odpowiedz
hivonzooo Offline
Amator
Liczba postów: 179
Liczba wątków: 9
Dołączył: 12.05.2014
Reputacja: 11
#7
12.02.2015, 09:32
Przecież napisałem Ci wyżej dlaczego tak jest i nie jest to nic nienormalnego.
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości