Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

JS/Kryptik.I KOń trojański znowu

szogun0 08 Sie 2015 16:07 561 6
  • #2 08 Sie 2015 18:42
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    Hosts:
    CustomCLSID: HKU\S-1-5-21-1220945662-606747145-682003330-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
    HKU\S-1-5-21-1220945662-606747145-682003330-1003\Software\Classes\.exe: => <===== ATTENTION
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    GroupPolicyScripts: Group Policy detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-1220945662-606747145-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF Plugin HKU\S-1-5-21-1220945662-606747145-682003330-1003: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File
    U3 Winsock; no ImagePath
    U3 a2rnc8gh; C:\WINDOWS\system32\Drivers\a2rnc8gh.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
    U3 aecq8894; C:\WINDOWS\system32\Drivers\aecq8894.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
    S4 Abiosdsk; no ImagePath
    S4 abp480n5; no ImagePath
    S4 adpu160m; no ImagePath
    S4 Aha154x; no ImagePath
    S4 aic78u2; no ImagePath
    S4 aic78xx; no ImagePath
    S4 AliIde; no ImagePath
    S4 amsint; no ImagePath
    S4 asc; no ImagePath
    S4 asc3350p; no ImagePath
    S4 asc3550; no ImagePath
    S4 Atdisk; no ImagePath
    S3 BulkUsb; System32\Drivers\FABulk.sys [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S4 cd20xrnt; no ImagePath
    S1 Changer; no ImagePath
    S4 CmdIde; no ImagePath
    S4 Cpqarray; no ImagePath
    U4 dac2w2k; no ImagePath
    S4 dac960nt; no ImagePath
    S4 dpti2o; no ImagePath
    S3 EZUSB; System32\Drivers\ezusb.sys [X]
    S4 hpn; no ImagePath
    S1 i2omgmt; no ImagePath
    S4 i2omp; no ImagePath
    S4 ini910u; no ImagePath
    S4 IntelIde; no ImagePath
    S1 lbrtfdc; no ImagePath
    S4 mraid35x; no ImagePath
    S1 PCIDump; no ImagePath
    S3 PDCOMP; no ImagePath
    S3 PDFRAME; no ImagePath
    S3 PDRELI; no ImagePath
    S3 PDRFRAME; no ImagePath
    S4 perc2; no ImagePath
    S4 perc2hib; no ImagePath
    S4 ql1080; no ImagePath
    S4 Ql10wnt; no ImagePath
    S4 ql12160; no ImagePath
    S4 ql1240; no ImagePath
    S4 ql1280; no ImagePath
    S4 Simbad; no ImagePath
    S4 Sparrow; no ImagePath
    S4 symc810; no ImagePath
    S4 symc8xx; no ImagePath
    S4 sym_hi; no ImagePath
    S4 sym_u3; no ImagePath
    S4 TosIde; no ImagePath
    S3 TpUsb; System32\Drivers\TpUsb.sys [X]
    S4 ultra; no ImagePath
    S3 UXDCMN; \??\e:\Winstress\UXDCMN.SYS [X]
    S4 ViaIde; no ImagePath
    S3 WDICA; no ImagePath
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go jako administrator i kliknij Fix.

    Przeskanuj komputer programem ADWCleaner i MBAM i usuń wszystko co znalazły.

    0
  • #3 08 Sie 2015 18:49
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    AlternateDataStreams: C:\WINDOWS:ecde8b8c58b22
    AlternateDataStreams: C:\Program Files\AcGasSynchro II:60609da9
    AlternateDataStreams: C:\Program Files\Common Files:51059ffaeb890
    AlternateDataStreams: C:\WINDOWS\system32:1464242f5a
    AlternateDataStreams: C:\Documents and Settings\All Users:3cd880a87a8
    AlternateDataStreams: C:\Documents and Settings\sl:2b314d846ba0db
    AlternateDataStreams: C:\Documents and Settings\All Users\Application Data:fe93a19e34e9a
    AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:6254273C
    AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:7CB86D39
    AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:BF040455
    AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:E8956AB5
    AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:EDA8E5DF
    AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:EFB09287
    AlternateDataStreams: C:\Documents and Settings\sl\Ustawienia lokalne\Temp:92093ba00bc569c
    HKU\S-1-5-21-1220945662-606747145-682003330-1003\Software\Classes\.exe: => <===== ATTENTION
    BootExecute: rmvirut.ntautocheck autochk *
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    GroupPolicyScripts: Group Policy detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-1220945662-606747145-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
    DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
    FF Extension: Image Hover It - C:\Documents and Settings\sl\Dane aplikacji\Mozilla\Firefox\Profiles\4gg4fvu1.default\Extensions\{1778e913-db49-c4ce-17cc-2ff530b26011} [2015-08-06]
    U3 Winsock; no ImagePath
    BulkUsb; System32\Drivers\FABulk.sys [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 EZUSB; System32\Drivers\ezusb.sys [X]
    S3 TpUsb; System32\Drivers\TpUsb.sys [X]
    S3 UXDCMN; \??\e:\Winstress\UXDCMN.SYS [X]
    2015-08-08 15:21 - 2015-08-08 15:46 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    0
  • #4 08 Sie 2015 19:31
    szogun0
    Specjalista grupy V.A.G.

    Domino_2 napisał:
    Cytat:

    Hosts:
    CustomCLSID: HKU\S-1-5-21-1220945662-606747145-682003330-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
    HKU\S-1-5-21-1220945662-606747145-682003330-1003\Software\Classes\.exe: => <===== ATTENTION
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    GroupPolicyScripts: Group Policy detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-1220945662-606747145-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF Plugin HKU\S-1-5-21-1220945662-606747145-682003330-1003: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File
    U3 Winsock; no ImagePath
    U3 a2rnc8gh; C:\WINDOWS\system32\Drivers\a2rnc8gh.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
    U3 aecq8894; C:\WINDOWS\system32\Drivers\aecq8894.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
    S4 Abiosdsk; no ImagePath
    S4 abp480n5; no ImagePath
    S4 adpu160m; no ImagePath
    S4 Aha154x; no ImagePath
    S4 aic78u2; no ImagePath
    S4 aic78xx; no ImagePath
    S4 AliIde; no ImagePath
    S4 amsint; no ImagePath
    S4 asc; no ImagePath
    S4 asc3350p; no ImagePath
    S4 asc3550; no ImagePath
    S4 Atdisk; no ImagePath
    S3 BulkUsb; System32\Drivers\FABulk.sys [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S4 cd20xrnt; no ImagePath
    S1 Changer; no ImagePath
    S4 CmdIde; no ImagePath
    S4 Cpqarray; no ImagePath
    U4 dac2w2k; no ImagePath
    S4 dac960nt; no ImagePath
    S4 dpti2o; no ImagePath
    S3 EZUSB; System32\Drivers\ezusb.sys [X]
    S4 hpn; no ImagePath
    S1 i2omgmt; no ImagePath
    S4 i2omp; no ImagePath
    S4 ini910u; no ImagePath
    S4 IntelIde; no ImagePath
    S1 lbrtfdc; no ImagePath
    S4 mraid35x; no ImagePath
    S1 PCIDump; no ImagePath
    S3 PDCOMP; no ImagePath
    S3 PDFRAME; no ImagePath
    S3 PDRELI; no ImagePath
    S3 PDRFRAME; no ImagePath
    S4 perc2; no ImagePath
    S4 perc2hib; no ImagePath
    S4 ql1080; no ImagePath
    S4 Ql10wnt; no ImagePath
    S4 ql12160; no ImagePath
    S4 ql1240; no ImagePath
    S4 ql1280; no ImagePath
    S4 Simbad; no ImagePath
    S4 Sparrow; no ImagePath
    S4 symc810; no ImagePath
    S4 symc8xx; no ImagePath
    S4 sym_hi; no ImagePath
    S4 sym_u3; no ImagePath
    S4 TosIde; no ImagePath
    S3 TpUsb; System32\Drivers\TpUsb.sys [X]
    S4 ultra; no ImagePath
    S3 UXDCMN; \??\e:\Winstress\UXDCMN.SYS [X]
    S4 ViaIde; no ImagePath
    S3 WDICA; no ImagePath
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go jako administrator i kliknij Fix.

    Przeskanuj komputer programem ADWCleaner i MBAM i usuń wszystko co znalazły.

    Gdyby były minusy to byś dostał od razu.
    Twoja pomoc, a raczej próba nauki na mnie spowodowała wywalenie sieci bezprzewodowej na laptopie.
    Tylko doczyniłeś mi roboty.
    Mniej wkurzające było jak mi komunikat o koniu trojańskim wyskakiwał niż zupełny brak internetu na tym laptopie.
    Nie dziękuję!!!


    WYWALIŁEŚ mi Winsock

    Dla potomnych - metoda naprawy po "Domino_2"
    http://www.fixitpc.pl/topic/7778-reinstalacja-calkowicie-martwego-tcpip/

    Z plusów, to trojan zlikwidowany.

    0
  • #5 09 Sie 2015 11:47
    Domino_2
    Pomocny dla użytkowników

    szogun0 W moim fixliście nie było nic nadzwyczajnego, a że miałeś namieszane coś w komputerze to już nie moja wina, chciałeś mieć usuniętego trojana i to się udało. Problem z sieciami miałeś może już wcześniej, teraz po prostu to tylko wyszło.

    0
  • #6 09 Sie 2015 15:52
    Kolobos
    Spec od komputerów

    @szogun0 Jezeli chodzi Ci o usluge: U3 Winsock; no ImagePath to nie ma ona zwiazku z Winsock'iem.

    0
  • #7 09 Sie 2015 21:34
    szogun0
    Specjalista grupy V.A.G.

    Kolobos napisał:
    @szogun0 Jezeli chodzi Ci o usluge: U3 Winsock; no ImagePath to nie ma ona zwiazku z Winsock'iem.

    Nie chodzi mi o to.
    A przed zastosowaniem skryptu wifi działało bez pudła.
    Po umarło.
    I dopiero operacje z linku, który podałem zadziałały i wifi znowu zaczęło działać.
    Ot tyle.
    Już mi przeszło ;)

    0