Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Advanced Search
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Programy szpiegujące - logi i ich analiza - FRST.

Drydeg 20 Sep 2015 11:59 1161 22
Lock | New topic
  • #1
    Drydeg
    Level 7  
    Ponownie programy ścierwo.exe w tym gswq.exe na dysku C.

    Po 3 programy znajdują się na C:\Users\xxx\AppData\Local\Temp
    np. stcc.exe winkaqo.exe

    Po przeskanowaniu MalwareBytes okazało się że są to programy szpiegujące.
    Miesiąc temu wystarczyło przeskanowanie aby to usunąć. Teraz jednak cały czas się odnawiają. :cry:
    Attachments:
  • #2
    Domino_2
    Helpful for users
    Odinstaluj YTD Video Downloader.

    Quote:

    BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre8\bin\ssv.dll Brak pliku
    BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre8\bin\jp2ssv.dll Brak pliku
    FF Plugin: @java.com/DTPlugin,version=11.11.2 -> C:\Program Files\Java\jre8\bin\dtplugin\npDeployJava1.dll [Brak pliku]
    FF Plugin: @java.com/JavaPlugin,version=11.11.2 -> C:\Program Files\Java\jre8\bin\plugin2\npjp2.dll [Brak pliku]
    FF Plugin: @TOOLS.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.28.1\npGoogleUpdate3.dll [Brak pliku]
    FF Plugin: @TOOLS.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.28.1\npGoogleUpdate3.dll [Brak pliku]
    S2 BstHdAndroidSvc; "C:\Program Files\BlueStacks\HD-Service.exe" BstHdAndroidSvc Android [X]
    S2 BstHdLogRotatorSvc; C:\Program Files\BlueStacks\HD-LogRotatorService.exe [X]
    S2 BstHdUpdaterSvc; C:\Program Files\BlueStacks\HD-UpdaterService.exe [X]
    S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
    S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
    S2 BstHdDrv; \??\C:\Program Files\BlueStacks\HD-Hypervisor-x86.sys [X]
    U3 aqj0uqx6; Brak ImagePath
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe, odpal go i kliknij Fix/Napraw.
  • #3
    Acorus 20
    Level 43  
    Odinstaluj YTD Video Downloader 4.9.2. Otwórz notatnik systemowy i wklej:

    Quote:
    Hosts:
    FF Plugin: @java.com/DTPlugin,version=11.11.2 -> C:\Program Files\Java\jre8\bin\dtplugin\npDeployJava1.dll [Brak pliku]
    FF Plugin: @java.com/JavaPlugin,version=11.11.2 -> C:\Program Files\Java\jre8\bin\plugin2\npjp2.dll [Brak pliku]
    FF Plugin: @TOOLS.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.28.1\npGoogleUpdate3.dll [Brak pliku]
    FF Plugin: @TOOLS.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.28.1\npGoogleUpdate3.dll [Brak pliku]
    S2 BstHdLogRotatorSvc; C:\Program Files\BlueStacks\HD-LogRotatorService.exe [X]
    S2 BstHdUpdaterSvc; C:\Program Files\BlueStacks\HD-UpdaterService.exe [X]
    S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
    S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
    U3 aqj0uqx6; Brak ImagePath
    2015-09-20 11:41 - 2015-09-20 11:42 - 00103140 ____C C:\gswq.exe
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw. Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
  • #5
    Acorus 20
    Level 43  
    Otwórz notatnik systemowy i wklej:

    Quote:
    U3 aj79k4dl; Brak ImagePath
    2015-09-20 11:41 - 2015-09-20 11:42 - 00103140 ____C C:\gswq.exe
    C:\Users\xxx\AppData\Local\Temp\bbmg.exe
    C:\Users\xxx\AppData\Local\Temp\winkosife.exe
    C:\Users\xxx\AppData\Local\Temp\wqdrdy.exe


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw. Przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl
  • #6
    Drydeg
    Level 7  
    Po pobraniu DrWeb nie chce się zainstalować. Wyskakuje błąd na pasku zadań. Wyskakuje, że jest uszkodzony jakiś plik drweb-setup cośtam. Na krótką chwilę to wyskakuje. Jakieś pomysły? Te pliki jak były, tak są.
  • #7
    Acorus 20
    Level 43  
    Spróbuj w trybie awaryjnym.
  • Helpful post
    #8
    dawox99
    Level 13  
    Zrobiłem kilka fixlist czyszczących z tego syfu. Komputer zaczął mu pracować lepiej - fixlisty wykonane z pomocą skype (współdzielenie ekranu) gdyż FRST w skanach nie wykrywał tego syfu.

    //Edit: Po restarcie komputera syf wrócił...
  • #9
    Kolobos
    IT specialist
    Daj nowe logi z FRST.
  • #12
    Kolobos
    IT specialist
    FRST jest obciety.

    Daj log z TDSSKiller.

    Nowe logi z FRST, przed uzyciem odznacz whitelist przy Internet w FRST.
  • #14
    Kolobos
    IT specialist
    Uruchom okno cmd z prawami administratora i uruchom: netsh winsock reset

    Dr.Web odinstaluj.
  • #16
    Kolobos
    IT specialist
    Odinstaluj Dr.Web.

    Czy po resecie nadal wystepuje jakis problem?
  • #17
    Drydeg
    Level 7  
    Dalej jest problem z początku.

    DrWEB odinstalowany.

    Jedyne co się polepszyło to praca komputera i trochę przeglądarki, zdarzają się ściny, gry dalej fatalnie się zacinają oraz mam ping+200, Winamp wariuje i zacina się w 1 sekundzie muzyki odtwarzając ją w nieskończoność, niektóre strony internetowe takie jak YouTube czy demoty strasznie się zacinają kiedy przewijam scrollem na dół.
  • #18
    Kolobos
    IT specialist
    W logu widac:
    Error: (09/20/2015 05:54:37 PM) (Source: Ntfs) (EventID: 55) (User: )
    Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku.
    Uruchom narzędzie chkdsk na woluminie Dyks Lokalny C.

    Daj screen z CrystalDiskInfo:
    http://portableapps.com/apps/utilities/crystaldiskinfo_portable

    Odinstaluj:
    AVG 2014 (Version: 14.0.3950 - AVG Technologies) Hidden
    Dr.Web Security Space (HKLM\...\{5352DB49-883D-4b64-8443-DA7B80C33ED5}) (Version: 10.0.1.08040 - Doctor Web, Ltd.)
    Java(TM) 6 Update 22 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.220 - Oracle)
    LogMeIn Hamachi (HKLM\...\LogMeIn Hamachi) (Version: 2.2.0.385 - LogMeIn, Inc.)
    Setup (HKLM\...\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}) (Version: - )

    Uzyj: https://support.norton.com/sp/pl/pl/home/curr...tions/kb20080710133834EN_EndUserProfile_pl_pl

    Fixlist.txt dla FRST:
    Task: {026B7758-CC38-4C70-8EF2-DF5E6F134A29} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files\TuneUp Utilities 2013\OneClick.exe
    Task: {042638C4-3C83-42D6-8566-38BBFF1B7742} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files\Norton 360\Engine\21.3.0.12\SymErr.exe
    Task: {C895DDE2-37EF-43D8-B944-BD88B7CD409B} - System32\Tasks\Norton WSC Integration => C:\Program Files\Norton 360\Engine\21.3.0.12\WSCStub.exe
    Task: {C9303220-9A52-41B0-A10A-69983F03503C} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe
    Task: {C93429FA-6651-47CF-8971-4A6619BCED50} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files\Norton 360\Engine\21.3.0.12\SymErr.exe
    Task: C:\Windows\Tasks\Dr.Web Daily scan.job => C:\Program Files\DrWeb\dwscanner.exe
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
    FF HKLM\...\Firefox\Extensions: [501a5e782156e@501a5e78215a8.info] - C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\ai9cenx0.default\extensions\501a5e782156e@501a5e78215a8.info
    S3 DrWebEngine; C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe [2128784 2015-09-20] (Doctor Web, Ltd.)
    S3 DrWebNetFilter; "C:\Program Files\DrWeb\dwnetfilter.exe" --ats [X]
    R1 ccSet_N360; C:\Windows\system32\drivers\N360\1503000.00C\ccSetx86.sys [127064 2013-09-26] (Symantec Corporation)
    R1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [377648 2014-06-30] (Symantec Corporation)
    S3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [109872 2014-06-19] (Symantec Corporation)
    U3 Partizan; C:\Windows\System32\drivers\Partizan.sys [35816 2013-08-10] (Greatis Software)
    S3 RegGuard; C:\Windows\system32\Drivers\regguard.sys [24416 2013-08-10] (Greatis Software)
    S1 DrWebWfp; system32\drivers\dw_wfp.sys [X]
    S0 DwDevGuard; system32\drivers\dwdg.sys [X]
    S0 DwProt; system32\drivers\dwprot.sys [X]
    S0 SpiderG3; system32\drivers\spiderg3.sys [X]
    U3 adnbaq3e; Brak ImagePath
    2015-09-20 17:26 - 2015-09-20 17:27 - 00000282 _____ C:\Windows\Tasks\Dr.Web Daily scan.job
    2015-09-20 17:26 - 2015-09-20 17:26 - 00000000 ____D C:\Program Files\DrWeb
    2015-09-20 16:32 - 2015-09-20 16:52 - 00103140 ____C C:\gswq.exe
    2015-09-20 15:41 - 2015-09-20 15:41 - 00000000 ____D C:\Program Files\Common Files\Doctor Web
    2015-09-20 15:38 - 2015-09-20 15:42 - 00000000 ____D C:\ProgramData\Doctor Web
  • #20
    Kolobos
    IT specialist
    Nie ma to znaczenia, dysk 40GB masz do wymiany. Nie dales calego okna z CDI ale juz teraz widac, ze jest uszkodzony.
  • #21
    Drydeg
    Level 7  
    Czyli muszę kupić nowy dysk? Dziękuję za pomoc, nie wiedziałbym o tym i bym się z tym męczył.
  • Helpful post
    #22
    Kolobos
    IT specialist
    Wystarczy zainstalowac system na drugim dysku, ktory jest sprawny. Nie musisz kupowac nowego.
  • #23
    Drydeg
    Level 7  
    Rozumiem. Jeszcze raz dziękuję, gdyby nie Ty, to bym się pewnie męczył nad tym kilka dni. :)
    Programy szpiegujące - logi i ich analiza - FRST.
Lock | New topic