Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Logi FRST, adwcleaner, combofix do sprawdzenia, zainfekowany komp

dan3el 24 Cze 2016 09:45 465 2
  • #1 24 Cze 2016 09:45
    dan3el
    Poziom 6  

    Witam, wczoraj ściągnąłem kodeki ze strony divx, przy instalacji niby uważałem ale porobiło strasznie dużo dziwnych rzeczy, nowe skróty na pulpicie, nowe ikony w pasku szybkiego uruchomiania, nowe zakładki w chrome, zmiana strony startowej, wyszukiwarek itp. wykonałem w kolejności następujące kroki:
    - odinstalowałem tego divxa+ wszystko co zainstalowało mi się razem z nim (używam revo uninstaler)
    - przeskanowałem mbam, wykrył z 200 zagrożeń, usunął, brak logów
    - ściągnąłem i uruchomiłem combofixa. znalazł jakieś problemy, usunął, log załączony
    - ściągnąłem i uruchomiłem AdwCleaner, coś znalazł, naprawił, log załączony

    nadal widzę problemy z chrome, ale przede wszystkim martwi mnie to że teraz mbam wyłącza się po 4sekundach skanowania. Nie mogę ukończyć skanowania bo mbam sam anuluje skanowanie gdy rozpoczyna "szukaj rootkitów", dzieje się tak nawet w trybie awaryjnym.
    dysponuję zbyt słabym łączem internetowym żeby ściągnąć dr.Web CureIT
    Proszę o pomoc bo moim zdaniem komp jest poważnie zainfekowany i już nie mam pomysłu jak to naprawić.
    logi z combofixa, adwcleaner i FRST w załączniku

    0 2
  • Pomocny post
    #2 24 Cze 2016 09:59
    Kolobos
    Spec od komputerów

    Nie uzywaj combofix.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    AlternateDataStreams: C:\ProgramData\Microsoft:9oFUuLyfFcqI2lSLcweRAf [2160]
    AlternateDataStreams: C:\ProgramData\Microsoft:oFwFAiYw7sSpp4j1M8Gg40irV6T [2250]
    AlternateDataStreams: C:\ProgramData\Temp:56E2E879 [135]
    AlternateDataStreams: C:\ProgramData\Temp:8927A071 [404]
    AlternateDataStreams: C:\Users\daniel\Cookies:HlYQ87HOgUrVNzKC01sFvsjq [2290]
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-328382079-926864605-31982884-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-328382079-926864605-31982884-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    Toolbar: HKU\S-1-5-21-328382079-926864605-31982884-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    Toolbar: HKU\S-1-5-21-328382079-926864605-31982884-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    S2 FastUserSwitchingCompatibility; C:\Windows\installer\AMDEx3.msi [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S1 iflbqsdw; \??\C:\Windows\system32\drivers\iflbqsdw.sys [X]
    2016-06-22 21:18 - 2016-06-21 22:15 - 00000000 ____D C:\Qoobox
    2016-06-22 21:04 - 2016-06-24 05:25 - 00000000 ____D C:\Program Files\7a67e1e1631b61a64e71d9be97888e1e
    2016-06-22 21:04 - 2016-06-22 21:06 - 00000000 ____D C:\Program Files (x86)\Drfghphcoge
    2016-06-22 20:58 - 2016-06-24 05:25 - 00000000 ____D C:\ProgramData\AppxeetouQ
    2016-06-22 20:58 - 2016-06-22 20:58 - 00000000 ____D C:\ProgramData\AppxeetouQs
    2016-06-22 15:56 - 2016-06-22 15:56 - 00000000 ____D C:\ProgramData\160WiFi
    2016-06-22 15:55 - 2016-06-24 05:25 - 00000000 ____D C:\Program Files (x86)\Wifisrv
    2016-06-22 15:55 - 2016-06-22 15:55 - 00000000 ____D C:\Users\daniel\AppData\Roaming\5g4Kh
    2016-06-22 15:54 - 2016-06-24 05:25 - 00000000 ____D C:\Program Files (x86)\Reurveding
    2016-06-22 15:54 - 2016-06-24 05:25 - 00000000 ____D C:\Program Files (x86)\Awaphhogecult
    2016-06-22 15:53 - 2016-06-22 15:53 - 00003897 _____ C:\Users\daniel\AppData\LocalLow\lpm.dat
    2016-06-22 15:48 - 2016-06-24 05:25 - 00000000 ____D C:\Program Files (x86)\mpck
    2016-06-22 15:36 - 2016-06-22 15:36 - 00000000 ____D C:\ProgramData\Quoteexs
    2016-06-21 22:32 - 2016-06-21 22:33 - 00000000 ____D C:\AdwCleaner
    2016-06-21 22:15 - 2016-06-21 22:15 - 00017176 _____ C:\ComboFix.txt
    2016-06-21 21:58 - 2016-06-21 22:15 - 00000000 ____D C:\ComboFix
    2016-06-21 21:58 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
    2016-06-21 21:58 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
    2016-06-21 21:58 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2016-06-21 21:58 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2016-06-21 21:58 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2016-06-21 21:58 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
    2016-06-21 21:58 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
    2016-06-21 21:58 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
    2016-06-21 21:51 - 2016-06-21 21:58 - 05659224 ____R (Swearware) C:\Users\daniel\Downloads\ComboFix.exe
    2016-06-22 15:35 - 2016-06-22 15:35 - 6867456 _____ () C:\Users\daniel\AppData\Roaming\agent.dat
    2016-06-22 15:35 - 2016-06-22 15:35 - 0054272 _____ () C:\Users\daniel\AppData\Roaming\ApplicationHosting.dat
    2016-06-22 15:35 - 2016-06-22 15:35 - 0069024 _____ () C:\Users\daniel\AppData\Roaming\Config.xml
    2016-06-22 15:33 - 2016-06-22 15:33 - 0018432 _____ () C:\Users\daniel\AppData\Roaming\InstallationConfiguration.xml
    2016-06-22 15:33 - 2016-06-22 15:33 - 0128512 _____ () C:\Users\daniel\AppData\Roaming\Installer.dat
    2016-06-22 15:35 - 2016-06-22 15:35 - 0126464 _____ () C:\Users\daniel\AppData\Roaming\lobby.dat
    2016-06-22 15:35 - 2016-06-22 15:35 - 0018432 _____ () C:\Users\daniel\AppData\Roaming\Main.dat
    2016-06-22 15:35 - 2016-06-22 15:35 - 0005568 _____ () C:\Users\daniel\AppData\Roaming\md.xml
    2016-06-22 15:35 - 2016-06-22 15:35 - 0126464 _____ () C:\Users\daniel\AppData\Roaming\noah.dat
    2016-06-22 15:35 - 2016-06-22 15:35 - 0072704 _____ () C:\Users\daniel\AppData\Roaming\Unasoft.tst
    2016-06-22 15:35 - 2016-06-22 15:35 - 1759888 _____ () C:\Users\daniel\AppData\Roaming\Zotnix.tst
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.

    0
  • #3 24 Cze 2016 10:18
    dan3el
    Poziom 6  

    zrobione. Mbam wykonuje już pełny skan. mam nadzieję że będzie już ok, wielki dzięki @Kolobos

    0