Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 10 - prośba o sprawdzenie logów

accoount 13 Mar 2017 18:27 291 8
  • #1 13 Mar 2017 18:27
    accoount
    Poziom 9  

    Witam,

    Zachciało mi się przypomnieć gry "Super Mario" w wersji flash. W ten sam dzień żona ściągała coś przez Softonic.
    Od tamtej pory komputer zwariował pomimo zainstalowanej aplikacji Avira Antivirus 2016.
    Wyskakuje głównie strona:
    BET 365: http://adplexmedia.adk2x.com/ul_cb/imp?p=75046153&ct=html&ap=1304&psid=482740
    W skrót przeglądarki Internet explorer oraz opery dokleił się link do strony łudząco podobnej do wyszukiwarki google - niestety na etapie czyszczenia komputera zniknął mi ten adres.

    Przy skanowaniu systemu Avira wykryła następujący problem (wielokrotnie), jednak nie była w stanie poradzić sobie z nim.
    tr/spy.23510792

    Oprogramowanie Microsoft nic nie wykryło, oprogramowanie Kaspersky również. Malwarebytes coś skasowało, jednak reklamy w dalszym ciągu się pojawiały.
    Hijack wyświetla problemy do usunięcia, niestety wyskakuje problem z plikiem hosts, z którym nie potrafię sobie poradzić.

    W załączniku przesyłam logi z
    FRST
    ADWCLEANER
    HIJACK

    Wygląda, jakby wirus dobrze się maskował.
    Z góry dziękuję za pomoc i sugestie na przyszłość.

    Pozdrawiam!

    0 8
  • Pomocny post
    #2 13 Mar 2017 18:33
    Kolobos
    Spec od komputerów

    Nie uzywaj hijackthis, to przestarzaly program!

    Fixlist.txt dla FRST:
    Task: {F1FE2154-4D42-457C-B184-F06FD081BE6F} - System32\Tasks\Opera scheduled Autoupdate 1489083318 => C:\Program Files (x86)\Opera2\launcher.exe [2017-02-27] (Opera Software)
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    HKLM\...\Winlogon: [Userinit]
    HKU\S-1-5-21-1519816521-1375808930-2141408274-1001\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[C2].txt [3050 2017-03-13] ()
    HKU\S-1-5-21-1519816521-1375808930-2141408274-1001\...\MountPoints2: {2d95d6cf-0307-11e7-baa5-f46d0441ba14} - "D:\KODAK_Software_Downloader.exe"
    Hosts:
    Toolbar: HKU\S-1-5-21-1519816521-1375808930-2141408274-1001 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku
    CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.9.0.71\Exts\Chrome.crx <nie znaleziono>
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.9.0.71\Exts\Chrome.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    2017-03-10 21:33 - 2017-03-13 17:33 - 00000000 ____D C:\AdwCleaner
    2017-03-10 19:31 - 2017-03-10 21:30 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2017-03-10 19:31 - 2017-03-10 19:31 - 00000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
    2017-03-10 19:30 - 2017-03-10 21:30 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2017-03-10 16:43 - 2017-03-10 16:48 - 00000000 ____D C:\ProgramData\F-Secure
    2017-03-10 16:43 - 2017-03-10 16:43 - 00000000 ____D C:\Users\Counter\AppData\Local\F-Secure
    2017-03-09 21:03 - 2017-03-09 21:03 - 00000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
    2017-03-09 19:52 - 2017-03-09 19:55 - 00000000 ____D C:\ProgramData\HitmanPro
    EmptyTemp:

    W jakim pliku avira wykrywa ta infekcje?

    0
  • #3 13 Mar 2017 18:47
    accoount
    Poziom 9  

    Cześć,

    Avirę usunąłem i zastąpiłem Norton Antywirusem, ale również nic nie widzi.

    Generalnie wyskoczyło kilka lokalizacji, ale ostatnia związana to Useini czy coś takiego. Kasowałem to z wiersza poleceń w "DOS"ie ale plik i tak powracał - w raporcie Nortona plik niby jest zaufany..

    Dziękuję za fixlist.
    W załączeniu raport fixlog.

    Pozdrawiam!

    0
  • Pomocny post
    #4 13 Mar 2017 19:22
    Kolobos
    Spec od komputerów

    Nadal cos wykrywa?

    0
  • #5 13 Mar 2017 20:47
    accoount
    Poziom 9  

    Żonka męczyła komputer przez ponad 1,5 godziny i do tej pory nie wyskoczyła żadna reklama, także dziękuję i mam nadzieję, że jest po temacie.

    Musiałem wyłączyć auto ochronę w Nortonie, bo usuwało FRST jako złośliwe oprogramowanie.
    Logi jeszcze raz w załączniku - proszę zerknij dla pewności.

    Jeszcze raz dziękuję!

    0
  • #6 13 Mar 2017 20:52
    Kolobos
    Spec od komputerów

    Nowe logi sa zbedne, nie bylo tutaj infekcji. Tylko brak hosts i brak wpisu userinit.

    0
  • #7 13 Mar 2017 20:57
    accoount
    Poziom 9  

    Coś mogę z tym zrobić - uzupełnić?
    Czy sugerujesz jakieś programy chroniące przed tego typu badziewiem?

    Dziękuję.

    0
  • Pomocny post
    #8 13 Mar 2017 21:00
    Kolobos
    Spec od komputerów

    > Coś mogę z tym zrobić - uzupełnić?

    Podany Fixlist juz wszystko naprawil.

    > Czy sugerujesz jakieś programy chroniące przed tego typu badziewiem?

    Trzeba uwazac co sie robi podczas korzystania z internetu, programy nie za wiele tutaj pomoga.

    0
  • #9 13 Mar 2017 21:08
    accoount
    Poziom 9  

    Ok, dziękuję!

    0