Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Infekcja włącza proxy, rundll

zibekk 17 Sie 2018 14:10 357 20
  • #1 17 Sie 2018 14:10
    zibekk
    Poziom 3  

    Prośba o sprawdzenie logów. Wyskakują błędy oraz nie ma sieci bo jakaś infekcja włącza mi proxy, musze wchodzic w ustawienia i to wyłączać. Stało sie to przez emaila z fałszywą fakturą . Skanowalem Dr.Web i usunął 13 zagrożeń "Program.Freemake.3" z DVDSoft... ale to chyba nie to bo nic to nie zmieniło.

    Infekcja włącza proxy, rundll
    Infekcja włącza proxy, rundll

    0 20
  • Pomocny post
    #2 17 Sie 2018 14:17
    safbot1st
    Poziom 43  

    Fixlist dla Ciebie:

    CloseProcesses:
    HKU\S-1-5-21-1530795035-4050533552-301738881-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-1530795035-4050533552-301738881-1001\...\Run: [atl1ap32] => cmd.exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\4FF0872D-62A1-5931-E4F3-B69D58D74A21').Authonfg))
    HKU\S-1-5-21-1530795035-4050533552-301738881-1001\...\MountPoints2: {f746fe0b-6bf9-11e8-9890-0024d2d97871} - "E:\AutoRun.exe"
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation)
    ProxyServer: [S-1-5-21-1530795035-4050533552-301738881-1001] => 127.0.0.1:1080
    Tcpip\..\Interfaces\{bfa7c5ba-87f1-4a9c-8ea0-1c5303557ba5}: [NameServer] 0.0.0.0 0.0.0.0
    ManualProxies: 1127.0.0.1:1080
    RemoveProxy:
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.gmx.com/start?src=p_jkld_pl&am...mp;p_mkt=pl&p_tsrc=301ssg01&p_w=y1w24
    HKU\S-1-5-21-1530795035-4050533552-301738881-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.gmx.com/start?src=p_jkld_pl&am...mp;p_mkt=pl&p_tsrc=301ssg01&p_w=y1w24
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jk...t=pl&p_tsrc=301ssg01&p_w=y1w24&q={searchTerms}
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jk...t=pl&p_tsrc=301ssg01&p_w=y1w24&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jk...t=pl&p_tsrc=301ssg01&p_w=y1w24&q={searchTerms}
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://search.gmx.com/web/result?origin=p_jk...t=pl&p_tsrc=301ssg01&p_w=y1w24&q={searchTerms}
    FF Extension: (Map status indicator) - C:\Program Files (x86)\TomTom HOME 2\xul\extensions\MapShare-status@tomtom.com [2018-02-08] [Przestarzałe] [Brak podpisu cyfrowego]
    FF Homepage: Mozilla\Firefox\Profiles\2qqcjsa1.default -> about:home
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    R2 D11AF65B; C:\ProgramData\D11AF65B\D11AF664.dll [2861072 2018-08-12] () [Brak podpisu cyfrowego]
    2018-08-17 12:47 - 2018-08-17 13:00 - 176002688 _____ C:\Users\dsena\Downloads\du5dt96x.exe
    2018-08-12 11:26 - 2018-08-17 13:35 - 000000000 ___HD C:\ProgramData\D11AF65B
    2018-07-19 11:19 - 2018-07-19 11:19 - 000000000 ____D C:\TEMP
    2018-06-15 09:12 - 2018-06-15 09:12 - 000000171 _____ () C:\Users\dsena\AppData\Roaming\1eb766f2-fed1-4d33-9c39-2c8a972fd11f
    2018-06-15 09:12 - 2018-06-15 09:12 - 000000304 _____ () C:\Users\dsena\AppData\Roaming\4e93aa11-2d46-4980-a421-0a4ac759e5bf
    2018-06-15 09:12 - 2018-06-15 09:12 - 000000175 _____ () C:\Users\dsena\AppData\Roaming\fc19ece2-6b3f-4f22-8758-9651ab9ca388
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku
    2018-08-12 11:27 - 2018-08-12 11:27 - 002861072 ___RH () C:\ProgramData\D11AF65B\D11AF664.dll
    Task: {C21F3E18-22AC-44DF-B974-60A5C6944564} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    EmptyTemp:

    0
  • #3 17 Sie 2018 17:14
    zibekk
    Poziom 3  

    Dzieki już nie ma tych problemów.
    Mam pytanie - poniżej zamieściłem liste aktywnych połaczeń - czy to oznacza że coś jest nie tak?
    Infekcja włącza proxy, rundll

    0
  • Pomocny post
    #4 17 Sie 2018 17:42
    dt1
    Moderator - Komputery Serwis

    zibekk napisał:
    Mam pytanie - poniżej zamieściłem liste aktywnych połaczeń - czy to oznacza że coś jest nie tak?


    Nie, to oznacza jedynie, że masz połączenie z siecią internet oraz kilka nasłuchujących procesów na różnych portach, nic więcej.

    0
  • #5 17 Sie 2018 20:09
    zibekk
    Poziom 3  

    ok, dzięki.
    Czy w tej kategorii nie da się nacisnąć pomogł? Bak jak naciskam przycisk "Pomógł mi" to przenosi mnie tylko na początek postu.

    0
  • #6 17 Sie 2018 20:48
    safbot1st
    Poziom 43  

    zibekk napisał:
    Czy w tej kategorii nie da się nacisnąć pomogł? Bak jak naciskam przycisk "Pomógł mi" to przenosi mnie tylko na początek postu.

    Spróbuj na innej przeglądarce.

    0
  • #7 18 Sie 2018 09:58
    zibekk
    Poziom 3  

    na innej to samo, przenosi na początek postu.

    0
  • Pomocny post
    #8 18 Sie 2018 10:19
    safbot1st
    Poziom 43  

    Wykonaj odorobaczanie za pomocą kolejno:
    TDSSKiller
    ADWcleaner
    MBAM Free
    Dr. Web CureIt
    Po tym :) zamieść ponownie logi FRST. :)

    0
  • Pomocny post
    #10 18 Sie 2018 14:02
    safbot1st
    Poziom 43  

    Wykonaj taki fixlist.txt:

    CloseProcesses:
    HKU\S-1-5-21-1530795035-4050533552-301738881-1001\...\MountPoints2: {f746fe0b-6bf9-11e8-9890-0024d2d97871} - "E:\AutoRun.exe"
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Brak pliku)
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    HKLM\SYSTEM\CurrentControlSet\Services\458366841E9CB87D <==== UWAGA (Rootkit!)
    R2 NvTelemetryContainer; "C:\Program Files (x86)\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe" -s NvTelemetryContainer -f "C:\ProgramData\NVIDIA\NvTelemetryContainer.log" -l 3 -d "C:\Program Files (x86)\NVIDIA Corporation\NvTelemetry\plugin"
    R1 MpKsl299296b1; C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{BFBB2831-A823-4E84-A79A-FF7478C9FD9C}\MpKsl299296b1.sys [58120 2018-08-18] (Microsoft Corporation)
    2018-08-18 10:45 - 2018-08-18 10:48 - 000000000 ____D C:\AdwCleaner
    2018-08-18 10:44 - 2018-08-18 10:44 - 007407312 _____ (Malwarebytes) C:\Users\dsena\Downloads\AdwCleaner.exe
    2018-08-18 10:43 - 2018-08-18 10:44 - 000084394 _____ C:\TDSSKiller.3.1.0.17_18.08.2018_10.43.40_log.txt
    2018-08-16 13:49 - 2018-08-16 13:50 - 001204720 _____ (Adobe Systems Incorporated) C:\Users\dsena\Downloads\flashplayer30au_ha_install.exe
    EmptyTemp:

    0
  • Pomocny post
    #11 18 Sie 2018 14:43
    RADU23
    Moderator - Komputery Serwis

    zibekk napisał:
    Czy w tej kategorii nie da się nacisnąć pomogł? Bak jak naciskam przycisk "Pomógł mi" to przenosi mnie tylko na początek postu.

    Dziwne, nie powinno.
    Nagradzam w Twoim imieniu.

    0
  • #12 18 Sie 2018 14:59
    safbot1st
    Poziom 43  

    RADU23 napisał:
    Dziwne, nie powinno.

    Kolega ma wciąż Rootkita. Może dlatego tak jest. @zibekk zamieść fixlog.txt.
    Prawdę mówiąc zrób ponownie TDSkiller i zamieść log z niego.

    0
  • Pomocny post
    #13 18 Sie 2018 15:04
    RADU23
    Moderator - Komputery Serwis

    safbot1st napisał:
    Kolega ma wciąż Rootkita. Może dlatego tak jest.

    Widzę w logach właśnie. Możliwe.

    @zibekk po wykonaniu fixlist, spróbuj zrobić reset Chrome =>
    https://www.tech-sas.pl/reset-google-chrome/
    I sprawdź czy teraz działa.

    0
  • #14 18 Sie 2018 15:22
    safbot1st
    Poziom 43  

    RADU23 napisał:
    wykonaniu fixlist, spróbuj zrobić reset Chrome =>

    Dlatego pytałem jak na innej przeglądarce. Tak samo.

    0
  • #17 18 Sie 2018 16:50
    zibekk
    Poziom 3  

    to samo na portable

    0
  • #18 18 Sie 2018 16:51
    safbot1st
    Poziom 43  

    zibekk napisał:
    to samo na portable

    Być może znalazłeś jakiegoś zero-daysa. A jak dasz Klasyczny Wygląd (przełącznik na górze)?

    0
  • #19 18 Sie 2018 17:23
    zibekk
    Poziom 3  

    okazało sie że to przez flashplayer-a, po aktualizacji wszystko już działa.
    Dzieki za wszelką pomoc.

    0
  • #20 18 Sie 2018 17:25
    safbot1st
    Poziom 43  

    Super. To usuń C:\FRST i zamykamy.

    0
  • #21 18 Sie 2018 17:28
    zibekk
    Poziom 3  

    ok, dzieki, można zamknać.

    0