Logi - proszę o interpretację

przez **sabcik** » 04 Gru 2014, 14:08

Witam serdecznie!
Jakiś czas temu walczyłam z wirusami (prawdopodobnie przeglądarkowymi), które zaśmiecały przeglądarke, wyskakiwało dużo reklam itp. Wtedy jeszcze miałam zaistalowanego Nortona, który informował o Yontoo.C oraz suspicious cloud. Próbowałam wielu narzędzi do skanowania, nic nie wykrywały, ale wiem, że cały czas działa coś, o czym nie mam pojęcia i nie wiem czym to usunąć.
Od jakiegoś tygodnia mam duże problemu z przeglądaniem stron www, obrazki które się na nich znajdują zostają zazwyczaj zdeformowane. Używając Firefoxa sprawdziłam, czy wszystkie wtyczki są aktualne i okazało się, że Flash Player jest "niebezpieczny". Oczywiście próbowałam go zaktualizować, ale się nie udało, coś przerywa podczas instalacji, albo plik .exe się nie uruchamia (a jest widoczny w procesach w menadżer zadań). Usunęłam całego Firefox aby zainstalować go na nowo, nowszą wersję i z tym też jest już problem. Przeglądając forum natrafiłam na info, że może to być np. Sality. Ściągnęłam Salitykiller, nic nie wykrył za pierwszym razem. Widziałam, że należy skanować dopóki czegoś nie wykryje, lecz nie mam pewności czy to to. Dlatego, z uwagi że ja tego nie potrafię, bardzo proszę o pomoc w interpretacji log...

OTL: http://www.wklej.eu/index.php?id=b02ba745e6
Extras: http://www.wklej.eu/index.php?id=f64878e296

FRST: http://www.wklej.eu/index.php?id=7079cbe72d
Addition: http://www.wklej.eu/index.php?id=a3312aa858

Serdecznie pozdrawiam!

przez **mateo8898** » 04 Gru 2014, 14:19

Brak logu z Gmer

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736, uzupełnij.

Dwie rzeczy rzucają się w oczy:
1. Masz zainstalowane 2 antywirusy: Kapsersky IS i Norton IS, co jest niedopuszczalne. Zostaw tylko jeden.
2. W logu widzę pobrane narzędzie Windows Worms Doors Cleaner, zwracam uwagę, że w systemach nowszych niż XP nie należy wyłączać DCOM (port 135)

przez **sabcik** » 04 Gru 2014, 18:03

Uzupełniam, gmer: http://www.wklej.eu/index.php?id=90ca1c09d9

Norton był wyłączony, ale rozumiem, usuwam. Pytanie, czy tak ma wyglądać WWDC: http://img31.otofotki.pl/obrazki/uh106_Beztytulu.png ?

przez **sabcik** » 06 Gru 2014, 11:45

Czy widać coś niepokojącego? Teraz zauważyłam, że pliki word, powerpoint, excel straciły "powiązanie" z owymi programami. Można je tylko otworzyć uprzednio otwierając np. samego worda, potem opcją otwórz...

przez **mateo8898** » 06 Gru 2014, 13:43

Pytanie, czy tak ma wyglądać WWDC: http://img31.otofotki.pl/obrazki/uh106_Beztytulu.png ?

Tak.

Odinstaluj jeszcze Akamai NetSession Interface

Wklej do notatnika:

HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated)
HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31072 2008-10-25] (Microsoft Corporation)
HKU\S-1-5-21-1891805188-4139210631-2942556839-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Sabina\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1891805188-4139210631-2942556839-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - No Path
S3 catchme; \??\C:\Users\Sabina\AppData\Local\Temp\catchme.sys [X]
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

przez **sabcik** » 06 Gru 2014, 17:37

Fixlog: http://www.wklej.eu/index.php?id=0686d100ed
FRST: http://www.wklej.eu/index.php?id=797f860572

Dziękuję bardzo za pomoc! Co to było? I jak się chronić na przyszłość?

przez **mateo8898** » 06 Gru 2014, 23:41

A problem ustąpił? Bo żadnej infekcji tu nie było, to co usuwałem to raczej "kosmetyka".

Kroki końcowe:
Wklej do notatnika:

CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

przez **sabcik** » 07 Gru 2014, 22:47

Zdjęcia się nie "rozjeżdżają", tvn player śmiga (ostatnio nie było takiej opcji). Nawet Firefox'a udało mi się ponownie zainstalować! Ale w takim razie dziwne, że to tylko kosmetyka była. Czy jest możliwe, że jest ciągle jakiś wirus, którego nie wykryją powyższe narzędzia (OTL, FRST..) ? Norton do ostatnich dni swojej działalności przy skanowaniu coś pokazywał. Teraz przy Kasperskim cisza, ale nie mam już na tyle zaufania, żeby zalogować się na konto bankowe. Czy jedyne rozwiązanie to format?

przez **mateo8898** » 08 Gru 2014, 01:32

Ale daj spokój, jaki format. System jest czysty, widocznie pomogło czyszczenie plików tymczasowych (komenda w FRST) i po temacie. Tak więc bez obaw możesz logować się na konta.

przez **sabcik** » 08 Gru 2014, 10:58

No dobrze, w takim razie strasznie dziękuję za pomoc! Sama bym sobie nie poradziła :)))

Logi - proszę o interpretację

Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Re: Logi - proszę o interpretację

Kto jest na forum