Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.

Regulamin forum

1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź

Sprawdzenie logów FRST - virusy i reklamy

22 Lip 2018, 14:58

Cześć, proszę o sprawdzenie logów, zawirusował mi się laptop i wyświetlają się reklamy jak i spowolnił się sporo. Skanowałem Malwarebytes i trochę się pousuwało jednak ciągle widnieje attrib.exe o riskware. Proszę o pomoc i pousuwanie podejrzanych wszystkich plików. Z góry dzięki :)

Shortcut.txt
http://hostuje.net/file.php?id=e50f8fb322ed4f384cb06f846ed9b7b7

Addition.txt
http://hostuje.net/file.php?id=5d0fa190f817dcba3db63ab30b92550c

FRST.txt
http://hostuje.net/file.php?id=588fb37d5910b0264f0dc72c32c470a6

Re: Sprawdzenie logów FRST - virusy i reklamy

23 Lip 2018, 20:30

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [ETXI-nT5vY.exe] => C:\Program Files\GoldWave\XMJHQZCCV3OIHSCC\ETXI-nT5vY.exe
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [2AGM.exe] => C:\Users\Jarecki\AppData\Local\Temp\BEXY20LUU4\2AGM.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [W02C.exe] => C:\Users\Jarecki\AppData\Local\Temp\2LK404OCB6\W02C.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [EJ9H.exe] => C:\Users\Jarecki\AppData\Local\Temp\4TY1NEV8ED\EJ9H.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [GOCF.exe] => C:\Users\Jarecki\AppData\Local\Temp\3Z60IIEGYL\GOCF.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [TLXX.exe] => C:\Users\Jarecki\AppData\Local\Temp\GWRJR5X05Q\TLXX.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [VZNW.exe] => C:\Users\Jarecki\AppData\Local\Temp\OVZ9JU7W0T\VZNW.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [00RY.exe] => C:\Users\Jarecki\AppData\Local\Temp\3JQIXKSNBH\00RY.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [RL53.exe] => C:\Users\Jarecki\AppData\Local\Temp\RL533I65YP\RL53.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [HDP3.exe] => C:\Users\Jarecki\AppData\Local\Temp\HDP3BS35W3\HDP3.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [Q9Q9.exe] => C:\Users\Jarecki\AppData\Local\Temp\VSIJK51TEJ\Q9Q9.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\Run: [Z9PZ.exe] => C:\Users\Jarecki\AppData\Local\Temp\2SOJR58OJ6\Z9PZ.exe <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\RunOnce: [Application Restart #2] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1588568 2018-06-22] (Google Inc.)
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
RemoveDirectory: C:\Program Files\GoldWave\XMJHQZCCV3OIHSCC
FF Homepage: Mozilla\Firefox\Profiles\37wqittu.default -> file:///C:/ProgramData/Subairs/ff.HP
FF NewTab: Mozilla\Firefox\Profiles\37wqittu.default -> file:///C:/ProgramData/Subairs/ff.NT
Task: {0F73CB13-B4D1-46C3-91DB-8D85DF04293C} - System32\Tasks\NanoPackTask => C:\Program Files\Common Files\service_pack.bat [2018-07-21] () <==== UWAGA
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "Q9Q9.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "HDP3.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "RL53.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "00RY.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "VZNW.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "TLXX.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "GOCF.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "EJ9H.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "W02C.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "2AGM.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "ETXI-nT5vY.exe"
HKU\S-1-5-21-2179863463-2490515380-3909065564-1001\...\StartupApproved\Run: => "Z9PZ.exe"
RemoveDirectory: C:\Program Files\GoldWave\XMJHQZCCV3OIHSCC
RemoveDirectory: C:\Program Files (x86)\ggyoEsstymMAtvJtmyRGBLfBwYsaP
RemoveDirectory: C:\ProgramData\qddGHEDCBPKSMPVBAxHEpAQyEq
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

F.

Re: Sprawdzenie logów FRST - virusy i reklamy

24 Lip 2018, 19:05

Fixlog: http://hostuje.net/file.php?id=dca52038fc634eb882e8a549281396d9

Nowe FRST: http://hostuje.net/file.php?id=b6c1239dfb6fcee21d44f68b1d8161de
Nowe Addiction: http://hostuje.net/file.php?id=0c6575bc2838a9bf16ae6443c5813bbf
Nowe Shortcut: http://hostuje.net/file.php?id=0e5c90307a9881ed26fb17b195754558
Co chwile pojawia mi się takie powiadomienie z Malwarebytes: https://i.imgur.com/nnxgetq.png lub podobne.
A później dodaje do kwarantanny RISK WARE BIT COIN MINER jak usunę to i tak po jakimś czasie się pojawi.
Jak usunąć koparkę bitcoinów?

Z góry dzięki za pomoc

Re: Sprawdzenie logów FRST - virusy i reklamy

24 Lip 2018, 20:20

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
HKLM\...\Run: [JServicesManager] => C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.ex
RemoveDirectory: C:\Program Files\SystemNanoPacks
HKLM-x32\...\Run: [JServicesManager] => C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.ex
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
S3 NanoServicePackUpdate64; C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe [594432 2018-07-22] (SystemNanoPacks) [Brak podpisu cyfrowego]
C:\Users\Jarecki\Downloads\zszlpmtzze.txt
C:\Users\Jarecki\Downloads\xnhhuikxjnhpy.txt
C:\Users\Jarecki\Downloads\wrsjnjfkzmxubl.txt
C:\WINDOWS\System32\Tasks\NanoPackUpdate_6.0.1
RemoveDirectory: C:\ProgramData\SystemNanoPacks
Nano Service Pack (HKLM\...\{46100BDA-DC4C-4B20-BD54-33095057AEC5}) (Version: 6.0.1 - SystemNanoPacks) Hidden
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{46100BDA-DC4C-4B20-BD54-33095057AEC5}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{46100BDA-DC4C-4B20-BD54-33095057AEC5}
Task: {213DE322-1DD2-4808-9BCB-301F6DE8CDCF} - System32\Tasks\AppLoaderHelpers => C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe [2018-07-17] ()
Task: {2D51B051-B6CF-46FF-B2AF-B1E262F12AD0} - \NanoPackTask -> Brak pliku <==== UWAGA
Task: {69B3F87F-4BE7-4F9D-AC45-FA4A3CE0C575} - System32\Tasks\NanoPackUpdate_6.0.1 => C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe [2018-07-22] (SystemNanoPacks)
Task: {D1EFBF58-758A-4A06-BDAF-C5757741FF03} - System32\Tasks\AppLoaderPM => C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe [2018-07-17] ()
HKLM\...\StartupApproved\Run: => "JServicesManager"
HKLM\...\StartupApproved\Run32: => "JServicesManager"
FirewallRules: [{2F086439-1CA9-4F42-9449-74BAD2AADEA8}] => (Allow) C:\WINDOWS\system32\rundll32.exe
FirewallRules: [{171A8328-DE18-4284-89C7-80C84EAA2F39}] => (Allow) C:\Windows\System32\rundll32.exe
FirewallRules: [{37ECBF41-BA07-447B-8691-A14A422EA113}] => (Allow) C:\Windows\System32\rundll32.exe
HOSTS:
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRA.W).

F

Re: Sprawdzenie logów FRST - virusy i reklamy

25 Lip 2018, 00:26

Fixlog: http://hostuje.net/file.php?id=d1b5b02858d9aa47947885859d9d97e4

Nowe FRST http://hostuje.net/file.php?id=f866452c68788598c0b9abddc69e6852
Nowe Addiction http://hostuje.net/file.php?id=2e66660f99d04380b4344c7932597957
Nowe Shortcut http://hostuje.net/file.php?id=b3ed32528f8c5b50629a80fd4d26c843

Pomogło nie pojawia mi się powiadomienie o riskaware, przeskanowałem malwarebytes też nic nie wykazało, więc jest chyba w porządku
Proszę jeszcze o zerknęcie w logach czy wszystko ok.

Wielkie dzięki!

Re: Sprawdzenie logów FRST - virusy i reklamy

25 Lip 2018, 08:12

W nowych logach nie widzę niczego podejrzanego.
.
Wyślij odpowiedź