TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.  [X]

Wirus/trojan? Prosze o analizę logu HijackThis

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na stronie http://www.wklej.eu/ a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z serwisu oferującego hosting zdjęć http://www.otofotki.pl/
10. Regulamin może ulec zmianie.

Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez asiasz75 » 12 Lut 2017, 15:51

PostUA: Mozilla/5.0 (Windows NT 6.0; rv:51.0) Gecko/20100101 Firefox/51.0


Witam,

od jakiegoś czasu mój komputer bardzo wolno działa. Co gorsza na dysku C: zaczeły pojawiac się katalogi o dziwnych nazwach np."21fd894936ff8bc32642", których oczywiście nie można usunąć. :-(
Podejrzewam jakiegoś wirusa/trojana. Skan darmowymi Avast! oraz Kaspersky Scan nie zgłaszają żadnego zagrożenia.

Aktualny log HijackThis
http://wklej.eu/index.php?id=7ede73efe6

Proszę o pomoc i z góry serdecznie dziękuję!
:-)

Pozdrawiam
Asia
Ostatnio edytowany przez asiasz75, 12 Lut 2017, 17:55, edytowano w sumie 1 raz
asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Re: Wirus/trojan? Prosze o analiza logu HijackThis

Postprzez asiasz75 » 12 Lut 2017, 15:57

PostUA: Mozilla/5.0 (Windows NT 6.0; rv:51.0) Gecko/20100101 Firefox/51.0


Zapomniałam dodać, że jakiś tydzien temu przestał mi również działać dzwięk na tym zarażonym(?) kompie :(
asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez mateo8898 » 12 Lut 2017, 21:14

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0


Image
Image
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15364
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 964

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez asiasz75 » 13 Lut 2017, 16:35

PostUA: Mozilla/5.0 (Windows NT 6.0; rv:51.0) Gecko/20100101 Firefox/51.0


asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez mateo8898 » 13 Lut 2017, 21:27

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0


Czysto, kosmetycznie wklej do notatnika:
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [ISUSScheduler] => C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-08-11] (Macrovision Corporation)
HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [41056 2013-05-08] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-1578622189-3963322001-3172674150-1000\...\Run: [ISUSPM Startup] => C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe [249856 2005-08-11] (Macrovision Corporation)
HKU\S-1-5-21-1578622189-3963322001-3172674150-1000\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [845168 2013-11-06] (Samsung)
HKU\S-1-5-21-1578622189-3963322001-3172674150-1000\...\Run: [WMPNSCFG] => C:\Program Files\Windows Media Player\WMPNSCFG.exe [202240 2008-01-19] (Microsoft Corporation)
HKU\S-1-5-21-1578622189-3963322001-3172674150-1000\...\Run: [Power2GoExpress8] => NA
BHO: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File
Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
U1 eabfiltr; no ImagePath
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
S3 SymIM; system32\DRIVERS\SymIM.sys [X]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [X]
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.
Image
Image
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15364
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 964

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez asiasz75 » 15 Lut 2017, 17:57

PostUA: Mozilla/5.0 (Windows NT 6.0; rv:51.0) Gecko/20100101 Firefox/51.0


Zrobiłam fixlist.txt i po nim fixlog.txt : http://wklej.eu/index.php?id=39bb62fb2d
Nastepnie komputer sam się zrestartował i bardzo długo uruchamiał.
Potem nowe logi FRST:
Addition.txt: http://www.wklej.eu/index.php?id=54917b4f17
FRST.txt: http://www.wklej.eu/index.php?id=9291d32a1d
Shortcut.txt: http://www.wklej.eu/index.php?id=9d8804aae7

Niestety nadal mam na dysku folder c:\21fd894936ff8bc32642, którego nie można skasować .
Czy jest jakiś sposób aby sprawdzić jaki proces zarządza tym folderem plików?

Z góry dziękuje za pomoc.
asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez mateo8898 » 17 Lut 2017, 17:25

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0


Wklej do notatnika:
C:\21fd894936ff8bc32642

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.


Autor postu otrzymał pochwałę
Image
Image
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15364
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 964

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez asiasz75 » 18 Lut 2017, 12:00

PostUA: Mozilla/5.0 (Windows NT 6.0; rv:51.0) Gecko/20100101 Firefox/51.0


Folder usunięty, bardzo dziękuję!!!! :-)

A tu log z FRST fixlog.txt: http://wklej.eu/index.php?id=7a2b18269d
asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez mateo8898 » 18 Lut 2017, 21:33

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0


Kroki końcowe, wklej do notatnika:
DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)
Image
Image
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15364
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 964

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez asiasz75 » 20 Lut 2017, 11:08

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36


Komputer na którym dokonywane były te naprawy już działa ok. Natomiast widzę, że dokładnie te same problemy zaczęły się na moich dwóch pozostałych komputerach: w pracy oraz na nowym laptopie.
Oczywiście podejrzenie (99,9% pewności co do źródła problemu) pada na PenDrive.
Avast nie widzi problemu, ani na PenDrivie ani na żadnym z komputerów.
Proszę o podpowiedź jak zdiagnozować i usunąć problem z PenDrive'a.
A logi z obu komputerów też pozwolę sobie zaraz wrzucić.
Jeszcze raz dziękuję za pomoc.

PS: Jaki anty-wir stosować aby uniknąć takich problemów. Jak widać Avast nie chroni dostatecznie niestety :(
asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez asiasz75 » 20 Lut 2017, 11:24

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36


Logi z dodatkowych komputerów z problemem:
1. Komputer stacjonarny:
FRST:
Addition.txt: http://wklej.eu/index.php?id=48b9b220c1
Shotcut.txt: http://wklej.eu/index.php?id=00e2610e7d
FRST.txt: http://wklej.eu/index.php?id=1a19e78284
asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez mateo8898 » 21 Lut 2017, 11:27

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0


Odinstaluj Windows Searchqu Toolbar

Z podłączonym pendrive`m użyj UsbFix z opcji Clean i podaj utworzony log.
Image
Image
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15364
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 964

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez asiasz75 » 21 Lut 2017, 18:14

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36


Ok, usuniecie Windows Searchqu Toolbar umożliwiło usuniecie tego dziwnego foleru.
UsbFix uruchamiałam 2 razy, log za pierwszym uruchomieniem: http://wklej.eu/index.php?id=f458768776
Po kolejnym powstał tak duży log, że nie nie mieści się w formularzu wklej.eu. :( : http://kpisk.am.gdynia.pl/asiasz/priv/UsbFix2.txt
asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez mateo8898 » 24 Lut 2017, 21:00

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0


Pendrive jest w porządku.

Wklej do notatnika:
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)
HKLM-x32\...\Run: [ISUSScheduler] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-08-11] (Macrovision Corporation)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKLM-x32\...\Run: [] => [X]
SearchScopes: HKLM -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} URL = hxxp://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} URL = hxxp://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} URL = hxxp://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} URL = hxxp://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\g5lrkm65.default -> Searchqu Web Search
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\g5lrkm65.default -> Searchqu Web Search
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\g5lrkm65.default -> Searchqu Web Search
FF Keyword.URL: Mozilla\Firefox\Profiles\g5lrkm65.default -> hxxp://www.searchqu.com/web?src=ffb&appid=0&systemid=421&sr=0&q=
CHR Plugin: (Widevine Content Decryption Module) - C:\Users\JSz\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.2.464\_platform_specific\win_x86\widevinecdmadapter.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\pdf.dll => No File
CHR Plugin: (Google Earth Plugin) - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_13_0_0_206.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.90.5) - C:\Windows\SysWOW64\npDeployJava1.dll => No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\5.1.20913.0\npctrl.dll => No File
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.
Image
Image
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15364
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 964

Re: Wirus/trojan? Prosze o analizę logu HijackThis

Postprzez asiasz75 » 27 Lut 2017, 11:18

PostUA: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36


asiasz75
Forumowicz
Forumowicz
 
Posty: 10
Dołączenie: 12 Lut 2017, 15:45

Następna

Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Bing [Bot], Google [Bot], Majestic-12 [Bot]