Bardzo proszę o sprawdzenie stanu komputera

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
teli

Użytkownik
Posty: 5
Rejestracja: 10 kwie 2016, 01:08

Bardzo proszę o sprawdzenie stanu komputera

Post10 kwie 2016, 09:15

Witam serdecznie.
Dzisiaj po uruchomieniu komputera zaczęły pojawiać się dziwne objawy, zaczął wywalać błędy cmd.exe błędny obraz, analogiczne Mozilla. Do tego strasznie "zamula".

Prośba o sprawdzenie logów i ewentualną pomoc

FRST: Dostępne tylko dla zarejestrowanych użytkowników
ADDI: Dostępne tylko dla zarejestrowanych użytkowników
SHORT: Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuję,
Grzegorz.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Bardzo proszę o sprawdzenie stanu komputera

Post10 kwie 2016, 10:02

1. Odinstaluj: SafeFinder

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Po tych wszystkich operacjach nowy komplet logów z FRST do kontroli.

teli

Użytkownik
Posty: 5
Rejestracja: 10 kwie 2016, 01:08

Bardzo proszę o sprawdzenie stanu komputera

Post10 kwie 2016, 20:15

Dziękuję
Poniżej logi - program adwcleaner znałem wcześniej i samodzielnie zrobiłem wczoraj skanowanie, zamieszczam pierwszy(wczorajszy) i drugi log.

wczorajszy: Dostępne tylko dla zarejestrowanych użytkowników
dzisiejszy: Dostępne tylko dla zarejestrowanych użytkowników

log JRT: Dostępne tylko dla zarejestrowanych użytkowników

logi FRST:
ADD: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników
SHORT: Dostępne tylko dla zarejestrowanych użytkowników

Niestety nie chce odinstalować się SafeFinder - w ogóle nie reaguje!

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Bardzo proszę o sprawdzenie stanu komputera

Post11 kwie 2016, 10:37

1. Otwórz notatnik i wklej:
CloseProcesses:
S2 Graveair; C:\ProgramData\\Graveair\\Graveair.exe [1145856 2016-04-04] () [Brak podpisu cyfrowego]
C:\ProgramData\\Graveair
Toolbar: HKU\S-1-5-21-3724246230-1224106037-1076748874-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
Toolbar: HKU\S-1-5-21-3724246230-1224106037-1076748874-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
HKU\S-1-5-21-3724246230-1224106037-1076748874-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID= ... 0000000000
SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-3724246230-1224106037-1076748874-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo
AppInit_DLLs: C:\ProgramData\Graveair\Strongstrong.dll => C:\ProgramData\Graveair\Strongstrong.dll [363520 2016-04-04] ()
AppInit_DLLs-x32: C:\ProgramData\Graveair\Bioit.dll => C:\ProgramData\Graveair\Bioit.dll [257536 2016-04-04] ()
C:\ProgramData\Graveair
2016-04-04 21:16 - 2016-04-04 21:16 - 00000000 ____D C:\Users\grzesiek\AppData\Roaming\dlg
2016-04-04 21:14 - 2016-04-10 01:37 - 00000000 ____D C:\ProgramData\Graveair
2016-04-04 21:14 - 2016-04-04 21:14 - 06504960 _____ C:\Users\grzesiek\AppData\Roaming\agent.dat
2016-04-04 21:14 - 2016-04-04 21:14 - 01626416 _____ C:\Users\grzesiek\AppData\Roaming\Doublecanstock.tst
2016-04-04 21:14 - 2016-04-04 21:14 - 01145856 _____ C:\Users\grzesiek\AppData\Roaming\Opeair.exe
2016-04-04 21:14 - 2016-04-04 21:14 - 01145856 _____ C:\Users\grzesiek\AppData\Roaming\Doublecanstock.exe
2016-04-04 21:14 - 2016-04-04 21:14 - 00246932 _____ C:\Users\grzesiek\AppData\Roaming\inst.lat
2016-04-04 21:14 - 2016-04-04 21:14 - 00127488 _____ C:\Users\grzesiek\AppData\Roaming\Installer.dat
2016-04-04 21:14 - 2016-04-04 21:14 - 00126464 _____ C:\Users\grzesiek\AppData\Roaming\noah.dat
2016-04-04 21:14 - 2016-04-04 21:14 - 00126464 _____ C:\Users\grzesiek\AppData\Roaming\lobby.dat
2016-04-04 21:14 - 2016-04-04 21:14 - 00072699 _____ C:\Users\grzesiek\AppData\Roaming\Opeair.tst
2016-04-04 21:14 - 2016-04-04 21:14 - 00065424 _____ C:\Users\grzesiek\AppData\Roaming\Config.xml
2016-04-04 21:14 - 2016-04-04 21:14 - 00054272 _____ C:\Users\grzesiek\AppData\Roaming\ApplicationHosting.dat
2016-04-04 21:14 - 2016-04-04 21:14 - 00018432 _____ C:\Users\grzesiek\AppData\Roaming\Main.dat
2016-04-04 21:14 - 2016-04-04 21:14 - 00015888 _____ C:\Users\grzesiek\AppData\Roaming\InstallationConfiguration.xml
2016-04-04 21:14 - 2016-04-04 21:14 - 00005568 _____ C:\Users\grzesiek\AppData\Roaming\md.xml
2016-04-04 21:14 - 2016-04-04 21:14 - 00000000 ____D C:\Users\grzesiek\AppData\Roaming\Opera Software
2016-04-04 21:14 - 2016-04-04 21:14 - 00000000 ____D C:\Users\grzesiek\AppData\Local\Opera Software
2016-04-04 21:14 - 2016-04-04 21:14 - 00000000 ____D C:\ProgramData\Graveairs
2016-04-04 21:13 - 2016-04-04 21:15 - 00000000 ____D C:\Program Files (x86)\Opera
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wykonaj i wklej nowe logi z FRST.

teli

Użytkownik
Posty: 5
Rejestracja: 10 kwie 2016, 01:08

Bardzo proszę o sprawdzenie stanu komputera

Post11 kwie 2016, 21:12

Dziękuję!!
Po restarcie działa jakby normalnie nie ma już komunikatów np. cmd.exe zły obraz, w sumie nie działa tylko przeglądarka firefox - nadal wyświetla komunikat firefox.exe zły obraz - czy mam ją od instalować?
Nie poradziłem sobie z odinstalowaniem safefinder - w ogóle nie reaguje na próby odinstalowania

Poniżej logi:

FRST: Dostępne tylko dla zarejestrowanych użytkowników
ADD: Dostępne tylko dla zarejestrowanych użytkowników
SHORT: Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Bardzo proszę o sprawdzenie stanu komputera

Post11 kwie 2016, 21:19

nadal wyświetla komunikat firefox.exe zły obraz - czy mam ją od instalować?

Po tej operacji zobacz czy będzie działał. Jeżeli dalej nie - odinstaluj i zainstaluj najnowszą wersje:

1. Otwórz notatnik i wklej:
Winsock: Catalog5 01 C:\Windows\SysWOW64\NLAapi.dll [52224 2014-12-06] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 02 C:\Windows\SysWOW64\napinsp.dll [52224 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll"
Winsock: Catalog5 03 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll"
Winsock: Catalog5 04 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll"
Winsock: Catalog5 05 C:\Windows\SysWOW64\mswsock.dll [231424 2016-01-02] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5 06 C:\Windows\SysWOW64\winrnr.dll [20992 2009-07-14] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll"
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\Users\grzesiek\AppData\Local\Mozilla
RemoveDirectory: C:\Users\grzesiek\AppData\Roaming\Mozilla
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Nie poradziłem sobie z odinstalowaniem safefinder - w ogóle nie reaguje na próby odinstalowania

Zostaw to w spokoju. Nie ma go już w systemie.

teli

Użytkownik
Posty: 5
Rejestracja: 10 kwie 2016, 01:08

Bardzo proszę o sprawdzenie stanu komputera

Post11 kwie 2016, 23:22

Wszystko działa!!

Dziękuję bardzo za pomoc

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Bardzo proszę o sprawdzenie stanu komputera

Post12 kwie 2016, 09:33

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Bardzo proszę o sprawdzenie stanu komputera

Post14 kwie 2016, 07:44

Usuń wszystko co wykrył MBAM i czysto.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 10 gości