Kolejne LOGI

[mity4]

posiadam wirusa
win32.exe

logi
+ jak mozecie to powiedzcie czy cos powaznego jeszcze tam siedzi. prosze o dokładne sprawdzenie

za 1 min wstawie logi

-- 16 lip 2014, 22:40 --

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Masz co najmniej dwie infekcje, w tym infekcję MSIL/Injector.CPM, która nakłada Debugger blokujący skanery i Przywracanie systemu, zmienia uprawnienia obiektów do których uzyskuje się dostęp, wyłącza Harmonogram zadań.
Infekcja teoretycznie daje się łatwo usunąć, ale to tylko pozory, bo jedynym efektem usuwania jest to, że w nowych logach nie będzie widać żadnych wpisów tej infekcji, choć w rzeczywistości one będą, tyle że zablokowane przed wykryciem.

Ściągnij FRST http://forum.hotfix.pl/bezpieczenstwo/korzystanie-z-frst-t28530.html

Otwórz Notatnik i wklej w nim:

IFEO\AvastSvc.exe: [Debugger] nqij.exe
IFEO\AvastUI.exe: [Debugger] nqij.exe
IFEO\avcenter.exe: [Debugger] nqij.exe
IFEO\avconfig.exe: [Debugger] nqij.exe
IFEO\avgnt.exe: [Debugger] nqij.exe
IFEO\avgrsx.exe: [Debugger] nqij.exe
IFEO\avguard.exe: [Debugger] nqij.exe
IFEO\avp.exe: [Debugger] nqij.exe
IFEO\avscan.exe: [Debugger] nqij.exe
IFEO\bdagent.exe: [Debugger] nqij.exe
IFEO\blindman.exe: [Debugger] nqij.exe
IFEO\ccuac.exe: [Debugger] nqij.exe
IFEO\ComboFix.exe: [Debugger] nqij.exe
IFEO\egui.exe: [Debugger] nqij.exe
IFEO\hijackthis.exe: [Debugger] nqij.exe
IFEO\instup.exe: [Debugger] nqij.exe
IFEO\keyscrambler.exe: [Debugger] nqij.exe
IFEO\mbam.exe: [Debugger] nqij.exe
IFEO\mbamgui.exe: [Debugger] nqij.exe
IFEO\mbampt.exe: [Debugger] nqij.exe
IFEO\mbamscheduler.exe: [Debugger] nqij.exe
IFEO\mbamservice.exe: [Debugger] nqij.exe
IFEO\MpCmdRun.exe: [Debugger] nqij.exe
IFEO\MSASCui.exe: [Debugger] nqij.exe
IFEO\MsMpEng.exe: [Debugger] nqij.exe
IFEO\msseces.exe: [Debugger] nqij.exe
IFEO\rstrui.exe: [Debugger] nqij.exe
IFEO\SDFiles.exe: [Debugger] nqij.exe
IFEO\SDMain.exe: [Debugger] nqij.exe
IFEO\SDWinSec.exe: [Debugger] nqij.exe
IFEO\spybotsd.exe: [Debugger] nqij.exe
IFEO\wireshark.exe: [Debugger] nqij.exe
IFEO\zlclient.exe: [Debugger] nqij.exe
Reg: reg query "HKCU\Software\Microsoft\Windows Script" /s
Reg: reg query "HKCU\Software\Microsoft\Windows Script Host" /s
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule
C:\Users\Łukasz\AppData\Roaming\msconfig.ini
C:\Windows\SysWOW64\Windows Services\win32.exe
C:\Windows\SysWow64\Windows Services
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

Zrób logi z FRST.

F.

[mity4]

po zrobieniu FIXA wywaliło BSODa
jednak powstał plik LOG
od wczoraj borykalem sie z tym problemem
Dostępne tylko dla zarejestrowanych użytkowników
jest to antimalware i jego instalacja
wczoraj jednek nie ruszalo z instalacja kiedy było 0% wywalało błąd dziś juz przy około
30% wywala to
Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

czy to miałem wysłac:
first.txt -http://wklej.eu/index.php?id=c5019c0b3a
addition.txt- Dostępne tylko dla zarejestrowanych użytkowników

moje pytanie czy da sie to naprawic ? tego malware i ogólnie PC

-- 17 lip 2014, 16:19 --

sprawdz jeszcze ten program który mam w menadżerze dllhost.exe OPIS com surrogate

[filutka78]

po zrobieniu FIXA wywaliło BSODa

W logu widzę, ze BSOD'y miałeś juz tez wczesniej, wiec to nie ma zadnego zwiazku z usuwaniem, (to sprawa sterowników/sprzetowa).

Te wszystkie błędy, jakie teraz będą się pojawiać są spowodowane przez infekcję (albo blokada, albo zmiana uprawnień).

Ciężko to będzie naprawić, ale trzeba przynajmniej spróbować.

1) Otwórz Notatnik i wklej w nim:

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbam.exe
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbamgui.exe
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbampt.exe
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbamscheduler.exe
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbamservice.exe
Task: {41AFF5ED-283F-4915-8211-9DDDCB014C2B} - \SaveSenseLiveUpdateTaskMachineUA No Task File <==== ATTENTION
Task: {44DF30EB-FD6D-4D4C-A227-9B2FF89F4F55} - \bench-Updater removing No Task File <==== ATTENTION
Task: {5AE3026C-2FF8-4886-BA71-1D5174A6F098} - \SaveSenseLiveUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {6588ACC4-25B7-40DC-8A6A-6D3BE6A5F886} - \bench-sys No Task File <==== ATTENTION
Task: {C08EAEC9-484D-4157-BF70-166893E1CA8D} - \SaveSense No Task File <==== ATTENTION
Task: {EBB0E7FC-784E-425B-BD1E-044FDCCDCD7A} - \AmiUpdXp No Task File <==== ATTENTION
HKU\S-1-5-21-2652757564-2263176674-1634755116-1000\...\Winlogon: [Shell] explorer.exe,"C:\Windows\SysWOW64\Windows Services\win32.exe" <==== ATTENTION
IFEO\avcenter.exe: [Debugger] nqij.exe
IFEO\avconfig.exe: [Debugger] nqij.exe
IFEO\avgcsrvx.exe: [Debugger] nqij.exe
IFEO\avgidsagent.exe: [Debugger] nqij.exe
IFEO\avgnt.exe: [Debugger] nqij.exe
IFEO\avgrsx.exe: [Debugger] nqij.exe
IFEO\avguard.exe: [Debugger] nqij.exe
IFEO\avgui.exe: [Debugger] nqij.exe
IFEO\avgwdsvc.exe: [Debugger] nqij.exe
IFEO\avp.exe: [Debugger] nqij.exe
IFEO\avscan.exe: [Debugger] nqij.exe
IFEO\bdagent.exe: [Debugger] nqij.exe
IFEO\blindman.exe: [Debugger] nqij.exe
IFEO\ccuac.exe: [Debugger] nqij.exe
IFEO\ComboFix.exe: [Debugger] nqij.exe
IFEO\egui.exe: [Debugger] nqij.exe
IFEO\hijackthis.exe: [Debugger] nqij.exe
IFEO\keyscrambler.exe: [Debugger] nqij.exe
IFEO\mbam.exe: [Debugger] nqij.exe
IFEO\mbamgui.exe: [Debugger] nqij.exe
IFEO\mbampt.exe: [Debugger] nqij.exe
IFEO\mbamscheduler.exe: [Debugger] nqij.exe
IFEO\mbamservice.exe: [Debugger] nqij.exe
IFEO\MpCmdRun.exe: [Debugger] nqij.exe
IFEO\MSASCui.exe: [Debugger] nqij.exe
IFEO\MsMpEng.exe: [Debugger] nqij.exe
IFEO\msseces.exe: [Debugger] nqij.exe
IFEO\rstrui.exe: [Debugger] nqij.exe
IFEO\SDFiles.exe: [Debugger] nqij.exe
IFEO\SDMain.exe: [Debugger] nqij.exe
IFEO\SDWinSec.exe: [Debugger] nqij.exe
IFEO\spybotsd.exe: [Debugger] nqij.exe
IFEO\wireshark.exe: [Debugger] nqij.exe
IFEO\zlclient.exe: [Debugger] nqij.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S4 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S4 LMIInfo; \??\D:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X]
S4 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Windows\SysWOW64\AI_RecycleBin
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

2) Zrób nowe logi z FRST.

3) Uruchom Dostępne tylko dla zarejestrowanych użytkowników i w oknie wklej:

C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware\rules.ref
C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware

Zastosuj opcję Unlock.

4) Sprawdź, co jeszcze nie działa.

F.

[mity4]

nwm czemu jakby usuneło mi sie bloody5 jest to program do myszki al to zainstaluje jeszcze raz wiec spoko

a te BSOD to przez wirusy bo jak wyłączałem kiedys w menadżerze to tez mi wywaliło sprawdziłem kod i było to przez wyrusa.

-- 17 lip 2014, 17:57 --

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Otwórz Notatnik i wklej w nim:

Task: {F3235278-4E72-4337-BAF4-05B398AB9D30} - \Driver Booster Update No Task File <==== ATTENTION
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

Do Grant Perms wklej:

C:\Users\Łukasz\Downloads\mbam-setup-2.0.2.1012.exe
C:\Users\Łukasz\Downloads\Malwarebytes-AntiMalware(13117).exe

Zastosuj opcję Unlock.

Napisz, czy to pomogło?

Jaka sytuacja z innymi programami?

F.

[mity4]

z innymi programami OK
potem to zrobie bo teraz ogladam film jeszcze pare min.
a czy teraz coś posiadam jakieś wirusy czy cos ?

-- 17 lip 2014, 19:43 --

nwm jak bedzie zachowywal sie avast wczesniej skanowalem i wykrył 2 wirusy ale tego co mialem to nie wywalił pokazywał ze te pliki co mi wadziły są czyste.

-- 17 lip 2014, 19:44 --

ake przy pobierraniu czegos wywalało wirusy na sronie pisali ze są ale niegroźne jednak ktos tu chciał oszukac ;p

[filutka78]

czy teraz coś posiadam jakieś wirusy czy cos ?

W logach nie widzę żadnej infekcji.

F.

[mity4]

nadal to samo co do anti malware moze pobranie nowej wersji pomoze ?

-- 17 lip 2014, 22:44 --

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 15-07-2014 01
Ran by Łukasz at 2014-07-17 22:40:49 Run:2
Running from C:\Users\Łukasz\Desktop\FRST
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
Task: {F3235278-4E72-4337-BAF4-05B398AB9D30} - \Driver Booster Update No Task File <==== ATTENTION
Reboot:
*****************

'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F3235278-4E72-4337-BAF4-05B398AB9D30}' => Key deleted successfully.
'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F3235278-4E72-4337-BAF4-05B398AB9D30}' => Key deleted successfully.
'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Update' => Key deleted successfully.


The system needed a reboot.

==== End of Fixlog ====

-- 17 lip 2014, 22:50 --

a moze by cos innego ściągnął darmowego bo pewnie nie zablokowało
a czy avast który posiadam nie jest teraz poblokowany ?

[filutka78]

Otwórz Notatnik i wklej w nim:

C:\Users\Łukasz\Downloads\mbam-setup-2.0.2.1012.exe
C:\Users\Łukasz\Downloads\Malwarebytes-AntiMalware(13117).exe
C:\ProgramData\Malwarebytes
C:\Program Files\Malwarebytes
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

Spróbuj ściągnąć i zainstalować od nowa MBAM, ale wybieraj jakieś inne foldery docelowe przy ściąganiu i instalacji.

a czy avast który posiadam nie jest teraz poblokowany ?

To chyba Ty lepiej wiesz, bo możesz to sprawdzić.

F.

[mity4]

jeszcze pytanie czy system po takim czyms działa poprawnie ?
chodzi mi o przywracanie systemu dziennik zdarzen ITP
to co blokował ten wir czy juz jest wszytko OK ?
co do antywira to dziś postaram sie zainstalowac tego malware

[filutka78]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1

Z logu Extras.txt wynika, że "Przywracanie Systemu" masz wyłączone.
Nie wiem natomiast, czy to infekcja wyłączyła, czy Ty sam wyłączyłeś kiedyś?

F.

[mity4]

ja zawsze miałem włączone teraz zrobiłem sobie punk przywracania powinno byc z nim wszystko OK ta ?
skanowałem AVASTEM przy starcie
wykazało parę zakażeń przez
win32 pup-gen
MSIL agent-caj
java malware-gen
oraz plik z CSem pokazało jako bombę dekompresyjną czy coś takiego
czy to poważne zagrożenia ?

-- 27 lip 2014, 12:42 --

Dziękuje bardzo !
filutka78
jesteś WIELKA
wszytko dizała instalacja MAM przeprowadzona pomyślnie
dzieki ! jeszcze raz ! ;p