Włamanie?

[helusek]

Więc ostatnio coś strasznie muli mi komputer i czasami odłącza mnie od sieci.

Skanuje COMODO i wlazło mi jakieś TrojWare.Win32.ExtenBro,wiem co to jest.

Patrzałem w logi i chyba jakiś delikwent sobie urządził prywatną sieć ze mną (?)

 

 

Specjalne przywileje przypisane dla nowego logowania:

  Nazwa użytkownika: USŁUGA SIECIOWA

  Domena: ZARZĄDZANIE NT

 

Tego sporo jest w logach.

I tak myślę jakim programem można pozbyć się tego gówna bo sam próbowałem  to naprawić i udało się ale jak widać nie do końca

 

[helusek]

Problem w tym że nie mam pojecia gdzie jest ten plik

[Janusz.]

Jaki plik? Masz zapisać to co Ci podałem do notatnika pod nazwą "fixlist.txt" a potem umieścić obok FRST.exe i kliknąć fix/napraw (w programie, oczywiście).

[helusek]

Wyłączyć skanowanie ?

To zaraz zrobie te skany i logi i zobacze co w tym linku jest podane.

Juz 2 inne Malware@ doszły

[helusek]

Nie wiem gdzie jest ten plik fixlog...

[rippex]

Ten plik w zasadzie powinien się pokazać po naprawię na pulpicie.

[Janusz.]

Skanowanie zostaw, po skanowaniu zrób to co napisałem post wyżej.

[helusek]

Moze to przez to że FRST był uruchamiany w piaskownicy przez Comodo wiec nie wiem czemu nie ma nawet tego na pulpicie ;/

[Janusz.]

Czemu uruchomiłeś to przez sanbox? Przecież nic się przez to nie wykona... Uruchom to normalnie, z prawami administratora i nie utrudniaj naprawy.

[helusek]

Dobra to logi wrzuce jutro prawdopodobnie bo to skanowanie troche potrwa.

[Jakub]

Podstawa podstaw, wykonaj logi FRST http://www.mpcforum.pl/topic/1364875-jak-wykona%C4%87-logi/?p=12866201#entry12866201.

[helusek]

Program Comodo automatycznie uruchomił to w piaskownicy ale nie mam pojęcia czemu,wyłącze Comodo i zrobie znowu to samo.

[Janusz.]

Jeśli wyłączenie nic nie pomoże to przez tryb awaryjny. COMODO jest bardzo inwazyjny i wielu rzeczy zabrania.

[helusek]

Nawet po odinstalowaniu nadal odłącza od neta na chwile.

[helusek]

@ref

[helusek]

Dobra musiałem w COMODO wyłaczyć aplikacje z piaskownicy i ją do zaufanych dodać i o to jest pliczek.

 

 

Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 18-09-2016
Uruchomiony przez lukasz (19-09-2016 19:22:48) Run:1
Uruchomiony z C:\Documents and Settings\lukasz\Pulpit\Nowy folder (2)
Załadowane profile: lukasz (Dostępne profile: lukasz & Administrator & Gość)
Tryb startu: Normal

==============================================

fixlist - zawartość:
*****************
Closeprocesses:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-20\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-21-1060284298-602609370-682003330-1004\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-19\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-21-1060284298-602609370-682003330-501\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKU\S-1-5-21-1060284298-602609370-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl
HKU\S-1-5-21-1060284298-602609370-682003330-501\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=130898439991718750&GUID=452386CD-90EF-08B1-1BD1-0DB7907DE04E
HKU\S-1-5-21-1060284298-602609370-682003330-501\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
URLSearchHook: [s-1-5-21-1060284298-602609370-682003330-500] UWAGA => Brak domyślnego URLSearchHook
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" <======= UWAGA
U3 AppMgmt; %SystemRoot%\System32\appmgmts.dll [X]
U4 HidServ; %SystemRoot%\System32\hidserv.dll [X]
C:\AdwCleaner
C:\Documents and Settings\lukasz\Dane aplikacji\appdataFr3.bin
C:\Documents and Settings\lukasz\Dane aplikacji\appdataFr25.bin


Task: C:\WINDOWS\Tasks\ASC8_PerformanceMonitor.job => C:\Program Files\IObit\Advanced SystemCare 8\Monitor.exe
Task: C:\WINDOWS\Tasks\Opera scheduled Autoupdate 1427995202.job =>
Task: C:\WINDOWS\Tasks\{398929EB-16FD-BD96-DBE7-EF2759723905}.job => C:\WINDOWS\system32\regsvr32.exeF /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\DANEAP~1\848363da\9c886112.dll <==== UWAGA
AlternateDataStreams: C:\Documents and Settings\lukasz\Moje dokumenty\FRST.exe:$CmdTcID [64]
AlternateDataStreams: C:\Documents and Settings\lukasz\Moje dokumenty\FRST.exe:$CmdZnID [26]
AlternateDataStreams: C:\Documents and Settings\lukasz\Moje dokumenty\[tobys.dk]MPH_Aimbot_Release_22.rar:$CmdZnID [26]
EmptyTemp:
*****************

Procesy zostały pomyślnie zamknięte.
"HKLM\SOFTWARE\Policies\Google" => klucz pomyślnie usunięto
"HKU\S-1-5-20\SOFTWARE\Policies\Google" => klucz pomyślnie usunięto
"HKU\S-1-5-21-1060284298-602609370-682003330-1004\SOFTWARE\Policies\Google" => klucz pomyślnie usunięto
"HKU\S-1-5-19\SOFTWARE\Policies\Google" => klucz pomyślnie usunięto
HKU\S-1-5-21-1060284298-602609370-682003330-501\SOFTWARE\Policies\Google => klucz nie znaleziono.
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => klucz pomyślnie usunięto
HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => Wartość pomyślnie przywrócono
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wartość pomyślnie przywrócono
HKU\S-1-5-21-1060284298-602609370-682003330-1004\Software\Microsoft\Internet Explorer\Main\\Start Page => Wartość pomyślnie przywrócono
HKU\S-1-5-21-1060284298-602609370-682003330-501\Software\Microsoft\Internet Explorer\Main\\Start Page => Błąd przy ustawianiu wartości.
HKU\S-1-5-21-1060284298-602609370-682003330-501\Software\Microsoft\Internet Explorer\Main\\Search Page => Błąd przy ustawianiu wartości.
HKLM\Software\Microsoft\Internet Explorer\URLSearchHooks\\ => Wartość pomyślnie usunięto
Nie można przywrócić Domyślne URLSearchHook.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\\Tabs => Wartość pomyślnie przywrócono
AppMgmt => serwis pomyślnie usunięto
HidServ => serwis pomyślnie usunięto
C:\AdwCleaner => pomyślnie przeniesiono
C:\Documents and Settings\lukasz\Dane aplikacji\appdataFr3.bin => pomyślnie przeniesiono
C:\Documents and Settings\lukasz\Dane aplikacji\appdataFr25.bin => pomyślnie przeniesiono
C:\WINDOWS\Tasks\ASC8_PerformanceMonitor.job => pomyślnie przeniesiono
C:\WINDOWS\Tasks\Opera scheduled Autoupdate 1427995202.job => pomyślnie przeniesiono
C:\WINDOWS\Tasks\{398929EB-16FD-BD96-DBE7-EF2759723905}.job => pomyślnie przeniesiono
"C:\Documents and Settings\lukasz\Moje dokumenty\FRST.exe" => ":$CmdTcID" ADS nie znaleziono.
C:\Documents and Settings\lukasz\Moje dokumenty\FRST.exe => ":$CmdZnID" ADS pomyślnie usunięto.
C:\Documents and Settings\lukasz\Moje dokumenty\[tobys.dk]MPH_Aimbot_Release_22.rar => ":$CmdZnID" ADS pomyślnie usunięto.

=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 334332 B
Java, Flash, Steam htmlcache => 26680886 B
Windows/system/dllcache/drivers => 12538529 B
Edge => 0 B
Chrome => 28463060 B
Firefox => 10274270 B
Opera => 470522741 B

Temp, IE cache, history, cookies, recent:
Default User => 66164 B
All Users => 0 B
systemprofile => 296848319 B
LocalService => 381094 B
NetworkService => 739 B
lukasz => 92103640 B
Administrator => 1306385 B
Gość => 398765592 B

RecycleBin => 4248459675 B
EmptyTemp: => 5.2 GB danych tymczasowych Usunięto.

================================


System wymagał restartu.

==== Koniec Fixlog 19:23:41 ====

 

[Janusz.]

Przeskanuj teraz system COMODO.

[helusek]

Pełne czy szybkie skanowanie ?

[Janusz.]

Pełne. Przed tym usuń jeszcze folder C:\FRST.

[helusek]

Dobra to potrwa około 2h. Powiesz dokładnie co powodowało te problemy u mnie? I po skanowaniu coś jeszcze zrobić?

[Janusz.]

Po skanowaniu zrobić nowe logi (wraz z addition) + z tematu który podał Ci Wolen pobrać FSS i zrobić nim skan. Wszystkie 3 logi dać w załączniku. Możesz dać jutro te logi.

[helusek]

@ref

 

Dokonczymy to co zostalo niedokonczone?

[helusek]

Dobra zrobie te skany i logi dam prawdopodobnie jutro,ale co mnie zastanawia to fakt że internet jakoś zdziczał i dziwne działa.

Czasem strony sie wcale nie ładują jakby mnie odłączało od internetu,tak jak pisałem na początku.

A np przedchwilą włączyłem CS'a dla testu i włączał mi się chyba 3 razy dłużej niż wcześniej,wchodze na serwer to tak samo 3 razy wolniej niż wcześniej...

Jakoś to dziwnie działa wszystko.

 

I jakoś od czasu do czasu pojawia się komunikat:

 

Połączenie lokalne

Kabel sieciowy jest odłączony 

I na chwile odłącza mnie od sieci,a po 5-10sekundach wraca do normy..

[helusek]

Okej a co jest powodem rozłączanego internetu na pare sekund ?

[Janusz.]

Tymczasowo odinstaluj SoftEther VPN i Comodo i zobacz jak bez tych programów będzie.

[helusek]

Przez Comodo to nei ma prawa być bo to wcześniej juz było. 

Odinstaluje tylko VPN'a