Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

oluniamm

Zainfekowany system - sprawdzenie logów

dodany przez oluniamm, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

oluniamm    0

oluniamm
Napisano

Witam,

próbowałam zalogować się do poczty (wp). Otrzymałam komunikat, że mam zmienić hasło, gdyż zostało prawdopodobnie przechwycone przez wirusa, znajdującego się na komputerze.

Po zalogowaniu w skrzynce odbiorczej miałam 10 nowych wiadomości o treści że wysyłanej przeze mnie wiadomości nie udało się dostarczyć. Tylko, że tych wiadomości nie wysyłałam, w ogóle nie logowałam się w tym czasie do poczty. A adresy odbiorców nie są mi znane, ponadto są zakończone ".de".

Proszę o pomoc.

LOGI:

Addition - https://wklejaj.pl/21869

FRST - https://wklejaj.pl/21870

Shortcut - https://wklejaj.pl/21872

GMER - https://wklejaj.pl/21871

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)

https://www.adlice.com/fr/telechargement-en-cours/ - bezpośredni link

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

 

2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

3) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

C:\Windows\Installer\{3e0b6121-b772-29b4-2c89-73cbe820125a}\@

C:\Windows\Installer\{3e0b6121-b772-29b4-2c89-73cbe820125a}

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

C:\Users\Olaa\AppData\Local\20986331705021ca58edc424.96250074

S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]

S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]

S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]

S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]

S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]

S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]

S2 pproupd; "C:\Program Files (x86)\Podatnik.info\PIT pro 2015\pproupd.exe" [X]

Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424 2016-05-11] (Microsoft Corporation) UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Winsock: Catalog5-x64 01 C:\Windows\system32\mswsock.dll [327168 2016-05-11] () UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Winsock: Catalog5-x64 07 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 01 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 02 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 03 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 04 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 05 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 06 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 07 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 08 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 09 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

Winsock: Catalog9-x64 10 C:\Windows\system32\mswsock.dll [327168 2016-05-11] ()

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

Task: {51B183A6-9E0B-4F44-B3F5-381F2D30E0E9} - System32\Tasks\{33096F23-38CF-4B6F-B2D6-778CC8BBBDF0} => C:\Windows\system32\pcalua.exe -a I:\SETUP.EXE -d I:\

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

2) Pobierz >>ESET ServicesRepair

Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

 

3) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

services.exe

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

4) Zrób nowe logi FRST.

 

5) Zrób nowy log FSS.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

C:\Windows\System32\services.exe

[2015-05-13 08:53][2015-04-13 04:28] 000329216 _____ (Microsoft Corporation) 8DEABCB1262170BC53FB22804548305A [brak podpisu cyfrowego]

Wygląda na to, że infekcja Zero Acces podmieniła ten plik Systemowy.

I nie widzę, by na Twoim dysku była kopia tego pliku.

 

Ściągnij mój plik stąd

https://www.mediafire.com/file/cw00bh8nru4ja1o/services.exe/file

i ulokuj go na C:\

 

2)

Replace: C:\services.exe C:\Windows\System32\services.exe

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]

"AutoStart"=""

EndRegedit:

C:\Users\Olaa\Favorites\GG dysk.lnk

C:\Users\Olaa\Links\GG dysk.lnk

C:\Users\Olaa\AppData\Roaming\Installer.dat

C:\Users\Olaa\AppData\Roaming\Microsoft\Done.dat

Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424 2016-05-11] (Microsoft Corporation) UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Winsock: Catalog5-x64 01 C:\Windows\system32\mswsock.dll [327168 2016-05-11] () UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

3) Zrób nowe logi FRST - już bez Shortcut.

 

4) Zrób nowy log FSS.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

"C:\services.exe" -> nie znaleziono => Nie można zamienić

Dlaczego FRST nie znalazł tam ściągniętego pliku?

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

zdjęcie pokazuje folder "system32", a nie bezpośrednio na dysku "C:\"

Więc w końcu gdzie wstawiłaś ten ściągnięty plik?

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Spróbujemy naprawić Twój błąd:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Replace: C:\Windows\System32\services(2).exe C:\Windows\System32\services.exe

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]

"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"

"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"

"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83

EndRegedit:

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FRST - bez Addition, i bez Shortcut.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Niestety, w taki sposób nie da się naprawić Twego błędu.

Jeszcze raz ściągnij plik

https://www.mediafire.com/file/cw00bh8nru4ja1o/services.exe/file

umieść go bezpośrednio na dysku "C".

Potem:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

Replace: C:\services.exe C:\Windows\System32\services.exe

Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [231424 2016-05-11] (Microsoft Corporation) UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Winsock: Catalog5-x64 01 C:\Windows\system32\mswsock.dll [327168 2016-05-11] () UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll"

Reboot:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FRST - bez Addition, i bez Shortcut.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

oluniamm    0

oluniamm
Napisano

Zrobiłam tak jak napisalas. Po użyciu Frst wymagany był restart komputera. Teraz nie chce się włączyć. Jest czarny ekran. Tylko myszka się wyświetla

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Odłącz na chwilę komputer od prądu, i potem znów spróbuj włączyć komputer.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

oluniamm    0

oluniamm
Napisano

Bez zmian. Pojawia się odzyskiwanie po błędzie systemu Windows, potem trwa uruchomianie Windows i dalej już czarny ekran z działającą myszka

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Sama jestem ciekawa, co się stało.

Trudno, co się stało, to się nie odstanie.

Przykro mi.

Sformatuj dysk i wgraj System od nowa.

 

A ja mam nauczkę na przyszłość, by zamiast usuwać infekcję Zero Acces, od razu doradzać formatowanie dysku.

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

A próbowałaś poprzez zaawansowane opcje rozruchu? Żeby je włączyć, F8 po uruchomieniu komputera. Tryb awaryjny też nie chce się uruchomić?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

oluniamm    0

oluniamm
Napisano

Tak próbowałam. Nic to nie daje. Po komunikacie trwa uruchamianie systemu (i wyświetleniu logo Windowsa) pojawia się czarny ekran. Kursor myszki działa, ale nic poza tym

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Możesz jeszcze spróbować:

F8 przed startem Systemu

wybierz: Tryb Awaryjny z wierszem polecenia

z klawiatury wpisz: C:\windows\system32\rstrui.exe

na klawiaturze wciśnij ENTER

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

oluniamm    0

oluniamm
Napisano

gdy uruchamiam Tryb Awaryjny z wierszem polecenia, ładują się pliki systemu, a później także czarny ekran.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

Korzystasz może z teamspeaka albo discorda? Chodzi o to żeby można było bezpośrednio porozmawiać bo może da się uniknąć wgrywania systemu od nowa.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • adashi
      Zmiany klimatyczne - globalne ocieplenie

      Przez adashi · Napisano

      Gdyby rozumiał co to oznacza, rozumiałby także, że masowe zalesienie spowodowałoby lokalnie wygładzenie zmian, pogodowych, a nie ich nasilenie. Nie, on najwyraźniej uważa, że od lasów wody przybywa. Ma niesłychanego niefarta, bo akurat ubywa.
    • leven
      pomoc w doborze wentylatora zasilacza.

      Przez leven · Napisano

      Poczekaj na wypowiedź Senda w sprawie ewentualnego terkotania w poziomie do góry nogami. Sickeflow nie terkocze, mam u siebie dwa na chłodnicy i można je używać w każdej dowolnej pozycji montażowej. Nie wiem tylko od jakiego napięcia kręci ten Sickeflow
    • Dirian
      Gamingowy zestaw z peryferiami do 10 000zł. Prośba o poradę.

      Przez Dirian · Napisano

      Zgadza się, w tej rozdzielczości większej różnicy nie będzie. Na upartego można wziąć tego Intela, źle nie będzie, ale zamykasz sobie pole do dalszej rozbudowy w przyszłosci - podstawka LGA 1700 jest już martwa, podczas gdy na AM5 jeszcze pewnie z 2-3 serie przynajmniej wyjdą.     Można też taniej na AM5, czyli zamiast 7800X3D dać Ryzen 7 7700 (~ 1100 zł). Wydajnościowo będzie bliżej i5-tki, za to taniej, a no i w twojej rozdziałce tak samo - bez wielkich różnic. Do tego 7700 jest chłodny, więc nawet Freezer 36 za 120 zł go schłodzi z powodzeniem. Pod 7800X3D już warto dać AIO, bo ta pamięć 3DV-Cache się mocno grzeje. I wtedy np za 2-3 lata sobie zmienić procka na lepszego.
    • glauks
      Off Polityczny

      Przez glauks · Napisano

      to "pokrycie" pieniądza dzisiaj jest trochę tajemnicze - co to w praktyce oznacza? to pojęcie pokrycia wzięło się z początków większego handlu w Europie, gdzieś z 14-15 wieku, kiedy powstały w większych miastach europejskich banki i tzw "banknoty", czyli dokładnie tłumacząc papierowe noty bankowe poświadczające złożenie w banku jakiegoś kruszcu, z reguły złota, w depozycie, o wartości odpowiadającej wartości tych wydanych not - wtedy pokrycie było dosłowne; wydane banknoty służyły do operacji handlowych zamiast złota, bo oczywiście handel, zwłaszcza na dalekich trasach, był wtedy b. ryzykowny i targanie ze sobą dużych ilości cennego kruszcu albo pieniądza z niego było obarczone zbyt dużym ryzykiem - nie trzeba chyba dodawać, że był to wielki postęp w handlu i przyczynił się decydująco do do rozwoju handlu i obrotu bankowego (zwłaszcza banków, bo złożone w depozycie złoto można było wykorzystać np do udzielenia pożyczek, też w papierach, nie kruszcu i inkasować z tego solidne procenty - tak chyba? powstała np fortuna Fuggerów); zresztą to chyba nie wynalazek europejski, bo niedawno czytałem, że np w Chinach, gdzie monetą zdawkową były pieniądze z miedzi a główną jednostką kruszcowy srebrny tael, powstało mnóstwo kantorów wymieniających te miedziane grosze na świstki papierowe z odpowiednim napisem, bo miedź jest ciężka i po prostu duża ilość tych drobniaków nawet obrywała kieszenie, dlatego papier powszechnie się przyjął - tutaj też oczywiście pokrycie jest dosłowne; nie muszę chyba dodawać, że kruszec czy w postaci sztabek,  czy wybitych monet był towarem jak każdy inny i jego stosunek do każdego innego towaru zależał od popytu i podaży, czyli był normalnym stosunkiem handlowym; jak np podaż kruszców po odkryciu Ameryki i uruchomieniu meksykańskich i boliwijskich kopalń srebra nagle gwałtownie się zwiększyła to wartość srebra spadła i ceny wszystkich towarów w nim wyrażone podskoczyły, co podobno spowodowało pierwsza większą inflację w Europie natomiast dzisiaj pieniędzy kruszcowych w dosłownym znaczeniu już praktycznie nie ma, bo tzw drobne to zupełny margines obrotu - zamiast prawdziwych pieniędzy mamy tzw "fiduciary money", czyli konwencjonalne pieniądze papierowe, których funkcjonowanie opiera się na zaufaniu (fiduciary od fiducia - zaufanie) do ich wydawcy, czyli państwa, bo wszędzie tylko państwo może je emitować - nie jestem znawcą historii finansów, ale to chyba dopiero 19 wiek, i to druga polowa, kiedy większość państw przechodziła na te konwencjonalne świstki - wiec co znaczy dziś "pokrycie" - może oznaczać tylko po 1- wymianę zużytych banknotów - nie zwiększa oczywiście ilości pieniędzy w obrocie, przynajmniej nie powinna, i 2 - dodruk pieniądza odpowiadający zwiększeniu się ilości towarów i wartości usług w obrocie gospodarczym - miernikiem jest chyba? prognoza wzrostu pkb, przy uwzględnieniu oczywiście inflacji, bo inflacja to dopust boży i nie da się jej wg obecnej wiedzy wyeliminować; jak wprowadza się te dodruki do obrotu - chyba przez pożyczki banku państwowego dla innych banków, które z kolei wprowadzają je do obrotu, itd?? - znaki zapytania, bo nie wiem, jaki jest dokładny mechanizm i jak to funkcjonuje; natomiast te nadmierne dodruki to chyba trochę mit, bo państwo by sobie samo strzelało w stopę napędzając inflację, itp - oczywiście wiem, że państwo dzisiaj zostało zawłaszczone przez prywatne kliki, tzw partie, więc w praktyce różnie z tym może być natomiast na pewno USA nie upadły po Nixonie i rezygnacji z parytetu złota, wprost przeciwnie - to po Nixonie np sama Kalifornia ma pkb przekraczające 2 biliony, więcej chyba niż np cała Rosja, więc informacje o agonii USA trochę przesadzone - w ogóle złoto to przesąd, który utrzymuje się wskutek wegetacji innych przedpotopowych przesądów jak np państwa narodowe, czy narodowo-plemienne, itp
    • Tomek1623
      pomoc w doborze wentylatora zasilacza.

      Przez Tomek1623 · Napisano

      3.7 V dostaje po uruchomieniu. Jeśli ten arctic F12 się nadaje, o którym mówi kolega wyżej, to biorę.

  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...