Skocz do zawartości
Zamknięcie Forum PC LAB

Szanowny Użytkowniku,

Informujemy, że za 30 dni tj. 30 listopada 2024 r. serwis internetowy Forum PC LAB zostanie zamknięty.

Administrator Serwisu Forum PC LAB - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie: wypowiada całość usług Serwisu Forum PC LAB z zachowaniem miesięcznego okresu wypowiedzenia.

Administrator Serwisu Forum PC LAB informuje, że:

  1. Z dniem 29 listopada 2024 r. zakończy się świadczenie wszystkich usług Serwisu Forum PC LAB. Ważną przyczyną uzasadniającą wypowiedzenie jest zamknięcie Serwisu Forum PC LAB
  2. Dotychczas zamowione przez Użytkownika usługi Serwisu Forum PC LAB będą świadczone w okresie wypowiedzenia tj. do dnia 29 listopada 2024 r.
  3. Po ogłoszeniu zamknięcia Serwisu Forum od dnia 30 października 2024 r. zakładanie nowych kont w serwisie Forum PC LAB nie będzie możliwe
  4. Wraz z zamknięciem Serwisu Forum PC LAB, tj. dnia 29 listopada 2024 r. nie będzie już dostępny katalog treści Forum PC LAB. Do tego czasu Użytkownicy Forum PC LAB mają dostęp do swoich treści w zakładce "Profil", gdzie mają możliwość ich skopiowania lub archiwizowania w formie screenshotów.
  5. Administrator danych osobowych Użytkowników - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie zapewnia realizację praw podmiotów danych osobowych przez cały okres świadczenia usług Serwisu Forum PC LAB. Szczegółowe informacje znajdziesz w Polityce Prywatności

Administrator informuje, iż wraz z zamknięciem Serwisu Forum PC LAB, dane osobowe Użytkowników Serwisu Forum PC LAB zostaną trwale usunięte ze względu na brak podstawy ich dalszego przetwarzania. Proces trwałego usuwania danych z kopii zapasowych może przekroczyć termin zamknięcia Forum PC LAB o kilka miesięcy. Wyjątek może stanowić przetwarzanie danych użytkownika do czasu zakończenia toczących się postepowań.

Czysta z sokiem pomidorowy

Trojan w svchost.exe

dodany przez Czysta z sokiem pomidorowy, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

AndrzejTrg    5752

AndrzejTrg
Napisano

Najpierw zrób logi jak człowiek i je wklej, a później czekaj cierpliwie.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

AndrzejTrg    5752

AndrzejTrg
Napisano

No to teraz czekaj na kogoś życzliwego, aż Ci pomoże. Ale za avatara dodaje do ignorów.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Czysta z sokiem pomidorowy    1

Czysta z sokiem pomidorowy
Napisano (edytowane)

Dodam do tematu, że skanowałem już adwcleanerem, malwarebyte'sem, esetem, dr. web cureit oraz tdsskillerem. Jakieś drobnostki 2 pierwsze znalazły a teraz cisza. Tylko i wyłącznie malwarebytes blokuje te IP. 

Zainstalowałem przed chwilą na 2 komputerze (laptopie) Malwarebytes, i również blokuje wyżej wymieniony adres IP.

Edytowane przez ThaZu

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)

Zaraz przejrze logi...

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

Cytat

CloseProcesses:
CustomCLSID: HKU\S-1-5-21-1205832287-3246842020-842888677-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Krystian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\33851482c281a455\Watch2Gether.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory=Default --app-id=cimpffimgeipdhnhjohpbehjkcdpjolg
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [658]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [658]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [658]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [658]
AlternateDataStreams: C:\Users\Krystian\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:6699d3ee8dd9cf775caae782c8f44f03 [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:b2471a6db8deb9681d22d6d26ae65e4b [394]
AlternateDataStreams: C:\Users\Krystian\Application Data:NT [40]
AlternateDataStreams: C:\Users\Krystian\Application Data:NT2 [658]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:6699d3ee8dd9cf775caae782c8f44f03 [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:b2471a6db8deb9681d22d6d26ae65e4b [394]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Krystian\AppData\Roaming:NT2 [658]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
HKLM-x32\...\Run: [] => [X]
AppInit_DLLs: prio.dll => Brak pliku
AppInit_DLLs-x32: prio32.dll => Brak pliku
Startup: C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk [2020-05-23]
ShortcutTarget: IMVU.lnk -> C:\Users\Krystian\AppData\Roaming\IMVUClient\IMVUQualityAgent.exe (Brak pliku)
S3 VBAudioVACMME; \SystemRoot\System32\drivers\vbaudio_cable64_win7.sys [X]
S3 VBAudioVMAUXVAIOMME; \SystemRoot\System32\drivers\vbaudio_vmauxvaio64_win10.sys [X]
S3 VBAudioVMVAIOMME; \SystemRoot\System32\drivers\vbaudio_vmvaio64_win10.sys [X]
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

I tak jak pisał przedmówca, w ustawieniach sieciowych jest ustawiony szkodliwy (mołdawski) serwer DNS tzn. 45.142.212.33. Wejdź w ustawienia karty sieciowej i zmień ten adres na 8.8.4.4 skoro drugi jest 8.8.8.8 (Google Public DNS).

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Czysta z sokiem pomidorowy    1

Czysta z sokiem pomidorowy
Napisano (edytowane)

Ok zrobiłem to co napisałeś, logi zamieszczam niżej. Rzeczywiście w routerze siedział ten DNS, również go zmieniłem chyba pomogło. Wielkie dzięki za pomoc, jesteś wielki! Jeszcze takie małe pytanko, w czym to mogło mi zagrozić? Bo chyba od dłuższego czasu tak siedziało...

 

Edytowane przez ThaZu

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)
11 godzin temu, ThaZu napisał:

Jeszcze takie małe pytanko, w czym to mogło mi zagrozić? Bo chyba od dłuższego czasu tak siedziało...

Szkodliwy DNS  na routerze uniemożliwia normalne korzystanie z sieci (na wszystkich urządzeniach korzystających z tego routera) poprzez blokowanie połączeń wychodzących z tego adresu (jak widać na przykładzie malwarebytes). Więc nie jest to typowa infekcja ingerująca w system, tzn. taka która powoduje nadmierne użycie zasobów komputera, czy w skrajnym przypadku niemożność korzystania z systemu. Czyli to jest taka "infekcja routera" a nie systemowa. Poza tym nieprawidłowym DNS-em w routerze nie było nic szkodliwego w logach, w sensie infekcji.

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się

Komentowanie zawartości tej strony możliwe jest po zalogowaniu



Zaloguj się
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...