Prawdopodobna infekcja prawie nowego komputera - logi czyste

(matrixxy) #1

Witam.
shortcut.txt - http://www.wklejto.pl/760378
addition.txt - http://www.wklejto.pl/760377
FRST.txt - http://www.wklejto.pl/760376

Komputer służy głownie do grania i mocniejszych prac, ma raptem 6 msc.
Problem zauważyłem grając w cs, raz na godzinę grania wysoki ping, wcześniej nie miałem taki objawów. Zacząłem szukać problemu, Malwarebytes nie znalazł wirusów zaś avg znalazł 8 z czego jeden był trojan. Po przeniesieniu do kwarantanny i resecie komputera, system padł. Związku że mam ważne dla mnie zdjęcia i filmy około (40gb) ie formatowałem dysków tylko przywróciłem system sprzed dwóch tygodni. Problemy są nadal, teraz bardziej nasilone. Niektóre programy się nie uruchamiają, długo się włącza komputer, różne artefakty dzieją się z skrótami ikonek.

Nie jestem w stanie raczej sam sobie poradzić z tym problemem więc proszę doświadczone osoby o pomoc w rozwiązaniu problemu.

(marcin20000) #2

“Znikające ikonki” & niestartujące programy to może być efekt Ransomware, tzn. szyfruje Ci pliki jpg i txt w których sa te dane trzymane. w takiej sytuacji komputer się wyłącza i ratuje z lve CD o ile można jeszcze. Pociesz się, ze gdyby to było to dzisiaj już byś miał pewnie komunikat o żądaniu 100 Bitcoinów za hasło. Pisze Ci, ze skoro masz tam tak ważne pliki, to do cholery rób kopie:slight_smile:

Osobiście doradzam jednak zostawić PC i poczekać na Juliusza, jeżeli pliki pokasowało, czy coś to można odzyskać o ile dysk nie był nadpisany (przywracanie, plik wymiany, tworzenie nowychplików).

1 Like
(portent) #3

Masz Tachion-a i Avasta. Po co ci dwa av. Zajrzyj do menadzera urządzeń. Wygląda na to że nie masz zainstalowanych sterowników.
"Name: Urządzenie PCI
Description: Urządzenie PCI
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click “Update Driver”, which starts the Hardware Update wizard.

Name: Kontroler magistrali zarządzania systemem
Description: Kontroler magistrali zarządzania systemem
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click “Update Driver”, which starts the Hardware Update wizard."
Co do reszty to czekaj albo idz na inne forum pomocowe np…https://www.fixitpc.pl/

(iJuliusz) #4

Witaj @matrixxy

  1. Usuń NativeDesktopMediaService
  2. Pobierz ten plik i zapisz w katalogu z FRST, tzn. Uruchomiony z C:\Users\matrixxy\Downloads
    fixlist.txt (9,8 KB)
    “Plik naprawczy został wykonany w FiRST Editor 1.09b (Cloud DB Test) © ijuliusz.pl”
  3. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  4. Po restarcie wklej plik wynikowy.
  5. Pobierz ADWCleaner, uruchom z Uprawnieniami Administratora, uruchom skanowanie i oczyść, wklej plik wynikowy.
  6. Czekaj na kolejne polecenia.

@marcin20000 nie ma Ransomware :wink: ale dobrze o tym uświadomić, kopia powinna być
@portent Czy wchodzisz do warsztatu samochodowego i mówisz do oczekującego na naprawę:
Masz to i to niesprawne, jak się nie doczekasz to jedź do innego warsztatu
?

(matrixxy) #5

marcin20000 po tym co teraz się dzieje, poczytam jak robić kopie i na pewno zastosuje się do rady :slight_smile:
@portent Tachiona nigdy nie instalowałem, avasta odinstalowałem jakiś czas temu. Sterowników nie ma gdyż po przywróceniu systemu z kopii woła o sterowniki których nie ma ale jednocześnie nie mogę ich pobrać bo wyskakuje error, podejrzewam że coś blokuje pobranie sterowników.
@iJuliusz dziękuje za pomoc, postąpiłem według poleceń. Oto wyniki:

AdwCleaner[C02] - http://www.wklejto.pl/760406
Fixlog - http://www.wklejto.pl/760407

(portent) #6

Tak. Wybór należy do oczekującego. Poza tym nie napisałem “jak się nie doczekasz to jedż do innego warsztatu” lecz “czekaj albo idz na inne forum”.

(iJuliusz) #7

Wykonaj skanowanie.

  • Pobierz ESET Online Scanner
  • Uruchom z Uprawnieniami Administratora
  • Naciśnij Skanowanie komputera
  • Naciśnij Pełne skanowanie
  • Wybierz Włącz wykrywanie …
  • Rozpocznij skanowanie
  • Gdy wykryje jakiekolwiek zagrożenia zapisz raport
  • Program zapyta o Skanowanie okresowe odznacz i wyłącz
  • Udostępnij plik raportu

@portent Byłem w trakcie analizy logów.
To tak jakby mechanik kontrolował podwozie (nie widać go), a ktoś wpada do warsztatu i proponuje wyjazd do innego warsztatu.
Podważasz w ten sposób kompetencje mechanika, jeśli nie całego warsztatu.
I proszę, nie schodźmy już z tematu.

1 Like
(portent) #8

Niczego nie podważam. Prosze czytać uważnie, ze zrozumieniem.
Mój post dotyczył sterowników a nie reszty badziewia.
Napisałem wyrażnie “Zajrzyj do menadzera urządzeń.”
“Co do reszty to czekaj albo idz na inne forum pomocowe”

(matrixxy) #9

@iJuliusz wykonałem według poleceń skanowanie eset online scanner, wykryło 5 zagrożeń. Wklejam poniżej raport.

dziennik.txt - http://www.wklejto.pl/760474

(iJuliusz) #10

Dziękuję.

  1. Pobierz MalwareBytes MBAM
  2. Zamknij wszystkie aktywne programy i przeglądarki.
  3. Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
  4. Po uruchomieniu rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.
  5. Czekaj na kolejne polecenia.
(matrixxy) #11

@iJuliusz przepraszam, od 17 do 23 będę w pracy. Będę kontynuować po pracy i odrazu koło północy wkleję raport.

(iJuliusz) #12

Ok. :wink:
W takim razie napiszę już teraz, zrób po MBAM nowy skan FRST i wklej raporty.
Do czasu analizy nie zmieniaj, nie usuwaj, nie dodawaj programów.

(matrixxy) #13

@iJuliusz Dziękuje za instrukcje :slight_smile:

Wykonałem skan programem MBAM z podanego linku, nie wykrył żadnego zagrożenia lecz mam zastrzeżenia co do jego pracy gdyż wybrałem skan pełny a i tak jego “praca” trwałe może maksymalnie 2min. przy czym poprzedni program ESET Online Scanner pracował koło 20min. Więc mam wątpliwości czy na pewno przeskanował cały komputer :confused:

tutaj raport z programu MBAM: http://www.wklejto.pl/760540\

Następnie uruchomiłem program FRST który najpierw się zaktualizował. Raport poniżej.

FRST - http://www.wklejto.pl/760541
Addition - http://www.wklejto.pl/760542
Shortcut - http://www.wklejto.pl/760543

Mam też pytanie, widzę że w linki które podałem do raportów mają dziwnie dużo wejść, czy z tych raportów osoby “trzecie” mogą wyczytać jakieś hasła, linki, lub informacje niebezpieczne dla mnie ?

I podsumowując, widzę że komputer zaczął lepiej pracować, programy już reagują dobrze. Lecz prosze o dokończenie sprawdzania czy komputer jest już “czysty”. Dziękuje.

(iJuliusz) #14

Skanowanie MBAM poprawne, inne niż ESET, dlatego szybsze, choć czasami bywa na odwrót :wink:
Wejścia w logi nie dziwią mnie, sam przeglądałem te dostępne zanim opracowałem Edytor.
Co do informacji w nich zawartych to przeczytaj Pokaż logi, a powiem Ci kim jesteś — Akt I

Wykonaj nowy fixlist i wklej wynik
fixlist.txt (2,1 KB)

(matrixxy) #15

Dziękuję za informacje w sprawie bezpieczeństwa, teraz mogę spać spokojnie, gdyż tych plików zmodyfikować nikt nie może a jedynie z nazwy może odczytać różne informacje, ja raczej nie mam takich nazwy :slight_smile:

Wykonałem fixlist, wynik poniżej.
Fixlog - http://www.wklejto.pl/760548

(iJuliusz) #16

Skrypt wykonał się właściwie.
Jeśli System odzyskał sprawność, zastosuj DelFix Zaznacz Remove disinfection tools i kliknij Run.
Zaznacz post, który rozwiązał Twój problem.
obraz

Proponuję założenie tematu w sprawie brakujących sterowników, jeśli nie dasz rady uzupełnić ich samodzielnie

1 Like
(matrixxy) #17

@iJuliusz dziekuje bardzo za pomoc! :smiley: komputer odzyskał w pełni moc. Ciężko będzie zaznaczyć dokładnie który post pomógł gdyż było to ciąg instrukcji które pomogły.
Z ciekawości jeśli można zapytać, jakiego typu miałem wirusa na komputerze i czy był on z tych poważniejszych ?

(matrixxy) #18

Panie @iJuliusz nie pisze nowego wątku a odkopię swój gdyż problem jest jednak dalej. Od momentu naprawy grałem tylko i wyłącznie w cs, nic innego nie włączałem, do internetu mam laptopa zaś ten komputer służy naprawdę tylko do grania wiec podejrzewam ze dalej jest wirus. Cs oczywiście oryginalny z platformy steam. Podejrzewam że dalej jest wirus gdyż już dwa razy zdarzył mi się czarny ekran tak nagle bez powodu, przy minimalizacji okienka folderu. Po klikałem bez celu po pulpicie i nagle ekran wrócił. Nie jest to winna kabla gdyż dzieje się to na dwoch monitorach jednocześnie, jeden monitor pod płytę główna a drugi pod karte graficzna podpięty. Zaś przy zamykaniu komputera dalej pojawia się program o dziwnej nazwie, wcześniej pokazywał się pod nazwa typu 5928193shdjaja.exe, potem zmienił nazwę na [spacja].exe i teraz znowu nazywa się tak. Proszę o dalsza pomoc i instrukcje co mam wykonać.

1 Like
(marcin20000) #19

W takich sytuacjach najlepiej zastosować maksymę amerykańskich generałów “jaki problem? do gołej ziemi wypalić bombami!”, palić nie musisz, ale format może pomóc :wink:

(portent) #20

A to zrobione?

1 Like