system
(system)
12 Styczeń 2014 08:06
#1
Witam
Norton pokazuje mi komunikat o próbie zainstalowania złośliwego oprogramowania, ale nie potrafię znaleźć źródła infekcji.
Gdzie znajdę ścieżkę: \DEVICE\HARDDISKVOLUME2\USERS\DAMIAN\APPDATA\LOCAL\TEMP\NSW8E5B.TMP\SETUP61630.EXE ? To jest to z czego “wynikał atak”.
Zaczęło się to pokazywać po zakupach na allegro, a teraz wyskakuje powiadomienie o zablokowaniu próby ataku co 3 minuty
Cały komunikat
Kategoria: Zapobieganie włamaniom Data i godzina,Zagrożenie,Operacje,Stan,Zalecane działanie,Nazwa alertu systemu zapobiegania włamaniom,Działanie domyślne,Podjęte działanie,Atakujący komputer,Adresowi URL atakującego,Adres docelowy,Adres źródłowy,Opis ruchu sieciowego 2014-01-12 08:55:37,Wysoki,Zablokowano próbę włamania podjętą przez 5.39.47.212.,Zablokowano,Nie jest wymagane żadne działanie,“Malicious Site: Malicious Web Site, Domain, or URL (1)”,Nie jest wymagane żadne działanie,Nie jest wymagane żadne działanie,“5.39.47.212, 80”,app.lollipop-shopping.com/bin/installer.php?id=14693,"ASUS (192.168.0…)",5.39.47.212,“TCP, www-http” Komunikację sieciową z <b>app.lollipop-shopping.com/bin/installer.php?id=14693 </b> dopasowano do sygnatury znanego ataku. . Aby przestać otrzymywać powiadomienia o tym typie ruchu, w okienku <b>Działania</b> kliknij pozycję <b>Przestań powiadamiać</b>.
Acorus
(Acorus)
12 Styczeń 2014 08:28
#2
system
(system)
12 Styczeń 2014 09:08
#3
W POŚCIE NIŻEJ
W POŚCIE NIŻEJ
Nie wiem czy jest to dobre, bo grafiki w instrukcji do OTL nie działają.
Acorus
(Acorus)
12 Styczeń 2014 09:25
#4
system
(system)
12 Styczeń 2014 09:29
#5
W takim razie powyższe są ok. Zaznaczyłem też 64bit
Acorus
(Acorus)
12 Styczeń 2014 09:41
#6
Nie są O.K bo dałeś na All a ma być młodsze niż 30 dni.
system
(system)
12 Styczeń 2014 10:03
#7
Acorus
(Acorus)
12 Styczeń 2014 10:12
#8
Odinstaluj ASUS WebStorage,Adobe Download Assistant,fst_pl_31,Akamai NetSession Interface.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Pokaż nowy OTL.txt
system
(system)
12 Styczeń 2014 11:05
#9
Trochę to trwało, ale już jest:
http://www.wklej.org/id/1233318/
Acorus
(Acorus)
12 Styczeń 2014 11:20
#10
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-01-12 11:34:28 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-12 11:19:05 | 000,000,000 | ---D | C] -- C:\Users\Damian\Documents\ASUS WebStorage
[2014-01-12 11:42:36 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\bench-sys.job
[2014-01-12 11:37:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\bench-S-1-5-21-2968123945-401488082-1277217751-1001.job
[2014-01-12 09:07:00 | 000,000,932 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2968123945-401488082-1277217751-1001UA.job
[2014-01-11 21:27:02 | 000,000,910 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2968123945-401488082-1277217751-1001Core.job
[2013-03-10 12:02:16 | 000,000,000 | ---D | M] -- C:\Users\Damian\AppData\Roaming\EurekaLog
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/
system
(system)
12 Styczeń 2014 12:27
#11
Acorus
(Acorus)
12 Styczeń 2014 12:42
#12
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
[2013-10-30 13:35:58 | 000,000,000 | ---D | M] -- C:\Users\Bożena\AppData\Roaming\ASUS WebStorage
[2013-02-21 22:24:10 | 000,000,000 | ---D | M] -- C:\Users\Damian\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
:Commands
[emptytemp]
[resethosts]
Kliknij Wykonaj skrypt.
system
(system)
16 Styczeń 2014 18:43
#13
Witam ponownie. Niestet nie udało mi się usunąć dotąd: fst_pl_31 (błąd instalatora przy użyciu “dodaj lub usuń programy”) i doznałem zmasowanego ataku dziadostwa zwanego Discount Dragon. Po tym przywróciłem Windowsa do połowy naszych działań w sobotę. Przeskanowałem wszystko Malwarebytes i znalazło te 5 co ostatnio.
Wrzucam logi, z uprzejmą prośbą o przyjrzenie się im szczególnie pod kątem fst_pl_31 i discount dragon.
OTL: http://www.wklej.org/id/1238714/
Acorus
(Acorus)
16 Styczeń 2014 19:03
#14
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKU\S-1-5-21-2968123945-401488082-1277217751-1001..\Run: [NextLive] C:\Users\Damian\AppData\Roaming\newnext.me\nengine.dll (NewNextDotMe)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-01-16 18:57:14 | 000,000,000 | ---D | C] -- C:\Users\Damian\.android
[2014-01-16 18:57:12 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Local\cache
[2014-01-16 18:57:11 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Roaming\newnext.me
[2014-01-16 18:57:10 | 000,000,000 | ---D | C] -- C:\Users\Damian\Documents\Mobogenie
[2014-01-16 18:57:10 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Local\Mobogenie
[2014-01-16 18:57:10 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Local\genienext
[2014-01-16 18:57:02 | 000,000,000 | ---D | C] -- C:\ProgramData\WPM
[2014-01-16 18:56:35 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
[2014-01-12 11:26:04 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Cling Clang
[2014-01-12 11:25:48 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\predm
[2014-01-12 11:25:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Discount Dragon
[2014-01-12 11:25:33 | 000,000,000 | ---D | C] -- C:\Users\Damian\AppData\Local\Discount Dragon
[2014-01-12 08:41:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\fst_pl_31
[2014-01-15 21:07:03 | 000,000,932 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2968123945-401488082-1277217751-1001UA.job
[2014-01-15 21:07:01 | 000,000,910 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-2968123945-401488082-1277217751-1001Core.job
:Commands
[emptytemp]
Kliknij Wykonaj skrypt.
system
(system)
20 Styczeń 2014 16:57
#15
Witam
Wszystko ok, oprócz dwóch rzeczy, których ten program nie potrafi usunąć a się pojawiają. Jedna jest w chromie a druga w rejestrze. Wrzucić OTL?