Włamanie do komputera


(Orianka) #1

Komputer od kilku dni bardzo wolno mi chodzi. Nie otwierają się strony w Internecie, nawet poczta. Może ktoś mi się włamał? Nie wiem... Trochę to dziwne bo niby dostęp do Internetu mam dobry. Skanowałam ale nic nie wykryło. Może to nic poważnego tylko usterka techniczna ale proszę o sprawdzenie czy komputer jest czysty

Raporty z FRST w załączniku bo strona Wklej.org mi się nie otwiera (wyskakuje błąd serwera)

FRST.txt

Addition.txt


(Cracow) #2

cześć Orianka :slight_smile: Masz zainstalowany jakiś program do konserwacji Windowsa? Np. TuneUp Utilities, AVG PC TuneUp ? Jeżeli nie, to koniecznie zainstaluj i przeprowadź wszystkie procedury - czyszczenie rejestru, plików tymczasowych, wyczyść historię w przeglądarkach itp.

 

Z jakiego internetu korzystasz?

Jaki masz Windows?


(MagdaL) #3

 

Od siebie mogę polecić CCleaner i Odkurzacz - szybko i bezpiecznie usuwają zbędne pliki z komputera. 


(IPSEN) #4

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 , usługę zatrzymaj.Uruchom ponownie system,i zobacz teraz


(Orianka) #5

Ja korzystałam wcześniej z AVG dopóki nie skończył się okres próbny, od tamtej pory mam na stałe CCleaner i świetnie czyści wszystkie śmieci :slight_smile: Internet mam na modem z Plusa. Komputer sam w sobie działa sprawnie tylko jak z Internetu korzystam to wtedy bardzo muli i jak ma już taki kryzys to żadna strona www nie chce się otwierać :frowning: Mnie się wydaje, że to wina Internetu jednak. A z tych raportów wynikło coś niepokojącego? Czy mam jakieś wirusy czy złośliwe oprogramowanie?


(Cracow) #6

Hmm, to może odinstaluj i zainstaluj ponownie modem. Masz może jakieś limity transferu / prędkości w Plusie? Czy wprowadzałaś jakieś zmiany w komputerze, instalowałaś programy przed tym, jak internet zaczął szwankować?


(Spandau) #7

Zaloguj się jako administrator i wykonaj nowy skan FRST Powodem może być na przykład GData


(Orianka) #8

Jakieś 2 tygodnie temu miałam włamanie na FB zgłaszałam to tutaj na forum i pomogliście mi, komputer chodził ok 5 dni może, a potem znów problemy właśnie z tym Internetem. Dlatego boję się, że może znowu ktoś próbował się włamać. Ale też ten Internet może być słaby, bo wcześniej miałam Orange stacjonarny z routera i śmigało aż miło :slight_smile:

Raporty FRST i Addition w załącznikach Strona Wklej.org chyba nie działa bo nie można zrobić wklejki i jest komunikat: “500 Internal Server Error” U Was też nie działa ta strona?


(Acorus) #9

Otwórz notatnik systemowy i wklej:

Task: {21531FB0-80F4-47A7-979B-F04C855AB884} - System32\Tasks\{1D3C059A-2E4E-4EC8-A051-44339B633316} = Iexplore.exe http://www.skype.com/go/downloading?source=lightinstalleramp;ver=6.22.64.107amp;LastError=404
ShellIconOverlayIdentifiers: [SkyDrive1] - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} = No File
ShellIconOverlayIdentifiers: [SkyDrive2] - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} = No File
ShellIconOverlayIdentifiers: [SkyDrive3] - {BBACC218-34EA-4666-9D7A-C78F2274A524} = No File
ShellIconOverlayIdentifiers-x32: [SkyDrive1] - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} = No File
ShellIconOverlayIdentifiers-x32: [SkyDrive2] - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} = No File
ShellIconOverlayIdentifiers-x32: [SkyDrive3] - {BBACC218-34EA-4666-9D7A-C78F2274A524} = No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150421
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150421
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1811663747-779851345-1508571368-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150421
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-30]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Spandau) #10

Ten “niby” wirus to jest narzędzie dzięki któremu FRST wykonuje kopię rejestru przed wykonaniem skanu, podobnie robi np Combofix. Czy nadal masz zainstalowany Comodo Internet Security?


(Orianka) #11

 

Jak mi się zaczęły te problemy z komputerem to próbowałam przeskanować komputer Comodo Internet Security. Jednak nie mogłam odinstalować G Data to odinstalowałam Comodo żeby antywirusy się nie dublowały. Ja ten komputer z którego korzystam dostałam w ramach projektu UE z darmowym Internetem na 5 lat od Plusa na modem. Mam go od 4 miesięcy i dzieją się na nim różne rzeczy i chyba ten antywirus G Data jest słaby, a nie mogę go odinstalować bo w razie kontroli muszą być wszystkie programy, które były zainstalowane w pakiecie. Jedynie jak się coś poważnego dzieje to chociaż mam dostęp do konta Administrator. Tak sprawa wygląda.


(Spandau) #12

Wejdź na konto administratora.

 

Wklej do notatnika:

CloseProcesses:
CreateRestorePoint:
Task: {21531FB0-80F4-47A7-979B-F04C855AB884} - System32\Tasks\{1D3C059A-2E4E-4EC8-A051-44339B633316} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.22.64.107&LastError=404
ShellIconOverlayIdentifiers: [SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers-x32: [SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150421
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150421
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1811663747-779851345-1508571368-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150421
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\VTRoot
D:\Programy\COMODO
2015-07-31 19:25 - 2015-08-08 17:31 - 00000000 ____ D C:\Windows\System32\Tasks\COMODO
2015-07-31 19:24 - 2015-08-08 17:30 - 00000000 ____ D C:\ProgramData\Comodo Downloader
2015-07-31 19:24 - 2015-08-08 17:30 - 00000000 ____ D C:\ProgramData\Comodo
Task: {435D8C29-DAF1-4494-888E-84A2BD504AB2} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => D:\Programy\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {5DB249E9-1E9B-454F-927C-3CCB5D41579E} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => D:\Programy\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {6017CC96-EF29-46D5-B45E-1DDA28010527} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => D:\Programy\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {8F61F8CA-92ED-414E-BCF4-2BEE2334AB91} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => D:\Programy\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {E703AC88-EBEF-406D-8B1D-C773CC1ABBBC} - System32\Tasks\COMODO\COMODO Welcome {CEB54B45-2B5E-4FF5-9223-6735CD80FE69} => D:\Programy\COMODO\COMODO Internet Security\cis.exe
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Scan pokaż nowy raport FRST.txt na forum


(Orianka) #13

Które wytyczne mam wykonać najpierw: Acorus czy Moderator? Czy można to wykonać jedno po drugim tak żeby się te raporty nie dublowały potem?


(Spandau) #14

Właśnie uzupełniłem skrypt Acorrus o pozostałości po Comodo, więc wykonaj mój skrypt.


(Orianka) #15

Raporty:

FixLog http://wklej.to/UFsgh

FRST http://wklej.to/hYIMv

Addition http://wklej.to/XUmmW

 

Jeszcze chyba trzeba przeskanować komputer programem Dr Web. Wczoraj próbowałam go ściągnąć ale pobierał się ponad 1.5h to jeszcze przed samym końcem wyskoczył mi komunikat, że pobieranie nie powiodło się i nie wiem dlaczego. Spróbuje jeszcze raz dziś pobrać ten program


(Spandau) #16

Wejdź na konto administratora

 

Wklej do notatnika:

CloseProcesses:
Winlogon\Notify\igfxcui: igfxdev.dll [X]
CHR HKU\S-1-5-21-1811663747-779851345-1508571368-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - https://clients2.google.com/service/update2/crx
C:\ProgramData\*.log
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix. Usuń folder C:\FRST zdysku

 

Uaktualnij Firefoxa. Uruchom FF - Zakładka Pomoc - O programie Firefox, pozwól by pobrał i zainstalował aktualizacje.

 

Uaktualnij Skypa. Uruchom Skype - Zakładka Pomoc - Sprawdź aktualizacje - pozwól by pobrał i zainstalował aktualizacje.

 

Wejdź w Tryb awaryjny z obsługą sieci (F8) i z menu druga pozycja http://support.kaspersky.com/pl/general/various/493 Uruchom przeglądarkę internetową i napisz jak w tym trybie działa internet.


(Orianka) #17

Ktoś tu wcześniej pisał żeby przeskanować komputer jeszcze programem AdwCleaner