Wykryty Koń Trojański w AppData.Pomoc w usunięciu


(Nati M) #1

Witam,

 

Proszę o pomoc. Od kilku dni pojawia mi się komunikat o zainfekow. przez trojana. Lokalizacja: C:\Users\Kasia\AppData\Local\Temp…

Farbar: http://www.wklej.org/id/1445158/

OLT http://www.wklej.org/id/1444484/

 

 

K.

 

Ps. Radzę troszeczkę ze zrozumieniem podchodzić do szukających pomocy.


(Atis) #2

Czy liczysz na pomoc wróżki? Skąd ktoś ma widzieć gdzie wykrywany jest ten trojan?

Poza tym wymagane są inne logi.

http://forum.dobreprogramy.pl/nowy-log-obowiązkowy-farbar-recovery-scan-tool-t478727/


(roobal) #3

KATARINA14 , zgodnie z regulaminem, który zaakceptowałeś podczas rejestracji, proszę dokonać zmiany tytułu na taki, który wstępnie opisze problem, w przeciwnym razie temat zostanie przeniesiony do kosza. Proszę przy tym również nie używać wielkich liter, które uznawane są jako krzyk.

W celu dokonania korekty tytuły należy użyć opcji edytuj w poście otwierającym wątek, a następnie skorzystać z pełnego edytora tekstu.


(Nati M) #4

Witam,

 

Proszę o pomoc. Od kilku dni pojawia mi się komunikat o zainfekow. przez trojana. Lokalizacja: C:\Users\Kasia\AppData\Local\Temp…

Farbar: http://www.wklej.org/id/1445158/

OLT http://www.wklej.org/id/1444484/

 

 

K.

 

Ps. Radzę troszeczkę ze zrozumieniem podchodzić do szukających pomocy.


(Atis) #5

Czy celowo zainstalowałaś ten program System monitoring software?


(Nati M) #6

Nie przypominam sobie abym to instalowała…


(Atis) #7

Może ktoś mający dostęp do tego komputera zainstalował, bo wygląda to na program do szpiegowania użytkownika komputera.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

(System monitoring software) C:\Users\Public\SysSettings\footbool.exe
HKLM\...\Run: [footbool] => C:\Users\Public\SysSettings\footbool.exe [18432 2011-06-21] (System monitoring software)
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-3103040483-1111231945-1021796349-1000\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-3103040483-1111231945-1021796349-1000\...\Run: [GameXN GO] => "C:\ProgramData\GameXN\GameXNGO.exe" /startup
GroupPolicyUsers\S-1-5-21-3103040483-1111231945-1021796349-1000\User: Group Policy restriction detected <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=TOSHIBA_MK3263GSX_89QDT3EBT__89QDT3EBT&ts=1352934841
SearchScopes: HKCU - DefaultScope {B92E1229-7E04-4985-A04F-822B65D4CD96} URL = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59} URL = http://search.imesh.com/web?src=ieb&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&q={searchTerms}
SearchScopes: HKCU - {B92E1229-7E04-4985-A04F-822B65D4CD96} URL = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Extension: Ask New Tabs - C:\Users\kasia\AppData\Roaming\Mozilla\Firefox\Profiles\awyuhxhh.default\Extensions\{3045D2F3-1C1C-41EF-96E7-7C42F74C1E81} [2014-03-28]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
C:\AdwCleaner
C:\Users\Public\SysSettings
C:\Windows\system32\Drivers\etc\hosts.ics
C:\Users\Works\NetClean.exe
C:\Users\Works\PpvFix.bat
C:\Users\Works\WorksOEM.bat
Task: C:\Windows\Tasks\Install.job => ?
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Nati M) #8

http://www.wklej.org/id/1446100/


(Atis) #9

Nic nie zostało wykonane, więc w jakim celu pokazujesz nowy log?

Masz wykonać fixlist i pokazać Fixlog.

Poza tym musisz uruchomić FRST jako administrator.


(Nati M) #10

http://www.wklej.org/id/1446763/

http://www.wklej.org/id/1446766/


(Atis) #11

Nic nie zostało usunięte.