+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Profilaktyczne (nie całkiem) sprawdzenie loga (/thread-3717.html)
Profilaktyczne (nie całkiem) sprawdzenie loga - KaMiL - 05.11.2011
Witam!
Wiem, że to jest dział "po zainfekowaniu". Ja raczej zainfekowany nie jestem, aczkolwiek, jakiś mniejszy syf na pewno się znajdzie
Prosiłbym Was o usunięcie pozostałości po vshare (to nie ja go instalowałem
), toolbara, który się zainstalował w Firefoxie oraz w szcególności pozostałości po antywirusach.Chodzi mi o Comodo, Nortona, Eseta, FSecure i Pandę Cloud (niestety, usuwałem tylko wbudowanymi deinstalatorami)
No i wszystkiego, co znajdziecie
Domyślam się, że system nie jest w najlepszej kondycji
Pozdrawiam.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Profilaktyczne (nie całkiem) sprawdzenie loga - zord - 05.11.2011
do skasowania
C:\Program Files\COMODO
C:\ProgramData\fssg
C:\Windows\System32\drivers\EpfwLWF.sys
C:\Users\Rafał\AppData\Roaming\ESET
C:\Users\Rafał\AppData\Roaming\f-secure
C:\Users\Rafał\AppData\Roaming\Panda Security
Re: Profilaktyczne (nie całkiem) sprawdzenie loga - Waves - 05.11.2011
Obiecałem
Ten plik :
Kod:
C:\Windows\System32\drivers\uxpatch.sys
C:\Windows\IsUn0415.exe
C:\Windows\System32\CLWCP.exePrzeskanuj na
[Aby zobaczyć linki, zarejestruj się tutaj]
Do SystemLook wklej:
Kod:
:dir
C:\Windows\8ôY
C:\gamesWciśnij look - pokaż co wyskoczy.
Do OTL w własne pole skanowania skrypt:
Kod:
:Processes
Killallprocesses
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
IE - HKU\S-1-5-21-3159849417-3170808170-1192394772-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=b07bba50-04c3-11e1-b8a5-005056c00008&q="
O3 - HKLM\..\Toolbar: (WOT) - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll ()
O2 - BHO: (WOT Helper) - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll ()
@Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:C43ED645
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:9480C137
:Files
C:\Users\Rafał\AppData\Roaming\Mozilla\Firefox\Profiles\uoktv0ki.default\searchplugins\startsear.xml
C:\Windows\System32\drivers\EpfwLWF.sys
C:\Users\Rafał\Documents\Symantec
C:\Program Files\COMODO
C:\ProgramData\fssg
C:\Windows\System32\drivers\EpfwLWF.sys
C:\Users\Rafał\AppData\Roaming\ESET
C:\Users\Rafał\AppData\Roaming\f-secure
C:\Users\Rafał\AppData\Roaming\Panda Security
:Commands
[EMPTYTEMP]
[EMPTYFLASH]Wykonaj skrypt.
Przeczyść wszystko
[Aby zobaczyć linki, zarejestruj się tutaj]
I te ciągłe wgrywanie AV i ich zmiany nie są dobre dla komputera.
Re: Profilaktyczne (nie całkiem) sprawdzenie loga - KaMiL - 05.11.2011
Dzięki Waves
C:\Windows\System32\drivers\uxpatch.sys - ten plik jest wykrywany tylko przez Risinga jako Suspicious
Cytat: C:\Windows\IsUn0415.exe
C:\Windows\System32\CLWCP.exe
Czyste.
SystemLook - log
[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat: I te ciągłe wgrywanie AV i ich zmiany nie są dobre dla komputera.
Bez przesady
Po wykonaniu skryptu dać nowe logi?
Re: Profilaktyczne (nie całkiem) sprawdzenie loga - bardok206 - 05.11.2011
Kamil edytowałeś pliki systemowe w celu odblokowaniaskórek?
Re: Profilaktyczne (nie całkiem) sprawdzenie loga - KaMiL - 05.11.2011
bardok206 napisał(a):Kamil edytowałeś pliki systemowe w celu odblokowaniaskórek?
Nic takiego nie robiłem.
Wrzucam jeszcze log po wykonaniu skryptu -
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Profilaktyczne (nie całkiem) sprawdzenie loga - Waves - 05.11.2011
usuń ręcznie:
C:\Windows\8ôY
C:\games
Przeskanuj na koniec MBAM i już koniec.