Prośba o sprawdzenie logów - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: Prośba o sprawdzenie logów (/thread-6831.html) Strony:
1
2
|
Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 Witam. Chyba złapałem jakiegoś wiruska ;/ bo komp czasami się zawiesza ;/. Wykonywane działania: Komp był skanowany przez : Emsisoft Emergency kit Comodo Antivirus i CCE (mój rezydenty antywirus) (wykrył 3 rootkity ;/ ale usunął) Hitman Pro Usunęły infekcje, ale wolę się upewnić czy nic po tym nie pozostało, bo np. nie mogę włączyć GMER-a, przy włączaniu TDSKillera wywala mi jakiś błąd o driverze ;/ a to chyba normalne nie jest... Logi: LOGI: OTL: [Aby zobaczyć linki, zarejestruj się tutaj] Extras:[Aby zobaczyć linki, zarejestruj się tutaj] EDIT: dorzucam jeszcze log z RSIT: [Aby zobaczyć linki, zarejestruj się tutaj] Proszę o pomoc i pozdrawiam Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj: Kod: :OTL Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] i uruchom AdwCleanerz opcji Delete .Zainstaluj [Aby zobaczyć linki, zarejestruj się tutaj] do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.Przedstaw raport z wykonania OTLi AdwCleaner Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 AdwCleaner też uruchomić w trybie awaryjnym ? Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 Tak Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 OK oto logi: OTL: All processes killed ========== OTL ========== Prefs.js: "express-files Customized Web Search" removed from browser.search.defaultthis.engineName Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3176921&SearchSource=3&q={searchTerms}&CUI=UN22587297638348126" removed from browser.search.defaulturl Prefs.js: true removed from browser.search.useDBForOrder Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3176921&SearchSource=2&CUI=UN22587297638348126&q=" removed from keyword.URL Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully. Registry value HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoLowDiskSpaceChecks deleted successfully. Registry key HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clonewarsadventures.com\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\freerealms.com\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\soe.com\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sony.com\ deleted successfully. Starting removal of ActiveX control {644E432F-49D3-41A1-8DD5-E099162EEEC5} C:\Windows\Downloaded Program Files\CabSA.inf not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{644E432F-49D3-41A1-8DD5-E099162EEEC5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{644E432F-49D3-41A1-8DD5-E099162EEEC5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{644E432F-49D3-41A1-8DD5-E099162EEEC5}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{644E432F-49D3-41A1-8DD5-E099162EEEC5}\ not found. File PTYTEMP]not found. OTL by OldTimer - Version 3.2.69.0 log created on 04302013_134159 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... AdwCleaner: # AdwCleaner v2.300 - Log utworzony 30/04/2013 o 13:48:18 # Aktualizacja 28/04/2013 przez Xplode # System operacyjny : Windows 7 Home Premium Service Pack 1 (64 bits) # Użytkownik : Łukasz - ŁUKASZ-KOMPUTER # Tryb uruchomienia : Tryb awaryjny # Ścieżka : C:\Users\Łukasz\Downloads\AdwCleaner.exe # Opcja [Usuń] ***** [Usługi]***** ***** [Pliki / Foldery]***** Folder Usunięto : C:\Program Files (x86)\Conduit Folder Usunięto : C:\Users\Łukasz\AppData\Local\Conduit Folder Usunięto : C:\Users\Łukasz\AppData\Local\TempDir Folder Usunięto : C:\Users\Łukasz\AppData\LocalLow\Conduit Folder Usunięto : C:\Users\Łukasz\AppData\LocalLow\PriceGong Plik Usunięto : C:\END ***** [Rejestr]***** Klucz Usunięto : HKCU\Software\AppDataLow\Software\Conduit Klucz Usunięto : HKCU\Software\AppDataLow\Software\ConduitSearchScopes Klucz Usunięto : HKCU\Software\AppDataLow\Software\PriceGong Klucz Usunięto : HKCU\Software\AppDataLow\Software\SmartBar Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE} Klucz Usunięto : HKCU\Software\StartSearch Klucz Usunięto : HKLM\Software\Conduit Klucz Usunięto : HKLM\Software\ExpressFiles Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} ***** [Przeglądarki Internetowe]***** -\\ Internet Explorer v10.0.9200.16537 [OK]Rejestr w porządku. -\\ Mozilla Firefox v20.0.1 (pl) Plik : C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\w1g30lhz.default\prefs.js C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\w1g30lhz.default\user.js ... Usunięto ! Usunięto : user_pref("CT3176921_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...] Usunięto : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3176921&SearchSource=1[...] Usunięto : user_pref("Smartbar.ConduitSearchEngineList", "express-files Customized Web Search"); Usunięto : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3176921[...] Usunięto : user_pref("Smartbar.SearchFromAddressBarSavedUrl", ""); Usunięto : user_pref("Smartbar.keywordURLSelectedCTID", "CT3176921"); Usunięto : user_pref("ct3176921.UserID", "UN22587297638348126"); Usunięto : user_pref("extensions.browserprotect.searchProviderExceptions", "hxxp://en.wikipedia.org/wiki/Specia[...] Usunięto : user_pref("extensions.browserprotect.urlBarEngine", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=[...] Usunięto : user_pref("extensions.fasterfox.addit.remoteInstallItems", "{ \"software\": {\"94\": {\"id\": \"94\"[...] Usunięto : user_pref("extentions.y2layers.defaultEnableAppsList", "DropDownDeals,buzzdock,YontooNewOffers"); Usunięto : user_pref("extentions.y2layers.installId", "0617834b-26de-4935-a25e-9a34f8fbe721"); Usunięto : user_pref("smartbar.machineId", "4RYAWOTF+52MAHUE8UVN8SOTTUWPRF0A4ZNFZ4T/97FLR0LDHYSYQ5ST0NGNXRPBBZ6[...] ************************* AdwCleaner[R1] .txt - [3112 octets]- [30/04/2013 13:48:08] AdwCleaner[S1] .txt - [3085 octets]- [30/04/2013 13:48:18] ########## EOF - C:\AdwCleaner[S1] .txt - [3145 octets]########## Dodano: 30 kwie 2013, 13:52 Java też już zaktualizowana I jak zostały jakieś infekcje ? Dodano: 30 kwie 2013, 14:02 hmm... TDSkiller już uruchamia się normalnie... Ale GMER sypie błędami o co chodzi ;/ Pisze, że nie może uzyskać dostępu do pliu, bo ten jest używany przez inny proces... Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 Na drugi raz postaraj się raport dać w spoiler. Ogólnie możesz przejść do sprzątania w OTL Profilaktycznie ściągnij program Malwarebytes Anti-Rootkiti przeprowadź skan [Aby zobaczyć linki, zarejestruj się tutaj] Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 Ok. ale to mnie dziwi, wiesz może czemu sypie tym błędem ? [Aby zobaczyć linki, zarejestruj się tutaj] Dodano: 30 kwie 2013, 14:08 :O inne apki co sypały mi błędami teraz działają Ale czemu gmer sypie błędami tego nie wiem... Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 Czy coś wykrył mbam i co na to TDSkiller. W systemie nie występują jakieś emulatory typu daemon tools ? I czy uruchamiałeś w trybie awaryjnym,jak i z PPM jako administrator tu masz co nieco o tym [Aby zobaczyć linki, zarejestruj się tutaj] Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 Ok. Skan Malwarebytes Anti-Rootkit się zakończył. Twierdzi, że czysto Dodano: 30 kwie 2013, 14:25 Nie nie mam,żadnych emulatorów w systemie. Uruchamiałem TDSKillera jako Administrator, ale nie w trybie awaryjnym (po wykonaniu tego skryptu co podałeś o dziwo, TDSKiller nie sypie błędami ) TDS killer twierdzi, że coś znalazł, ale to mój sterownik od drukarki Dodano: 30 kwie 2013, 14:27 heh... zrobiłem drugiego skana i tera TDSKiller widzi 2 zagrożenia wtf ?! Dodano: 30 kwie 2013, 14:29 Zrzut ekranu: [Aby zobaczyć linki, zarejestruj się tutaj] Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 chodziło mi o gmera w trybie awaryjnym,pokaż co ci tam wyświetlił TDS Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 Aha o GMERA ;p Nie nie uruchamiałem go w trybie awaryjnym, ale jako admin. Zrzut (bardziej szczegółowy z TDSKillera): [Aby zobaczyć linki, zarejestruj się tutaj] Dodano: 30 kwie 2013, 14:32 To jedno to sterownik od drukarki - fałszywy alarm Ale to drugie CO TO ?! Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 jest ok uruchamiałeś Sophos Anti-Rootkit <!-- s--> <!-- s--> Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 yyy tak ;p Dodano: 30 kwie 2013, 14:34 to od tego ? ;p Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 Tak Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 heh... To dobrze Zrobięjeszcze raz skan całego systemu kilkoma programami i jak nic nie wykryje to powinno być OK ;D O w końcu PeerBlock działa ;D bo on też nie chciał się uruchomić przed wpisaniem tego skryptu co podałeś ;p (tak mało tekstu a tyle dało ;p coś ty tam nawpisywał ) Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 He ok ogólnie numerem jeden jest teraz Malwarebytes Anti-Rootkit,bardzo dobrze radzi sobie też z zeroaccess recycle.bin jakby co. Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 hmm. Będę pamiętał A tak na marginesie wiesz może cóż to był za twór, którego wykrył mi Comodo Cleaning Essentials ? Wykrył: Rootkit.HiddenDir (x2) i Rootkit.HiddenFile Usunął bez problemu... Czy to rzeczywiście były rootkity ? Były w katalogu C:\$Recycle.Bin$\(cyfry litery itd...) (czyli w koszu tak?) (a kosz miałem pusty dziwne...) Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 No to właśnie może nie rootkit a zeroaccess ten o którym pisałem wyżej on ma tendencje ukrywania plików swoich w koszu i nie tylko ale otl o tym nic nie mówi no i z resztą Malwarebytes Anti-Rootkit poradziłby sobie z tym bez problemu Etap zeroaccessa z rootkitem skończył się własnie w połowie gdzieś 2012 roku Re: Prośba o sprawdzenie logów - Zdziwiony - 30.04.2013 W OTL nic nie było, bo skan CCE zrobiłem przed założeniem tematu i skanem MBAR hmm... już kiedyś wykrył mi coś takiego CCE, ale w kopii zapasowej z Windowsa XP kilka lat temu . PS: Czyli już wszystko OK (wolę się upewnić ) ? W OTL nie widać żadnych infekcji ? Re: Prośba o sprawdzenie logów - tachion - 30.04.2013 Tak powinno być ok jak jakieś anomalie zauważysz,chociaż mogą też być z winy czynnika ludzkiego to daj znać. |