+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: prosba o sprawdzenie logow (/thread-6848.html)
prosba o sprawdzenie logow - bastekrtk - 03.05.2013
Objawy zainfekowania:
spowolniona praca komputera, notoryczne zawieeszanie sie systemu
Wykonywane działania:
scan avastem
Logi:
OLT
[Aby zobaczyć linki, zarejestruj się tutaj]
extras[Aby zobaczyć linki, zarejestruj się tutaj]
Re: prosba o sprawdzenie logow - tachion - 04.05.2013
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:
Kod:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchou.com/?affil=7&uid=2495a072-8b35-11e2-ad78-00235a835ec2
IE - HKLM\..\SearchScopes\{B450845B-DB5B-4A23-95A6-8210A049BEE9}: "URL" = ${SEARCH_URL}{searchTerms}
IE - HKCU\..\SearchScopes\{0B6060C8-D1AB-48A1-9EDC-7704E640C396}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=1a56661500000000000000235a835ec2
IE - HKCU\..\SearchScopes\{B450845B-DB5B-4A23-95A6-8210A049BEE9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119292&babsrc=SP_ss&mntrId=1a56661500000000000000235a835ec2
IE - HKCU\..\SearchScopes\{D36C48A6-9855-424F-B8B3-68831E667017}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=FC3E61AB-F917-4113-81E8-1ECEFF5AC441&apn_sauid=95C01862-DE23-4F60-B2CD-416479769279
IE - HKCU\..\SearchScopes\{E46739A5-A948-4CD9-917F-C5D95A328C8F}: "URL" = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=393
FF - prefs.js..browser.search.useDBForOrder: true
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableInstallerDetection = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetOpenWith = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMyMusic = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O16:[b]64bit:[/b] - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 10.0.0)
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 10.17.2)
[2013-04-20 15:06:13 | 000,213,470 | ---- | M] () (No name found) -- C:\Users\sirDevil\AppData\Roaming\mozilla\firefox\profiles\x08b1qwe.default\extensions\[email protected]
:Files
netsh winsock reset /C
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\sirDevil\AppData\Local\dt.dat
C:\Windows\SysWow64\%APPDATA%
C:\Windows\Installer\{41ceb9b5-95f7-c66e-91fd-200578863ccf}
:Commands
[EMPTYTEMP]Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL
Ściągnij systemlook
[Aby zobaczyć linki, zarejestruj się tutaj]
i w oknie wklej:Kod:
:filefind
services.exekliknij look i przedstaw wynikowy log
Re: prosba o sprawdzenie logow - bastekrtk - 04.05.2013
olt
[Aby zobaczyć linki, zarejestruj się tutaj]
system look
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: prosba o sprawdzenie logow - tachion - 04.05.2013
Start >w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
Kod:
sfc /scanfile=C:\Windows\system32\services.exeZresetuj system by ukończyć naprawę pliku,jeśli pojawi się jakiś błąd stop nie przechodź do wykonania dalszych czynności tylko od razu zgłoś tutaj,a jeśli przejdzie pomyślnie to po resecie powtórz komende którą wklejałeś do SystemLooki podaj log
Re: prosba o sprawdzenie logow - bastekrtk - 04.05.2013
[Aby zobaczyć linki, zarejestruj się tutaj]
błedow nie bylo
Re: prosba o sprawdzenie logow - tachion - 04.05.2013
Services pomyślnie został naprawiony.
Zrób skan OTL jeszcze raz i podaj mi logi.
Ściągnij ten program
[Aby zobaczyć linki, zarejestruj się tutaj]
zaznacz wszystko,daj skan i pokaż raport.