Liczba postów: 15
Liczba wątków: 3
Dołączył: 19.01.2016
Reputacja:
0
07.02.2016, 21:03
(Ten post był ostatnio modyfikowany: 08.02.2016, 13:02 przez nikita.
Powód edycji: poprawiam tytuł
)
Witam
Przepraszam za zrobienie nowego Tematu ale wykonałem skany Emisoft i McAfee i one wykazują infekcje w plikac typu:
C:\Users\ppp\AppData\Roaming\Microsoft\Windows\winboot.bat Wykryto: Trojan.Win32.Agent (A)
i inne
Mam także pytanie a mianowicie czy podczas ostatniej próby usuwania infekcji coś zostało pominięte czy jednak jest była to próba ponownego zainfekowania? i czy mógłbym prosić o pomoc z usunięciem tej infekcji a co do dodatkowych skanów widocznie farbar tego nie widział.
Dodatkowe skany zamieszczam tutaj:
Emisoft wykazał kilka infekcji
1.Emisoft_EmergencyKIT:
<LOG_1>:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
<LOG_2>:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
2.McAfee® Labs Stinger™:
<LOG_1>
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
Pozdrawiam.
ISPNEVERBOX.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Logi z FRST.txt i Addition.txt zapodaj , bo jakoś nie chce mi się wierzyć że tego nie widzi.
Co nie oznacza też że to malware lub jest czynne.
Liczba postów: 15
Liczba wątków: 3
Dołączył: 19.01.2016
Reputacja:
0
09.02.2016, 16:34
(Ten post był ostatnio modyfikowany: 10.02.2016, 18:12 przez ISPNEVERBOX.)
WITAM
Czy to jest obecna infekcja widać wcześniej,widocznie Farbar tego nie zauważył(Warto jednak korzystać z dodatkowych narzędzi).
Zrobiłem szczegółowe logi mam nadzieje że teraz infekcja zostanie usunięta.
Poniżej zamieszczam Logi:
1.FARBAR RECORVERY SCAN TOOL:
-FRST:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-ADDITION:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-SHORTCUT:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
2.eScanAV_Anti-Virus_Toolkit(MWAV):
-MWAV_LOG
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-MWAVx2_LOG:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
3.RANDOM'S_SYSTEM_INFORMATION_TOOL(RSIT):
-INFO:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-LOG:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
4.Malwarebytes_Anti-Rootkit(MBAR):
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
5.E-PeeK:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
4.GMER:
-AutoStart:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-GMER:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
Wykonałem też logi portów przy pomocy eScan_Anti_virus-Toolkit:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję za poświęcony czas i Pozdrawiam.
ISPNEVERBOX.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
09.02.2016, 21:20
(Ten post był ostatnio modyfikowany: 09.02.2016, 21:21 przez tachion.)
Nie ma tu czynnej infekcji, resztę zweryfikujemy.
Sugerując się programem AV rozumiem że to wywalamy Spybot Anti-Beacon\SDAntiBeacon.exe
lub komp user Amsort C:\Amsort\TILIGO 13 przecież to prawidłowy katalog z programu.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
S0 wayuia; Brak ImagePath
U4 DiagTrack; Brak ImagePath
U4 dmwappushsvc; Brak ImagePath
S1 epp; \??\C:\EEK\bin64\epp.sys [X]
C:\.Trash-0
RemoveDirectory: C:\AdwCleaner
C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\ProgramData\Webroot
C:\Users\ppp\AppData\Local\Temp1.html
C:\Users\ppp\AppData\Local\Temp48.html
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\58052798.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\85021708.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\58052798.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\85021708.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
CMD: dir /a C:\Users\ppp\AppData\Local
CMD: dir /a C:\Users\ppp\AppData\LocalLow
CMD: dir /a C:\Users\ppp\AppData\Roaming
CMD: dir /a C:\Users\ppp\AppData\Roaming\Microsoft\Windows\
CMD: dir /a C:\Users\ppp\AppData\Roaming\Imminent\
file: C:\Users\ppp\AppData\Roaming\Microsoft\Windows\winboot.bat
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Ty chyba nic nie robisz tylko instalujesz różnej maści oprogramowania i skanujesz, jak coś wykryje to wirus
Ale widać że i też keygeny
Za ten czas zdążyłbym przeinstalować ten system. Poza tym dlaczego nie informujesz że temat leży też na innym forum, przecież można w ten sposób sobie zaszkodzić tymi działaniami.
Co do logów innych programów one nie są już wspierane i rozwijane na nowsze systemy.
Liczba postów: 15
Liczba wątków: 3
Dołączył: 19.01.2016
Reputacja:
0
WITAM
Chciałem też zapytać jakie są najbardziej aktualne narzędzia do wykonywania logów oprócz Farbara?
Nie ukrywam że dużo torrentuje, ale powodem spyware był infekcji był irc
Co do AV mój błąd sry,Przepraszam też że nie poinformowałem o 2 temacie.
Poniżej zamieszczam świerze Logi:
1.FARBAR_RECROVERY_SCAN_TOOL:
-FixLog:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-FRST:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Addition:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
SHORTCUT:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
2.RANDOM'S_SYSTEM_INFORMATION_TOOL(RSIT):
-INFO:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Log:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
3.AUTORUNS_SYSINTERNALS(POKAZAŁ KILKA OZNACZEŃ Z MOŻLIWOŚCIĄ INFEKCJI W STEROWNIKACH ORAZ KODEKACH):
-EVERYTHING(PLIK_ARN+Hasło do pliku:QuQeZuWa):
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Driver:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Kodeki:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Explorer:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-KnownDLLs:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
4.E-PeeK:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
5.ESET_SysInspector:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję za poświęcony czas I Pozdrawiam.
ISPNEVERBOX.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Tak jak pisałem,reszta narzędzi jest nieistotna na chwilę obecną.
Jeszcze zapomniałeś o OTL, był najpopularniejszym programem przed FRST i jeszcze wcześniej HijackThis.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
CreateRestorePoint:
C:\Users\ppp\AppData\Local\Opera Software
C:\Users\ppp\AppData\Roaming\Opera Software
RemoveDirectory: C:\Users\ppp\AppData\Roaming\Imminent
CMD: attrib -r -h -s C:\Users\tach2\AppData\Roaming\winboot.bat /s
CMD: del /q /s C:\Users\tach2\AppData\Roaming\winboot.bat
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Liczba postów: 15
Liczba wątków: 3
Dołączył: 19.01.2016
Reputacja:
0
WITAM
Ale ale jednak chciałem zapytać jakich innych Rozwijanych narzędzi oprócz farbara można użyć do diagnozowania infekcji.
Co do próby usuwanania winboot nie został usunięty,Emsisoft nadal wykazuje te samą infekcje.
Poniżej przedstawian świerze logi:
svchost pokazuję kilka połączeń:
[Aby zobaczyć linki, zarejestruj się tutaj]
1.FARBAR RECROVERY SCAN TOOL:
-FixList:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-FRST:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Addition:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Shortcut:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
2.AUTORUNS_SYSINTERNALS:
-LOG_Zauważył_Driver_trueSight:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Plik_ARN(HASłO_DO_PLIKU:dumyrevy) :
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
3.EMSISOFT_EMERGENCY_KIT:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
4.eScanAV Anti-Virus Toolkit_(MWAV):
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
5..Random's system information tool (RSIT)
-LOG:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-INFO
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
6.E-Peek:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
7.RAMMAP:
-PLIK_RMP(HASŁO_DO_PLIKU:ubyRahed):
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
8.ProcessExplorer:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
9.aswMBR
-(Zauważył sterownik)
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję za poświęcony czas i Pozdrawiam.
ISPNEVERBOX.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
12.02.2016, 22:50
(Ten post był ostatnio modyfikowany: 12.02.2016, 23:05 przez tachion.)
Bo to nie ta ścieżka,sprawdzałem coś wcześniej.
wklej do notatnika i wykonaj jeszcze raz
CMD: attrib -r -h -s C:\Users\ppp\AppData\Roaming\winboot.bat /s
CMD: del /q /s C:\Users\ppp\AppData\Roaming\winboot.bat
pokaż raport
svchost to swoisty kontener,zawsze będą przez niego lecieć jakieś połączenia,nic w tym dziwnego
I tak jak pisałem już wcześniej,daruj sobie inne logi,nie ma tu nic niepokojącego.
Liczba postów: 15
Liczba wątków: 3
Dołączył: 19.01.2016
Reputacja:
0
13.02.2016, 19:43
(Ten post był ostatnio modyfikowany: 13.02.2016, 19:44 przez ISPNEVERBOX.)
WITAM
Ponawiam pytanie jakich innych skutecznych narzędzi oprócz farbara można użyć do diagnozowania infekcji by móc poradzić sobię jeśli kiedyś będę miał podobny problem
Jeśli chodzi o svchost połączenia typu: Dodałem do pliku hosts.
Miałem też problemy z dodawaniem wyjątków w panelu sterowania lub NETSH np: żadna z nowo zainstalowanych przeglądarek typu Pale Moon nie działa, tylko obecna opera funkcjonuje.
logi podaje poniżej:
1.FARBAR RECROVERY SCAN TOOL:
-FixList:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-FRST:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
-Addition:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
Chciałem dodatkowo zapytać o co chodzi z rejestrem który pokazuje mi EMSISOFT EMERGENCY KIT np: EXPLORER -> NORUN Wykryto: Setting.NoRun (A).
2.EMSISOFT EMERGENCY KIT:
LINK: [Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję i Pozdrawiam.
ISPNEVERBOX.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Pisałem przecież OTL
EEK bzdury pokazuje,występuje ten przypadek nie tylko u ciebie,standardowo menadżer zadań domyślnie jest ustawiony na 0, wyłączony ma wartość 1, jeśli by tak było to byś nie odpalił go.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Temat zamykam infekcji tu nie ma.
|