Dodatkowa prośba o sprawdzenie logów
#1
                                                      Witam
                                                       
Przepraszam za zrobienie nowego Tematu ale wykonałem skany Emisoft i McAfee i one wykazują infekcje w plikac typu:
C:\Users\ppp\AppData\Roaming\Microsoft\Windows\winboot.bat Wykryto: Trojan.Win32.Agent (A)
i inne
Mam także pytanie a mianowicie czy podczas ostatniej próby usuwania infekcji coś zostało pominięte czy jednak jest była to próba ponownego zainfekowania? i czy mógłbym prosić o pomoc z usunięciem tej infekcji a co do dodatkowych skanów widocznie farbar tego nie widział.

Dodatkowe skany zamieszczam tutaj:

Emisoft wykazał kilka infekcji
1.Emisoft_EmergencyKIT:
<LOG_1>:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

                                                   
<LOG_2>:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


2.McAfee® Labs Stinger™:
<LOG_1>
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]



Pozdrawiam.
ISPNEVERBOX.
#2
Logi z FRST.txt i Addition.txt zapodaj , bo jakoś nie chce mi się wierzyć że tego nie widzi.

Co nie oznacza też że to malware lub jest czynne.
#3
WITAM
Czy to jest obecna infekcja widać wcześniej,widocznie Farbar tego nie zauważył(Warto jednak korzystać z dodatkowych narzędzi).
Zrobiłem szczegółowe logi mam nadzieje że teraz infekcja zostanie usunięta.

Poniżej zamieszczam Logi:

1.FARBAR RECORVERY SCAN TOOL:
-FRST:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-ADDITION:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-SHORTCUT:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


2.eScanAV_Anti-Virus_Toolkit(MWAV):
-MWAV_LOG
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-MWAVx2_LOG:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


3.RANDOM'S_SYSTEM_INFORMATION_TOOL(RSIT):
-INFO:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-LOG:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


4.Malwarebytes_Anti-Rootkit(MBAR):
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


5.E-PeeK:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


4.GMER:
-AutoStart:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-GMER:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


Wykonałem też logi portów przy pomocy eScan_Anti_virus-Toolkit:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]



Z góry dziękuję za poświęcony czas i Pozdrawiam.
ISPNEVERBOX.
#4
Nie ma tu czynnej infekcji, resztę zweryfikujemy.

Sugerując się programem AV rozumiem że to wywalamy Spybot Anti-Beacon\SDAntiBeacon.exe Smile

lub komp user Amsort C:\Amsort\TILIGO 13 przecież to prawidłowy katalog z programu.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
S0 wayuia; Brak ImagePath
U4 DiagTrack; Brak ImagePath
U4 dmwappushsvc; Brak ImagePath
S1 epp; \??\C:\EEK\bin64\epp.sys [X]
C:\.Trash-0
RemoveDirectory: C:\AdwCleaner
C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\ProgramData\Webroot
C:\Users\ppp\AppData\Local\Temp1.html
C:\Users\ppp\AppData\Local\Temp48.html
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\58052798.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\85021708.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\58052798.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\85021708.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
CMD: dir /a C:\Users\ppp\AppData\Local
CMD: dir /a C:\Users\ppp\AppData\LocalLow
CMD: dir /a C:\Users\ppp\AppData\Roaming
CMD: dir /a C:\Users\ppp\AppData\Roaming\Microsoft\Windows\
CMD: dir /a C:\Users\ppp\AppData\Roaming\Imminent\
file: C:\Users\ppp\AppData\Roaming\Microsoft\Windows\winboot.bat

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Ty chyba nic nie robisz tylko instalujesz różnej maści oprogramowania i skanujesz, jak coś wykryje to wirus Smile
Ale widać że i też keygeny Smile

Za ten czas zdążyłbym przeinstalować ten system. Poza tym dlaczego nie informujesz że temat leży też na innym forum, przecież można w ten sposób sobie zaszkodzić tymi działaniami.

Co do logów innych programów one nie są już wspierane i rozwijane na nowsze systemy.
#5
WITAM


Chciałem też zapytać jakie są najbardziej aktualne narzędzia do wykonywania logów oprócz Farbara?

Nie ukrywam że dużo torrentuje, ale powodem spyware był infekcji był irc Wink

Co do AV mój błąd sry,Przepraszam też że nie poinformowałem o 2 temacie.

Poniżej zamieszczam świerze Logi:


1.FARBAR_RECROVERY_SCAN_TOOL:
-FixLog:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-FRST:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Addition:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

SHORTCUT:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


2.RANDOM'S_SYSTEM_INFORMATION_TOOL(RSIT):
-INFO:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Log:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


3.AUTORUNS_SYSINTERNALS(POKAZAŁ KILKA OZNACZEŃ Z MOŻLIWOŚCIĄ INFEKCJI W STEROWNIKACH ORAZ KODEKACH):
-EVERYTHING(PLIK_ARN+Hasło do pliku:QuQeZuWa):
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Driver:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Kodeki:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Explorer:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-KnownDLLs:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


4.E-PeeK:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


5.ESET_SysInspector:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


Z góry dziękuję za poświęcony czas I Pozdrawiam.
ISPNEVERBOX.
#6
Tak jak pisałem,reszta narzędzi jest nieistotna na chwilę obecną.
Jeszcze zapomniałeś o OTL, był najpopularniejszym programem przed FRST i jeszcze wcześniej HijackThis.


Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
C:\Users\ppp\AppData\Local\Opera Software
C:\Users\ppp\AppData\Roaming\Opera Software
RemoveDirectory:  C:\Users\ppp\AppData\Roaming\Imminent
CMD: attrib -r -h -s C:\Users\tach2\AppData\Roaming\winboot.bat /s
CMD: del /q /s C:\Users\tach2\AppData\Roaming\winboot.bat
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
#7
WITAM

Ale ale jednak chciałem zapytać jakich innych Rozwijanych narzędzi oprócz farbara można użyć do diagnozowania infekcji.

Co do próby usuwanania winboot nie został usunięty,Emsisoft nadal wykazuje te samą infekcje.

Poniżej przedstawian świerze logi:

svchost pokazuję kilka połączeń:

[Aby zobaczyć linki, zarejestruj się tutaj]



1.FARBAR RECROVERY SCAN TOOL:
-FixList:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-FRST:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Addition:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Shortcut:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


2.AUTORUNS_SYSINTERNALS:
-LOG_Zauważył_Driver_trueSight:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Plik_ARN(HASłO_DO_PLIKU:dumyrevy) :
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


3.EMSISOFT_EMERGENCY_KIT:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


4.eScanAV Anti-Virus Toolkit_(MWAV):
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


5..Random's system information tool (RSIT)
-LOG:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-INFO
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


6.E-Peek:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


7.RAMMAP:
-PLIK_RMP(HASŁO_DO_PLIKU:ubyRahed):
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


8.ProcessExplorer:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


9.aswMBR
-(Zauważył sterownik)
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]



Z góry dziękuję za poświęcony czas i Pozdrawiam.
ISPNEVERBOX.
#8
Bo to nie ta ścieżka,sprawdzałem coś wcześniej.

wklej do notatnika i wykonaj jeszcze raz

CMD: attrib -r -h -s C:\Users\ppp\AppData\Roaming\winboot.bat /s
CMD: del /q /s C:\Users\ppp\AppData\Roaming\winboot.bat

pokaż raport

svchost to swoisty kontener,zawsze będą przez niego lecieć jakieś połączenia,nic w tym dziwnego

I tak jak pisałem już wcześniej,daruj sobie inne logi,nie ma tu nic niepokojącego.
#9
WITAM

Ponawiam pytanie jakich innych skutecznych narzędzi oprócz farbara można użyć do diagnozowania infekcji by móc poradzić sobię jeśli kiedyś będę miał podobny problem Tongue
Jeśli chodzi o svchost połączenia typu:      Dodałem do pliku hosts.
Miałem też problemy z dodawaniem wyjątków w panelu sterowania lub NETSH np: żadna z nowo zainstalowanych przeglądarek typu Pale Moon nie działa, tylko obecna opera funkcjonuje.

logi podaje poniżej:

1.FARBAR RECROVERY SCAN TOOL:
-FixList:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-FRST:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]

-Addition:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]


Chciałem dodatkowo zapytać o co chodzi z rejestrem który pokazuje mi EMSISOFT EMERGENCY KIT np: EXPLORER -> NORUN Wykryto: Setting.NoRun (A).

2.EMSISOFT EMERGENCY KIT:
LINK:

[Aby zobaczyć linki, zarejestruj się tutaj]



Z góry dziękuję i Pozdrawiam.
ISPNEVERBOX.
#10
Pisałem przecież OTL

EEK bzdury pokazuje,występuje ten przypadek nie tylko u ciebie,standardowo menadżer zadań domyślnie jest ustawiony na 0, wyłączony ma wartość 1, jeśli by tak było to byś nie odpalił go.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Temat zamykam infekcji tu nie ma.


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości