Profilaktyczne (nie całkiem) sprawdzenie loga
#1
Witam!
Wiem, że to jest dział "po zainfekowaniu". Ja raczej zainfekowany nie jestem, aczkolwiek, jakiś mniejszy syf na pewno się znajdzie Smile
Prosiłbym Was o usunięcie pozostałości po vshare (to nie ja go instalowałem Grin ), toolbara, który się zainstalował w Firefoxie oraz w szcególności pozostałości po antywirusach.
Chodzi mi o Comodo, Nortona, Eseta, FSecure i Pandę Cloud (niestety, usuwałem tylko wbudowanymi deinstalatorami)
No i wszystkiego, co znajdziecie Smile
Domyślam się, że system nie jest w najlepszej kondycji Tongue

Pozdrawiam.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
do skasowania
C:\Program Files\COMODO
C:\ProgramData\fssg
C:\Windows\System32\drivers\EpfwLWF.sys
C:\Users\Rafał\AppData\Roaming\ESET
C:\Users\Rafał\AppData\Roaming\f-secure
C:\Users\Rafał\AppData\Roaming\Panda Security
Odpowiedz
#3
Obiecałem Smile
Ten plik :
Kod:
C:\Windows\System32\drivers\uxpatch.sys
C:\Windows\IsUn0415.exe
C:\Windows\System32\CLWCP.exe


Przeskanuj na

[Aby zobaczyć linki, zarejestruj się tutaj]


Do SystemLook wklej:
Kod:
:dir
C:\Windows\8ôY
C:\games

Wciśnij look - pokaż co wyskoczy.

Do OTL w własne pole skanowania skrypt:
Kod:
:Processes
Killallprocesses

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
IE - HKU\S-1-5-21-3159849417-3170808170-1192394772-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=b07bba50-04c3-11e1-b8a5-005056c00008&q="
O3 - HKLM\..\Toolbar: (WOT) - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll ()
O2 - BHO: (WOT Helper) - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll ()
@Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:C43ED645
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:9480C137

:Files
C:\Users\Rafał\AppData\Roaming\Mozilla\Firefox\Profiles\uoktv0ki.default\searchplugins\startsear.xml
C:\Windows\System32\drivers\EpfwLWF.sys
C:\Users\Rafał\Documents\Symantec
C:\Program Files\COMODO
C:\ProgramData\fssg
C:\Windows\System32\drivers\EpfwLWF.sys
C:\Users\Rafał\AppData\Roaming\ESET
C:\Users\Rafał\AppData\Roaming\f-secure
C:\Users\Rafał\AppData\Roaming\Panda Security

:Commands
[EMPTYTEMP]
[EMPTYFLASH]

Wykonaj skrypt.

Przeczyść wszystko

[Aby zobaczyć linki, zarejestruj się tutaj]


I te ciągłe wgrywanie AV i ich zmiany nie są dobre dla komputera.
Odpowiedz
#4
Dzięki Waves Smile
C:\Windows\System32\drivers\uxpatch.sys - ten plik jest wykrywany tylko przez Risinga jako Suspicious

Cytat: C:\Windows\IsUn0415.exe
C:\Windows\System32\CLWCP.exe

Czyste.

SystemLook - log

[Aby zobaczyć linki, zarejestruj się tutaj]


Cytat: I te ciągłe wgrywanie AV i ich zmiany nie są dobre dla komputera.

Bez przesady Smile

Po wykonaniu skryptu dać nowe logi?
Odpowiedz
#5
Kamil edytowałeś pliki systemowe w celu odblokowaniaskórek?
Sandboxie + UAC Max/Spyshelter P + Webroot SA + OPEN DNS
Odpowiedz
#6
bardok206 napisał(a):Kamil edytowałeś pliki systemowe w celu odblokowaniaskórek?

Nic takiego nie robiłem.

Wrzucam jeszcze log po wykonaniu skryptu -

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#7
usuń ręcznie:
C:\Windows\8ôY
C:\games

Przeskanuj na koniec MBAM i już koniec.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości