Analiza OLT po ukashu i innych syfach

[limak]

Prosił bym o przejrzenie logów pod katem nie usuniętych pozostałości. (na pewno nie jestem sam w stanie usunąć ASK.com)

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS

[Waves]

Na aska pobierz AdwClealner. W oknie programu opcje delete. Zapisz log i pokaż go.

Do OTL w własne pole skanowania/skrypt wklej:

Kod:

:Processes
Killallprocesses

Files:
C:\Windows\System32\acovcnt.exe
C:\ProgramData\0tbpw.pad
C:\ProgramData\0tbpw.js
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] ---- (a6f9vwvu)
O33 - MountPoints2\{146bacaf-8ea6-11df-9239-002243a3af28}\Shell - "" = AutoRun
O33 - MountPoints2\{146bacaf-8ea6-11df-9239-002243a3af28}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O33 - MountPoints2\{913321e2-e0bb-11dd-a2f8-002243a3af28}\Shell - "" = AutoRun
O33 - MountPoints2\{913321e2-e0bb-11dd-a2f8-002243a3af28}\Shell\AutoRun\command - "" = G:\setup.exe
O33 - MountPoints2\{c954d31d-084c-11df-8e8b-002243a3af28}\Shell\AutoRun\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
O33 - MountPoints2\{c954d31d-084c-11df-8e8b-002243a3af28}\Shell\open\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:File not found
@Alternate Data Stream - 64 bytes -> C:\Users\Wieczorek Jakub\Desktop\Teksańska masakra piłą mechaniczną.avi:TOC.WMV
@Alternate Data Stream - 64 bytes -> C:\Users\Wieczorek Jakub\Desktop\Quarantine.2.Terminal.PL.DVDRip.XviD.AC3-RomaN.avi:TOC.WMV
@Alternate Data Stream - 64 bytes -> C:\Users\Wieczorek Jakub\Desktop\piraci.avi:TOC.WMV
@Alternate Data Stream - 64 bytes -> C:\Users\Wieczorek Jakub\Desktop\nic śmiesznego (film polski).avi:TOC.WMV
@Alternate Data Stream - 64 bytes -> C:\Users\Wieczorek Jakub\Desktop\MOV09657.MPG:TOC.WMV

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[emptyflash]

Wykonaj skrypt. Pokaż log z usuwania i nowy po .

[limak]

[Aby zobaczyć linki, zarejestruj się tutaj]

wykonanie komendy

[Aby zobaczyć linki, zarejestruj się tutaj]

adw analiza

[Aby zobaczyć linki, zarejestruj się tutaj]

adw po usunieciu

[Aby zobaczyć linki, zarejestruj się tutaj]

olt po

[Aby zobaczyć linki, zarejestruj się tutaj]

extras po

Prosil bym o ocene czy system jest juz czysty, czy nalezy przy nim jeszcze cos grzebac.

[Waves]

Popełniłem błąd w skrypcie. Do OTL wklej:

Kod:

:Files
C:\Windows\System32\acovcnt.exe
C:\ProgramData\0tbpw.pad
C:\ProgramData\0tbpw.js
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives

Wykonaj skrypt.

[limak]

[Aby zobaczyć linki, zarejestruj się tutaj]

wykonanie poprawnych komend

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL po restartcie

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

jedynym widocznym problemem zostalo bardzo wolne dzialanie centrum sieci i udostepniania. Samo wejscie tam zajmuje tam ponad minute, kazda glebsza operacja takze :/

[Waves]

Do OTL jeszcze to:

Kod:

:OTL
O33 - MountPoints2\{c954d31d-084c-11df-8e8b-002243a3af28}\Shell\AutoRun\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe
O33 - MountPoints2\{c954d31d-084c-11df-8e8b-002243a3af28}\Shell\open\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe

Naciśnij również wykonaj skrypt. Poprzednim razem się nie usunęło Pokaż log z usuwania. Zaraz coś pomyślę nad tym centrum sieci.

[limak]

[Aby zobaczyć linki, zarejestruj się tutaj]

prosze bardzo log z wykonania

co do centrum sieci to nawet jak wejde w zarzadzanie kartami sieciowymi przez ustawienia/polaczenia sieciowe (jak juz sie zaladuje )i klikne na ktoras z kart ppm to takze zawiecha explorera najczesciej dochodzi

[Waves]

Pobierz program GMER ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Nazwa jest losowo generowana, więc nie przejmuj się. Odpal program i przeczekaj wstępny skan, który automatycznie się włączy. Po tym skanie upewnij się że wszystkie okienka z prawej są zaznaczone i naciśnij skanuj/scan. Pokaż log.

[limak]

[Aby zobaczyć linki, zarejestruj się tutaj]

skan wstepny

[Aby zobaczyć linki, zarejestruj się tutaj]

skan calkowity
jeszcze jedna podpowiedz po samodzielnym usunieciu czesci wirusow nie dzialaly wogole polaczenia sieciowe, pomoglo odinstalowanie i ponowne zainstalowanie sterownikow kart sieciowych

[tachion]

Witam rozumiem że po ponownym zainstalowaniu sterownika połączenie zostało przywrócone.
Skan programem GMER był trochę nie poprawnie wykonany bo był załadowany i uruchomiony sterownik z deamon toolsa SPTD a to może fałszować wynik skanu,czy w po skanie zostało coś zaznaczone w programie na czerwono?

Do wykonania jeszcze to:
I uprzedzam że należy wykonać to w trybie awaryjnym z obsługą sieci
W własne opcje skanowania skrypt wklej i wykonaj pokaż raport

Kod:

:OTL
SRV - File not found [Auto | Stopped] -- C:\Users\WIECZO~1\AppData\Local\Temp\wpbt0.dll -- (Winmgmt)

:Files
C:\Users\WIECZO~1\AppData\Local\Temp\wpbt0.dll

:Commands
[EMPTYTEMP]

[limak]

tak po przeinstalowaniu sterownikow polaczenia sieciowe juz dzialaja, co do deamontoolsa to nie wiem o nim nic bo aktualnie juz nie instnieje w systemie jednak sterownik musial pozostac :/ na czerwono nic sie nie wyswietlalo

[Aby zobaczyć linki, zarejestruj się tutaj]

// nie wiem czy to tylko moje bledne odczucie ale po wykonaniu ostatniej komendy centrum sieci zaczelo dzialac poprawnie

[tachion]

Tak więc ok możemy temat zakończyć przejdź do sprzątania w otl,profilaktycznie jak wiadomo możesz przeskanować Hitmanem lub Malwarebytes Anti-Malware system.