Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
Objawy zainfekowania:
29 stycznia AVG IS 2013 podczas korzystania z Internetu AVG IS wykrył program wykorzystujący lukę zabezpieczeń Styx Exploi Kit.AVG podjął jakieś tam działania i coś usunął. Jednak system po załadowaniu się zawiesza…
Wykonywane działania:
Żadne...
Logi:
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
Extras: [Aby zobaczyć linki, zarejestruj się tutaj]
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 362
Liczba wątków: 15
Dołączył: 01.08.2012
Reputacja:
15
Według mnie log jest czysty. Nie ma żadnej infekcji. Ale ten dział należy do tachiona, nie pomagam tutaj, więc niech on się wypowie.
Chyba przyjęte przez nas miano Ciebie jako hipochondryka jest prawdą.
Galactico napisał(a):AVG IS wykrył program wykorzystujący lukę zabezpieczeń Styx Exploi Kit.
Nie podałeś źródła wykrycia. Mogło być to również zwykłe FP.
BitDefender Internet Security 2013 | Malwarebytes Anti-Malware | HitmanPro (pełna wersja).
Liczba postów: 72
Liczba wątków: 0
Dołączył: 24.11.2012
Reputacja:
14
Wklej do OTL :
Kod: :OTL
IE - HKU\S-1-5-21-1596584087-480411513-844043613-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 173.213.108.114:3128
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..network.proxy.http: "93.152.175.1"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.type: 0
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1596584087-480411513-844043613-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [AntiLogger] "C:\Program Files (x86)\AntiLogger\AntiLogger.exe" /minimized File not found
O4 - HKU\.DEFAULT..\RunOnce: [panda4_0dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_0dn" /f File not found
O4 - HKU\.DEFAULT..\RunOnce: [panda4_0dn_XP] reg.exe delete "HKCU\Software\panda4_0dn" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [panda4_0dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_0dn" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [panda4_0dn_XP] reg.exe delete "HKCU\Software\panda4_0dn" /f File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O20:[b]64bit:[/b] - Winlogon\Notify\avldr: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
:Commands
[emptytemp]
Kliknij wykonaj skrypt . Zatwierdź restart komputera.
Po restarcie wykonaj ponownie skanowanie i pokaż nowy log OTL.Txt
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
No to piknie Iluminaci przez proxy mają dostęp to się nie dziwie że avg się odzywa<!-- s --> <!-- s -->
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
No odetkało mi się... Usunąłem javę i ale też długo czekałem... Za chwilę dam nowy log.
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
Extras: [Aby zobaczyć linki, zarejestruj się tutaj]
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
Pozostałości po vipre, javie, pandzie...
Liczba postów: 362
Liczba wątków: 15
Dołączył: 01.08.2012
Reputacja:
15
zord napisał(a):Pozostałości po vipre, javie, pandzie...
Dokładnie. Tutaj nie było żadnej infekcji, tylko włączony serwer proxy i śmieci.
BitDefender Internet Security 2013 | Malwarebytes Anti-Malware | HitmanPro (pełna wersja).
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
zord napisał(a):Pozostałości po vipre, javie, pandzie...
Da się przez OTL usunąć?
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj,pokaż po tym działaniu raport
Kod: :Processes
Killallprocesses
:OTL
DRV:[b]64bit:[/b] - [2011-04-05 16:35:20 | 000,253,528 | ---- | M] (Sunbelt Software, Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\SbFw.sys -- (SbFw)
DRV:[b]64bit:[/b] - [2011-04-05 16:35:20 | 000,060,504 | ---- | M] (Sunbelt Software, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\sbhips.sys -- (sbhips)
DRV:[b]64bit:[/b] - [2011-02-08 08:14:20 | 000,084,568 | ---- | M] (Sunbelt Software, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SbFwIm.sys -- (SBFWIMCLMP)
DRV:[b]64bit:[/b] - [2011-02-08 08:14:20 | 000,084,568 | ---- | M] (Sunbelt Software, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\SbFwIm.sys -- (SBFWIMCL)
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin:File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin:File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\[email protected]: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
[2013-01-26 09:13:56 | 000,002,112 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\sfzmit2m.default\searchplugins\search.xml
O2:[b]64bit:[/b] - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2:[b]64bit:[/b] - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O16:[b]64bit:[/b] - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.)
O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O20:[b]64bit:[/b] - Winlogon\Notify\avldr: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2012-09-28 19:37:13 | 000,000,000 | ---D | M] -- C:\Users\Kuba\AppData\Roaming\Panda Security
:Commands
[EMPTYJAVA]
[EMPTYTEMP]
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
Raport: Kod: All processes killed
========== PROCESSES ==========
========== OTL ==========
Error: Unable to stop service SbFw!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SbFw deleted successfully.
C:\Windows\SysNative\drivers\SbFw.sys moved successfully.
Service sbhips stopped successfully!
Service sbhips deleted successfully!
C:\Windows\SysNative\drivers\sbhips.sys moved successfully.
Error: Unable to stop service SBFWIMCLMP!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SBFWIMCLMP deleted successfully.
C:\Windows\SysNative\drivers\SbFwIm.sys moved successfully.
Service SBFWIMCL stopped successfully!
Service SBFWIMCL deleted successfully!
File C:\Windows\SysNative\drivers\SbFwIm.sys not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin\ not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\[email protected] deleted successfully.
File C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird not found.
C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\sfzmit2m.default\searchplugins\search.xml moved successfully.
Starting removal of ActiveX control {233C1507-6A77-46A4-9443-F871F945D258}
C:\Windows\Downloaded Program Files\swdir.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{233C1507-6A77-46A4-9443-F871F945D258}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{233C1507-6A77-46A4-9443-F871F945D258}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{233C1507-6A77-46A4-9443-F871F945D258}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{233C1507-6A77-46A4-9443-F871F945D258}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
C:\Users\Kuba\AppData\Roaming\Panda Security\Panda Cloud Antivirus folder moved successfully.
C:\Users\Kuba\AppData\Roaming\Panda Security folder moved successfully.
========== COMMANDS ==========
[EMPTYJAVA]
User: All Users
User: Default
User: Default User
User: Kuba
->Java cache emptied: 0 bytes
User: Public
Total Java Files Cleaned = 0,00 mb
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Kuba
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1545599 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 424225242 bytes
->Google Chrome cache emptied: 12620409 bytes
->Flash cache emptied: 2227 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 31736 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50333 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 418,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 02012013_213452
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Po wykonaniu skryptu nie mam połączenia z internetem? Co jest?
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
Wiedziałem że tak będzie nieprawidłowo odinstalowałeś wipre zostały sterowniki sieciowe i po ich usunięciu taki skutek.
W menadżerze urządzeń spróbuj odinstalować i zainstalować kartę sieciową.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
He no sam chciał ale miałem to samo napisać,zrób tak jak pisze zord
Odinstaluj sterownik i uruchom kompa ponownie
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
zord napisał(a):Wiedziałem że tak będzie nieprawidłowo odinstalowałeś wipre zostały sterowniki sieciowe i po ich usunięciu taki skutek.
W menadżerze urządzeń spróbuj odinstalować i zainstalować kartę sieciową.
Dokładnie jak to zrobić, bo nie widzę takiej opcji...
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
Otwieranie Menedżera urządzeń
[Aby zobaczyć linki, zarejestruj się tutaj]
Znajdź karty sieciowe i je odinstaluj potem na górze kliknij akcja i skanuj w poszukiwaniu zmian sprzętu
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
zord napisał(a):Otwieranie Menedżera urządzeń
[Aby zobaczyć linki, zarejestruj się tutaj]
Znajdź karty sieciowe i je odinstaluj potem na górze kliknij akcja i skanuj w poszukiwaniu zmian sprzętu
Okey.. Tyle to i ja się pokapowałęm, ale ja tam mam w tym drzewku kilka pozycji z taką zółtą tarczą"
Atheros Wireles Network
Broadcom NetLink
Karta wirtualnego miniportu
Wan miniport
Wan miniport
Wan miniport
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
wywal wszystko system powinien zainstalować to ponownie
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
A zaznaczyć to pole: "Usuń oprogramowanie sterownika dla tego urządzenia"?
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
Odinstalowałem, kliknąłem akcja i skanuj w poszukiwaniu zmian sprzętu, zrestartowałem komputer i nic... dalej są z tą zółtą tarczą...
Dodano: 01 lut 2013, 23:09
Ale mi się pochrzaniło kompletnie.... tak, że musiałem przywracać system.... Przywróciłem do tego nieszczęsnego 29 stycznia. Więc proszę mi powiedzieć tak na spokojnie, czy w tym pierwszym logu nie było nic podejrzanego?
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nie ma infekcji same śmieci,ogólnie to byś musiał zainstalować vipre i poprawnie się jego pozbyć,jeśli nie chcesz żeby był w raz ze sterownikami które implementują własne filtry sieciowe,tutaj one zostały usunięte w skrypcie i dlatego taki problem był
|