Awaria antywirusa

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
xdas

Użytkownik
Posty: 4
Rejestracja: 05 mar 2018, 19:51

Awaria antywirusa

Post05 mar 2018, 21:11

Witam wszystkich.
Uprezjmie proszę o sprawdzenie logów. Wczoraj miałem awarię antywirusa i podejrzewam niechcianą aktywność badziewiaków.
Programy sie zawieszały ale windows pracował.
Tds Wykrył 4 zagrożenia
Z góry dziękuję.
Pojawiły mi sie dodatkowe nie opisne usługi.
OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
FRST
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
TDS
Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Awaria antywirusa

Post06 mar 2018, 07:45

Nie widzę tu żadnej infekcji.

Kilka plików FRST sprawdzi na VirusTotal, w tym także te wykryte przez TDSKillera.

Kosmetyka:
Otwórz Notatnik i wklej w nim:
VirusTotal: C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe
VirusTotal: C:\Program Files\Daedalus\daedalus.bat
VirusTotal: C:\Program Files\thgw.exe
VirusTotal: C:\Program Files\thg.exe
VirusTotal: C:\Program Files\hg.exe
VirusTotal: C:\Program Files\docdiff.exe
VirusTotal: C:\Windows\System32\ikeext.dll
VirusTotal: C:\Program Files (x86)\Windows Kits\10\Testing\Runtimes\TAEF\Wex.Services.exe
VirusTotal: C:\Program Files\Microsoft MPI\Bin\msmpilaunchsvc.exe
Task: {2D0F2113-62D6-4C36-AA7B-70254C6D7C6A} - System32\Tasks\{A3050090-D76F-4B2D-9C69-2FC4EF252857} => Firefox.exe hxxps://www.skype.com/go/downloading?so ... rror=12040
Task: {390CA4D4-A051-4781-BC69-C6B810D2D73F} - System32\Tasks\{78002A0A-2BCA-41A6-8EB7-19470779D8AA} => Firefox.exe hxxps://www.skype.com/go/downloading?so ... rror=12040
Task: {4DC06D29-42C6-403E-8FF3-F848034C3B0B} - System32\Tasks\{AD034341-56AD-40B2-8624-BD8E7399BB59} => Firefox.exe hxxps://www.skype.com/go/downloading?so ... rror=12040
Task: {672382C7-F762-41E4-B5B3-3DC328002BFF} - System32\Tasks\{07BE256A-0A67-45E4-AD45-01958A0F2F2A} => Firefox.exe hxxps://www.skype.com/go/downloading?so ... rror=12040
Task: {9EA79693-1612-473E-B9A3-F0E122ABD956} - System32\Tasks\{29827704-FDE3-42AB-B15C-BC09717D312F} => Firefox.exe hxxps://www.skype.com/go/downloading?so ... rror=12040
Task: {F88AE21A-B214-405B-80F0-A392A022F3D7} - System32\Tasks\{023BF3F8-67A0-4DC1-9B55-4C3337D700A2} => Firefox.exe hxxps://www.skype.com/go/downloading?so ... rror=12040
S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X]
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
S3 RwDrv; \??\C:\Windows\SysWOW64\Drivers\RwDrv.sys [X]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <nie znaleziono>
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/deta ... ijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/deta ... ijdbbplhib
FF Extension: (Name) - C:\Users\I am\AppData\Roaming\Mozilla\Firefox\Profiles\qz6nhefx.default\Extensions\firefox@ghostery.com.xpi [2018-03-03]
SearchScopes: HKU\S-1-5-21-329536569-4285020801-3436641024-1001 -> DefaultScope {07F45BE9-8458-40D8-AD4D-621B6B37431E} URL =
SearchScopes: HKU\S-1-5-21-329536569-4285020801-3436641024-1001 -> {07F45BE9-8458-40D8-AD4D-621B6B37431E} URL =
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze D:\Pobrane
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.
.

xdas

Użytkownik
Posty: 4
Rejestracja: 05 mar 2018, 19:51

Awaria antywirusa

Post07 mar 2018, 06:23

Witam

Naprawa zostałą przeprowadzona. Nie wszystko udało sie posprzątać.
Daedalus jest mi potrzebny prosze nie usuwać.
LOG
Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Awaria antywirusa

Post07 mar 2018, 07:45

VirusTotal: C:\Program Files\Daedalus\daedalus.bat => Błąd: Nie znaleziono automatycznej naprawy dla tego wejścia.

Nie wiem, dlaczego FRST nie wysłał tych plików na "VirusTotal".
Może ostatnio autor FRST coś zmienił w FRST, o czym ja nie wiem ...
.

xdas

Użytkownik
Posty: 4
Rejestracja: 05 mar 2018, 19:51

Awaria antywirusa

Post14 mar 2018, 14:16

Witam
Ja wiem stara wersja
fixlist:
Dostępne tylko dla zarejestrowanych użytkowników
Oto nowe logi
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników


Czy istnieje możliwoć by serwer zapisywał post i jak poprosi o ponowny login to nie zapisany post nie przepadnie?


Zaktualizowałem plik host dodałem parę wpisów od siebie + ta lista Dostępne tylko dla zarejestrowanych użytkowników


Dodatkowo usunołem kilka nie urzywanych programów a śmieci pozostały
Kingoo root
tibler
teamspeak3
skype
aqq
Daemon tools lite



Prosze o usunięcie z autostartu usługi bloethot
i tego też jeśli nie jest nie zbędne
dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys
C:\Windows\System32\drivers\dtliteusbbus.sys
RadioShim; C:\Windows\System32\drivers\RadioShim.sys [14680 2013-07-18] (Acer Incorporated)
Czyżby Acer mnie słuchał??

Zaktualizowałem flash playera i dostałem w prezencie Macafee site advisora pomimo odznaczonego ptaszka - łobuzy co nie 8-)

NIe wiem co to jest za usługa:
FirewallRules: [{2887568F-B01A-4986-BAF6-E523FF0D32A2}] => (Allow) LPort=12292
Jeśli uda sie to proszę o usunięcie tego połączenia z listy:
Error: (03/13/2018 06:14:05 AM) (Source: RasClient) (EventID: 20227) (User: )
Description: CoId={26159D58-8349-4E58-9A17-4822A6D04B69}:
The user Thempak\I am dialed a connection named Xxx which has failed. The error code returned on failure is 633.


Na prwno w logach znajdziesz o wiele więcej.
z góry dziękuję za pomoc.

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Awaria antywirusa

Post14 mar 2018, 18:08

Na VirusTotal pliki okazały się OK.

Otwórz Notatnik i wklej w nim:
Tcpip\..\Interfaces\{77752A7F-F84E-4100-857C-46BA0E07C471}: [NameServer] 127.0.0.1,127.0.0.2
S3 dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys [30264 2017-04-11] (Disc Soft Ltd)
S3 dtliteusbbus; C:\Windows\System32\drivers\dtliteusbbus.sys [47672 2017-04-11] (Disc Soft Ltd)
C:\Windows\System32\drivers\dtliteusbbus.sys
C:\Windows\System32\drivers\dtlitescsibus.sys
S3 RadioShim; C:\Windows\System32\drivers\RadioShim.sys [14680 2013-07-18] (Acer Incorporated)
C:\Windows\System32\drivers\RadioShim.sys
HKU\S-1-5-21-329536569-4285020801-3436641024-1001\...\StartupApproved\Run: => "AQQ"
HKU\S-1-5-21-329536569-4285020801-3436641024-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount"
HKU\S-1-5-21-329536569-4285020801-3436641024-1001\...\StartupApproved\Run: => "Skype"
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.

xdas

Użytkownik
Posty: 4
Rejestracja: 05 mar 2018, 19:51

Awaria antywirusa

Post14 mar 2018, 22:41

Ostatnio zmieniony 15 lip 2018, 13:29 przez LupeR, łącznie zmieniany 1 raz.
Powód: zamykam



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Google [Bot] i 13 gości