Facebook - hi, how are you (znowu:/)

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Facebook - hi, how are you (znowu:/)

Post21 sie 2011, 23:47

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O31 - SafeBoot: AlternateShell - services32.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
SRV - [2011-08-19 13:13:00 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\Windows\update.7.1\svchostdriver.exe -- (ddservice)
[2011-08-19 13:13:01 | 000,000,179 | ---- | M] () -- C:\Windows\info1
[2011-08-19 12:16:23 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-08-19 12:16:23 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-08-19 12:16:23 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-08-19 12:16:23 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-08-19 12:08:17 | 000,904,792 | ---- | M] () -- C:\Windows\geoiplist.rar
[2011-08-19 12:07:10 | 000,000,000 | ---- | M] () -- C:\Windows\loader2.exe_ok

:Files
C:\Windows\SysNative\drivers\etc\hîsts
C:\Windows\update.*
C:\Windows\ufa
C:\Windows\phoenix
C:\Windows\MEMORY.DMP

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz log.

4. Tworzysz i wklejasz log z Dostępne tylko dla zarejestrowanych użytkowników. Jeżeli coś wykryje ignoruj a jedynie wklej loga.

5. Pokaż zawartość pliku boot.ini

Czyli końcowo pokazujesz:
  • Raport z usuwania OTL (po restarcie),
  • Raport z czyszczenia Ad-Remover'em,
  • Nowe logi z OTL.
  • Log z TDSSKiller'a

SMD

Użytkownik
Posty: 2
Rejestracja: 21 sie 2011, 16:54

Facebook - hi, how are you (znowu:/)

Post22 sie 2011, 09:58

Raport z usuwania OTL (po restarcie): Dostępne tylko dla zarejestrowanych użytkowników
Raport z czyszczenia Ad-Remover'em: Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi z OTL: Dostępne tylko dla zarejestrowanych użytkowników
Log z TDSSKiller'a: Dostępne tylko dla zarejestrowanych użytkowników

-- 22 sie 2011, 09:58 --

chyba już wszystko jest tip top. Jeszcze raz wielkie dzięki :D



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości