Facebook wirus logi:)

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
denton3345

Użytkownik
Posty: 4
Rejestracja: 25 sie 2011, 12:07

Facebook wirus logi:)

Post12 wrz 2011, 16:40

dobry:P jak w temacie:D Może ktoś miły i uczynny sie skusi obejrzeć logi i napisać skrypt:D:D z góry dziękuje:P malwerbytes już skanowane wyczyszczone

Dostępne tylko dla zarejestrowanych użytkowników otl

Dostępne tylko dla zarejestrowanych użytkowników extras

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8250
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Facebook wirus logi:)

Post12 wrz 2011, 17:25

Odinstaluj poprzez dodaj usuń programy Conduit Engine następnie
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
SRV - File not found [Auto | Stopped] -- -- (AntiVirService)
SRV - File not found [Auto | Stopped] -- -- (AntiVirSchedulerService)
IE - HKU\S-1-5-21-1343024091-115176313-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=3&q={searchTerms}"
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [avgnt] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 0
[2011-08-25 17:15:01 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.8.1
[2011-08-20 17:48:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-20 17:48:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-20 17:39:33 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-20 17:38:50 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-20 17:38:29 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-20 17:37:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR
[2011-08-20 17:35:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-08-20 17:32:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-20 17:32:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0-lnk
[2011-08-20 17:32:54 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0
[2011-08-29 15:11:53 | 000,000,223 | ---- | M] () -- C:\WINDOWS\info1
[2011-08-29 11:55:47 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-20 17:48:43 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-08-20 17:48:43 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-08-20 17:48:42 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-08-20 17:48:42 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-08-20 17:40:03 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-08-20 17:37:25 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-07-17 03:24:20 | 004,636,907 | ---- | M] () -- C:\WINDOWS\geoiplist
@Alternate Data Stream - 400 bytes -> C:\Documents and Settings\Jacek\Ustawienia lokalne\Dane aplikacji\desktop.ini:bf5af20ce7a419b1178ece347eddc338
@Alternate Data Stream - 120 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:F6C0CA66

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Jacek\Moje dokumenty\Downloads\Flash-Player.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.tray-8-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-

:Commands
[emptyflash]
[resethosts]
[emptytemp]


Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

denton3345

Użytkownik
Posty: 4
Rejestracja: 25 sie 2011, 12:07

Facebook wirus logi:)

Post12 wrz 2011, 20:38

no więc tak:P wklejam skrypt --> wykonaj bla bla i brak odpowiedzi...i tak sobie zwieche trzyma...z restartowałem kompa 2 próba i MBAMService terminated unexpectedly:see Event log for details. potem znów brak odpowiedzi... no i dodam że to nie mój komputer...koleżanki i się na gadu komunikujemy:) więc nie mam bezpośredniego dostępu:) tamten program był wcześniej usunięty

dennisek123

Stały bywalec
Posty: 286
Rejestracja: 12 kwie 2011, 10:39
Lokalizacja: Okolice Poznania :D

Facebook wirus logi:)

Post14 wrz 2011, 17:05

OTL nie pracuję zbyt szybko i usuwanie wirusu wymaga czasu niech koleżanka zrobi "wykonaj skrypt" i poczeka od 30-1 aż OTL zrobi to co ma zrobić najlepiej gdy w czasie dawania polecenia OTL nie mieć żadnych programów włączonych.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 13 gości