logi do sprawdzenia

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
dawid954

Użytkownik
Posty: 7
Rejestracja: 15 wrz 2019, 19:53

logi do sprawdzenia

Post15 wrz 2019, 20:20

Dizeń dobry wszystkim
mam problem z komputerem proszę o pomoc. Skanowałem do adwcleaner, system ninja, odkurzaczem.
Utworzyłem logi proszę o sprawdzenie i ewentualną pomoc.

Extras.Txt Dostępne tylko dla zarejestrowanych użytkowników
OTL.Txt Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 272
Rejestracja: 06 lut 2017, 00:26

logi do sprawdzenia

Post15 wrz 2019, 22:09

widać infekcje.
daj logi z FRST bezpieczenstwo/korzystanie-z-frst-t28530.html
przed skanem zaznacz: Additional.txt Shortcut.txt,


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5842
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia

Post16 wrz 2019, 20:08

1. Otwórz notatnik i wklej:
CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [a115g0314h1] => C:\Program Files\VXljkq\582889788.exe [488448 2019-09-14] (Frank) [Brak podpisu cyfrowego]
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [5643931] => "C:\Users\Dawid954\AppData\Local\Temp\is-UABVH.tmp\BeingLKL.exe" /VERYSILENT <==== UWAGA
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [TM6E0XBDKDE3NC7] => C:\Program Files\NPWMZ9V5IL\H4ETRCLOD.exe [1240576 2019-09-15] (IENHKB60) [Brak podpisu cyfrowego]
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [5417679] => "C:\Users\Dawid954\AppData\Roaming\3ncebu0gbuy\1vlxul4agmf.exe" /VERYSILENT
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [CA1SH7U7XYBPJ31] => C:\Program Files\BLJL9D10US\BLJL9D10U.exe [1240576 2019-09-15] (IENHKB60) [Brak podpisu cyfrowego]
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [2525294] => "C:\Users\Dawid954\AppData\Roaming\fz03e3qm1mo\45ftjswuvqd.exe" /VERYSILENT
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [Q9L88FZDM2N4KY4] => C:\Program Files\DSRF2BF4DW\DSRF2BF4D.exe [1240576 2019-09-15] (IENHKB60) [Brak podpisu cyfrowego]
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [8926037] => "C:\Users\Dawid954\AppData\Roaming\jung1y1nxsl\folo4a4yror.exe" /VERYSILENT
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [IWCLKM2GSW4UOED] => C:\Program Files\HIV3VMJXHO\U71I3MPYG.exe [1240576 2019-09-15] (IENHKB60) [Brak podpisu cyfrowego]
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\Run: [2746955] => "C:\Users\Dawid954\AppData\Roaming\rca0dapyae2\vpbmu1nxhmz.exe" /VERYSILENT
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\MountPoints2: {8d9030e7-c24f-11e6-837e-806e6f6e6963} - F:\setup.exe
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\MountPoints2: {9cce394b-fc15-11e6-802c-c9cfc2e692b1} - K:\SETUP.EXE
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\...\MountPoints2: {c5090c4c-c30a-11e6-927c-ed0da40075ac} - K:\LG_PC_Programs.exe
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {1AB2D9BF-DEDC-42B7-A261-76423F0C8061} - System32\Tasks\Odkurzacz => C:\Program Files\Odkurzacz\odkurzacz.exe [1069056 2019-01-06] (FranmoSoftware) [Brak podpisu cyfrowego] <==== UWAGA
Task: {2D2DEC4F-74BB-4FB5-9626-21B3A60365F1} - System32\Tasks\Microsoft\Windows\PLA\System\ConvertLogEntries => %windir%\system32\rundll32.exe %windir%\system32\pla.dll,PlaConvertLogEntries <==== UWAGA
Task: {A8B9A8D9-C3F4-465C-9B60-FF9D99E47E0E} - System32\Tasks\{4F762620-9881-4B6E-8D83-4EC7977E7E9E} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\3dGirlz\Default\Q3DUnInst.exe" -d "C:\Program Files\3dGirlz\Default"
Task: {B3A3410E-E1DF-415E-AE9C-868B4CB37E86} - System32\Tasks\{9A5E9D3A-BFE4-494D-BF96-ED703517A36D} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Common Files\Grave-String\uninstall.exe" -c shuz -f "C:\Program Files\Common Files\Grave-String\uninstall.dat" -a uninstallme 1093DA4D-55C6-40DA-9E15-780464AF19CD DeviceId=2ee29abc-d823-bf06-b3a5-a3f84f6df30f BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
Task: {E49FC411-BA89-4CF2-AF3D-D1F3574EE92D} - System32\Tasks\{BCD4AED8-08CD-454F-8EBA-A9D66BAAF0BE} => C:\Windows\system32\pcalua.exe -a "C:\Users\Dawid954\Desktop\Nowy folder\Darkfall_Polish.exe" -d "C:\Users\Dawid954\Desktop\Nowy folder"
Task: {F04E41C5-D246-450D-9110-EAEE79E85C39} - System32\Tasks\{D297D95A-8875-43A3-A001-4DD061A59982} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Common Files\Macrovision Shared\SafeCast\Install\CDAC13BA.EXE" -c /uninstall
Task: {F1B47253-D15C-417E-99EA-DA58E0E0DE3E} - System32\Tasks\{8999CF39-C08C-47A0-897D-0005EDF9FC34} => C:\Windows\system32\pcalua.exe -a C:\Users\Dawid954\Desktop\3dgirlz.exe -d C:\Users\Dawid954\Desktop
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73 ... ANISQ,,&q={searchTerms}
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190
HKU\S-1-5-21-2172949740-2839503034-1927820381-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
U0 aswVmm; Brak ImagePath
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
2019-09-15 19:18 - 2019-09-15 19:18 - 000000000 ____D C:\Program Files\HIV3VMJXHO
2019-09-15 19:08 - 2019-09-15 19:08 - 000000000 ____D C:\Program Files\DSRF2BF4DW
2019-09-15 18:58 - 2019-09-15 18:58 - 000000266 __RSH C:\Users\Dawid954\ntuser.pol
2019-09-15 18:54 - 2019-09-15 18:54 - 000000000 ____D C:\Program Files\BLJL9D10US
2019-09-15 18:34 - 2019-09-15 18:34 - 000000000 ____D C:\Program Files\VXljkq
2019-09-15 18:34 - 2019-09-15 18:34 - 000000000 ____D C:\Program Files\NPWMZ9V5IL
2019-09-15 18:33 - 2019-09-15 18:33 - 000000266 __RSH C:\ProgramData\ntuser.pol
2019-09-02 20:47 - 2019-09-02 20:47 - 000000000 ____D C:\Users\Dawid954\{b45c50ef-29cd-4f20-86d3-7e2a04ec76d0}
2019-09-02 20:47 - 2019-09-02 20:47 - 000000000 ____D C:\Users\Dawid954\{9c568d96-b69d-447b-8e35-dbc7e8a01b40}
2019-08-18 21:44 - 2019-08-18 21:44 - 259062414 _____ C:\Windows\MEMORY.DMP
2016-12-20 22:17 - 2016-12-20 22:17 - 000054272 _____ () C:\Users\Dawid954\AppData\Roaming\ApplicationHosting.dat
2016-12-20 22:17 - 2016-12-20 22:17 - 001938532 _____ () C:\Users\Dawid954\AppData\Roaming\LamIng.bin
2016-12-20 22:17 - 2016-12-20 22:17 - 000126464 _____ () C:\Users\Dawid954\AppData\Roaming\lobby.dat
2016-12-20 22:17 - 2016-12-20 22:17 - 000072787 _____ () C:\Users\Dawid954\AppData\Roaming\LotTom.tst
2016-12-20 22:17 - 2016-12-20 22:17 - 001907421 _____ () C:\Users\Dawid954\AppData\Roaming\Ontodax.tst
2019-09-15 22:01 C:\Windows\bthservsdp.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Co nowego w ostatniej wersji.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellar Phoenix Repair for JPEG\Stellar Phoenix Repair for JPEG Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTK2 Runtime\Uninstall GTK2 Runtime.lnk
C:\Users\Dawid954\Links\Recently Changed.lnk
C:\Users\Dawid954\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Co nowego w ostatniej wersji.lnk
C:\Users\Dawid954\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk
C:\Users\Dawid954\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Earth.lnk
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku
FirewallRules: [{8FA2D63F-F148-4870-9431-EBEB0418B8D4}] => (Allow) C:\Users\Dawid954\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\EpsonNetSetup\Data\ENEasyApp.exe Brak pliku
FirewallRules: [{CC551B3B-D121-4497-9809-EE905A61F48C}] => (Allow) C:\Users\Dawid954\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\EpsonNetSetup\Data\ENEasyApp.exe Brak pliku
FirewallRules: [{4280EE4A-9422-4851-91A7-2375FB4D6849}] => (Allow) C:\Users\Dawid954\AppData\Local\Temp\00031189\inst_buychannel_07.exe Brak pliku
FirewallRules: [{A2166D61-64B0-44E1-82AD-22117967B553}] => (Allow) C:\Users\Dawid954\AppData\Local\Temp\00031189\inst_buychannel_07.exe Brak pliku
FirewallRules: [TCP Query User{0B8B77DA-F829-4088-A2BC-FC9F4B8AA093}C:\program files\sopcast\sopcast.exe] => (Allow) C:\program files\sopcast\sopcast.exe Brak pliku
FirewallRules: [UDP Query User{E3A6AF7A-7BED-45D0-9C0E-D34DCAF71D1D}C:\program files\sopcast\sopcast.exe] => (Allow) C:\program files\sopcast\sopcast.exe Brak pliku
FirewallRules: [TCP Query User{6EDC877C-F465-45CE-9E72-7436F3D22902}D:\fallout\bos.exe] => (Block) D:\fallout\bos.exe Brak pliku
FirewallRules: [UDP Query User{2E7BD151-05E6-4F56-ACFC-7250B5A302E3}D:\fallout\bos.exe] => (Block) D:\fallout\bos.exe Brak pliku
FirewallRules: [{BCBF4955-42C5-4A71-9D81-F143C65CA2C2}] => (Allow) C:\Program Files\Multilizer\MultilizerPDFTranslator\PDFTRanslationWizard.exe Brak pliku
FirewallRules: [{E7B5A8C1-74F8-4B43-8380-C6AA79F9BA0F}] => (Allow) C:\Games\World_of_Tanks\WoTLauncher.exe Brak pliku
FirewallRules: [{C581D9E8-E757-49DB-82C1-AB455090D19F}] => (Allow) C:\Games\World_of_Tanks\WoTLauncher.exe Brak pliku
FirewallRules: [{BBA1A239-B55B-42DF-B108-26EF63FC9D38}] => (Allow) C:\Games\World_of_Tanks\worldoftanks.exe Brak pliku
FirewallRules: [{214A4EE1-7453-44BE-976F-DF71C474C5DE}] => (Allow) C:\Games\World_of_Tanks\worldoftanks.exe Brak pliku
FirewallRules: [{203E73EA-C8F1-45F1-BB7F-9DBAA979C3A6}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe Brak pliku
FirewallRules: [{BFE20D2C-59DF-4E52-ACCA-AB2CA916F396}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe Brak pliku
FirewallRules: [{D592B77C-3812-4A47-ACEE-64E50BA0F804}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe Brak pliku
FirewallRules: [{245787A6-18FF-4D70-AD3F-E9064D48F8DA}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe Brak pliku
FirewallRules: [{59303788-0CEB-4840-9ABA-48FBFC91FD97}] => (Allow) C:\Program Files\LuDaShi\Utils\Down.exe Brak pliku
FirewallRules: [{7F192A26-1BCD-4823-ACBD-A6DD71C6BB2B}] => (Allow) C:\Program Files\LuDaShi\Utils\Down.exe Brak pliku
FirewallRules: [{90A6FA89-4150-4073-84DD-13758D234DC1}] => (Allow) C:\Program Files\Maoha\MaohaAP\MaohaWifiSvr.exe Brak pliku
CMD: netsh winsock reset
CMD: netsh firewall reset
Hosts:
RemoveProxy:
EmptyTemp:

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wykonaj pełne skanowanie systemu programem Dostępne tylko dla zarejestrowanych użytkowników. Wszystkie zagrożenie wrzuć do kwarantanny a końcowy raport z czyszczenia wrzucasz tutaj.

3. Po tych operacjach nowy komplet logów z FRST do kontroli. Podczas uruchamiania FRST ustaw żeby ponownie wykonały się Addition.txt oraz Shourtcupy.


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5842
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia

Post17 wrz 2019, 07:33

Delikatna korekta. Ostatni skrypt i kończymy.

1. Otwórz notatnik i wklej:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
2019-09-16 20:41 - 2019-09-16 20:41 - 000000008 __RSH C:\Users\Dawid954\ntuser.pol
2019-09-16 20:41 - 2019-09-16 20:41 - 000000008 __RSH C:\ProgramData\ntuser.pol
2019-09-16 18:58 - 2019-09-16 21:01 - 000000000 ____D C:\Users\Dawid954\AppData\Roaming\abknnpdkrsh
2019-09-15 19:16 - 2018-03-17 19:52 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileViewPro
NETSVC: HpSvc -> Brak ścieżki do pliku.
NETSVC: GmSvc -> Brak ścieżki do pliku
Reboot:

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).
Przedstaw raport z czyszczenia.

EDIT:

Interesuje mnie ten wpis:
2019-09-16 18:59 - 2019-09-16 18:59 - 000029632 _____ (FsFilter Network) C:\Windows\system32\Drivers\bdacac77b9b53706.sys
2019-09-16 18:58 - 2019-09-16 21:01 - 000000000 ____D C:\Users\Dawid954\AppData\Roaming\abknnpdkrsh

Powstał minutę po utworzeniu się folderu z wirusem. Jest podpisany ale wygląda bardzo podejrzanie.
Czy nie instalowałeś nic więcej ?
Sprawdź i przeskanuj Dostępne tylko dla zarejestrowanych użytkowników. Wykrył coś ?

dawid954

Użytkownik
Posty: 7
Rejestracja: 15 wrz 2019, 19:53

logi do sprawdzenia

Post17 wrz 2019, 21:06

shortcut Dostępne tylko dla zarejestrowanych użytkowników
addition Dostępne tylko dla zarejestrowanych użytkowników
FRST Dostępne tylko dla zarejestrowanych użytkowników

Nic nie instalowałem na komputerze poza programem MalwareBytes.
TDSSKiller nic niewykrył

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5842
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia

Post18 wrz 2019, 16:25

Więc to usuniemy.

1. Otwórz notatnik i wklej:
CloseProcesses:
Unlock: C:\Windows\system32\Drivers\bdacac77b9b53706.sys
R1 bdacac77b9b53706; C:\Windows\system32\drivers\bdacac77b9b53706.sys [29632 2019-09-16] (BlockChain Advances Ltd -> FsFilter Network)
C:\Windows\system32\Drivers\bdacac77b9b53706.sys
CMD: SC DELETE bdacac77b9b53706
EmptyTemp:

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).
Przedstaw raport z czyszczenia.

dawid954

Użytkownik
Posty: 7
Rejestracja: 15 wrz 2019, 19:53

logi do sprawdzenia

Post18 wrz 2019, 22:46

Fixlog Dostępne tylko dla zarejestrowanych użytkowników
FRST Dostępne tylko dla zarejestrowanych użytkowników
Addition Dostępne tylko dla zarejestrowanych użytkowników
shortcut Dostępne tylko dla zarejestrowanych użytkowników

Przy pierwszym uruchomieniu FRST i kliknięciu w Napraw wywaliło bluescreen, za drugim razem FRST sie zawiesza i niemożna go wyłączyć.
Po jakiejś godzinie zrestartowałem kompa i zamieszczam logi.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5842
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia

Post19 wrz 2019, 20:28

Spróbuj w trybie awaryjnym.


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5842
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia

Post20 wrz 2019, 07:20

Usunięte.
W logach już nic nie ma.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Skanowanie MBAM - pomiń.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

dawid954

Użytkownik
Posty: 7
Rejestracja: 15 wrz 2019, 19:53

logi do sprawdzenia

Post21 wrz 2019, 18:07


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5842
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia

Post22 wrz 2019, 19:06

Jest OK.
Czysto.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości