logi do sprawdzenia - wirus

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
astra

Użytkownik
Posty: 27
Rejestracja: 15 lut 2012, 18:36

logi do sprawdzenia - wirus

Post15 lut 2012, 19:44

Witam,

Z wątku http://www.hotfix.pl/brak-ikon-na-pulpi ... --a104.htm dowiedziałam się, że to wirus - załączam logi i z góry dziękuję za pomoc.

OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników


/astra
Ostatnio zmieniony 16 lut 2012, 09:24 przez astra, łącznie zmieniany 1 raz.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia - wirus

Post15 lut 2012, 20:27

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O20 - HKU\S-1-5-21-500910484-1963748416-46226316-1001 Winlogon: Shell - ("C:\Users\gilm\winlogon.exe") - File not found
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\crrss.exe) - File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [crrss] C:\Windows\system32\crrss.exe File not found
O4 - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKU\S-1-5-21-500910484-1963748416-46226316-1001..\Run: [winlogon] C:\Users\gilm\winlogon.exe File not found
O4 - HKU\.DEFAULT..\RunOnce: [adaware] reg.exe delete "HKCU\Software\AppDataLow\Software\adaware" /f File not found
O4 - HKU\.DEFAULT..\RunOnce: [adaware_XP] reg.exe delete "HKCU\Software\adaware" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [adaware] reg.exe delete "HKCU\Software\AppDataLow\Software\adaware" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [adaware_XP] reg.exe delete "HKCU\Software\adaware" /f File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

:Files
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-500910484-1963748416-46226316-1001UA.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\Ad-Aware Update (Weekly).job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\SysWow64\rp_stats.dat
C:\Windows\SysWow64\rp_rules.dat
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-500910484-1963748416-46226316-1001Core.job
C:\Users\gilm\.recently-used.xbel
C:\Windows\MEMORY.DMP

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Raport z usuwania pokaż.

2. W panelu sterowania odinstaluj śmietka: PicPick Toolbar

3. Ściągnij Dostępne tylko dla zarejestrowanych użytkowników i wciśnij w nim Clean
Pokaż raport z tego narzędzia.

4. Podłącz wszystkie urządzenia przenośne (pendrive / komórki / mp3 / dyski przenośne) i użyj USBFix z opcji DELETION.
Pokaż raport z usuwania (wszystko opisane jest w poradniku)!

5. Wykonujesz nowe logi z OTL.
Końcowo pokazujesz:
- Raport z usuwania OTLem,
- Raport z Ad-Removera
- Raport z USBFixa
- Nowe logi z OTL

astra

Użytkownik
Posty: 27
Rejestracja: 15 lut 2012, 18:36

logi do sprawdzenia - wirus

Post16 lut 2012, 09:19

Dzięki, zaraz puszczam skrypt a tymczasem wynik z Malwarebytes
Dostępne tylko dla zarejestrowanych użytkowników

OTL raz jeszcze
Dostępne tylko dla zarejestrowanych użytkowników

i raport z usuwania OTL'em
Dostępne tylko dla zarejestrowanych użytkowników

-- 16 lut 2012, 09:05 --

Ad-Remover
Dostępne tylko dla zarejestrowanych użytkowników

USBFix wiesza system :|

OTL na tę chwilę
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia - wirus

Post16 lut 2012, 09:47

W takim razie użyj opcji RESEARCH.

astra

Użytkownik
Posty: 27
Rejestracja: 15 lut 2012, 18:36

logi do sprawdzenia - wirus

Post16 lut 2012, 10:37


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia - wirus

Post16 lut 2012, 21:24

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\USERS\xxx\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\CR0WO9GM.DEFAULT\EXTENSIONS\{46551EC9-40F0-4E47-8E18-8E5CF550CFB8}.XPI
C:\USERS\xxx\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\CR0WO9GM.DEFAULT\EXTENSIONS\FIREBUG@SOFTWARE.JOEHEWITT.COM.XPI
C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\cr0wo9gm.default\searchplugins\search.xml
Recycler /alldrives

:OTL
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

Klik w Wykonaj Skrypt.

2.
G:\ -> Removable drive # 940 Mb (225 Mb free - 24%) [] # FAT
Found ! G:\Autorun.inf

Pokaż mi zawartość pliku Autorun.inf na tym nośniku (jeżeli otwiera się poprzez notatnik).

astra

Użytkownik
Posty: 27
Rejestracja: 15 lut 2012, 18:36

logi do sprawdzenia - wirus

Post17 lut 2012, 08:32

OTL
Dostępne tylko dla zarejestrowanych użytkowników

[AutoRun]
open = Launcher.exe
icon = Launcher.exe,0
label = Nokia PcSuite
action = Nokia PcSuite Installation

[Settings]
packageName = PC-Suite.exe
productCode = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
upgradeCode = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
productVersion = 7.1.26.0

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

logi do sprawdzenia - wirus

Post17 lut 2012, 19:15

Ten autorun.inf jest w porządku.
W OTL wciśnij SPRZĄTANIE / w USBFix UNINSTALL / w Ad-Remover UNINSTALL
Powinno być wszystko oki.

astra

Użytkownik
Posty: 27
Rejestracja: 15 lut 2012, 18:36

logi do sprawdzenia - wirus

Post17 lut 2012, 19:20

Wielkie dzięki :)


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

logi do sprawdzenia - wirus

Post03 mar 2012, 08:06

@normalny 709563
Załóż swój własny temat.
Daj logi z OTL.
Kto Ci kazał wykonywać Script, który nie pasuje do Twego komputera?

F.

astra

Użytkownik
Posty: 27
Rejestracja: 15 lut 2012, 18:36

logi do sprawdzenia - wirus

Post08 mar 2012, 22:26

Radość nie trwała długo :@ Tym razem jest gęściej :/
Poza usunięciem jak się przed tym zabezpieczyć na przyszłość?

log z Malwarebytes
Dostępne tylko dla zarejestrowanych użytkowników

OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

logi do sprawdzenia - wirus

Post08 mar 2012, 22:47

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
O20 - HKU\S-1-5-21-500910484-1963748416-46226316-1001 Winlogon: Shell - ("C:\Users\xxx\winlogon.exe") - File not found
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-500910484-1963748416-46226316-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{0DD425AB-0CAF-46FE-B884-DF50E56EEC3E}?q={searchTerms}
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [crrss] C:\Windows\system32\crrss.exe File not found
O4 - HKU\S-1-5-21-500910484-1963748416-46226316-1001..\Run: [Memaxi] C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Memaxi\Memaxi.appref-ms File not found

:Commands
[emptytemp]


Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

logi do sprawdzenia - wirus

Post09 mar 2012, 11:25

Wg mnie - jest OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 13 gości