Logi do sprawdzenia - Wykryta Infekcja

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Awatar użytkownika
Maciak Plock

VIP
Posty: 787
Rejestracja: 16 cze 2009, 21:48
Lokalizacja: Płock!
Kontaktowanie:

Logi do sprawdzenia - Wykryta Infekcja

Post04 kwie 2017, 17:02

Cześć.
Prosił bym was o sprawdzenie logów, TDSSKiller wykrył dwie infekcje które usunąłem tym programem, dołączam raport TDSSKiller oraz 2 pozostałych programów - FarBar oraz OTL.

Dodatkowo komputer wolno chodzi, otwierają się różne strony itp...

TDSKiller: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Logi do sprawdzenia - Wykryta Infekcja

Post04 kwie 2017, 18:39

1) Odinstaluj te programy:
Desk 365 (HKLM-x32\...\Desk 365) (Version: 1.15.8 - 337 Technology Limited.) <==== UWAGA
RegClean-Pro (HKLM-x32\...\RegClean-Pro_is1) (Version: 8.1 - sys tweak) <==== UWAGA
SupTab (HKLM-x32\...\SupTab) (Version: 1.1.1.0 - ) <==== UWAGA

2) Otwórz Notatnik i wklej w nim:
C:\Users\Public\Desktop\RegClean Pro.lnk
RemoveDirectory: C:\Program Files (x86)\RegClean Pro
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\malwina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
C:\Program Files (x86)\Mobogenie
C:\Users\malwina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PutLockerDownloader.com\Uninstall.lnk
C:\Users\malwina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PutLockerDownloader.com\PutLockerDownloader.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime\QuickTime Updater.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro
R1 {345422e3-72fa-447a-9550-97803edfacf3}w64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys [61120 2014-04-24] () [Brak podpisu cyfrowego]
C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys
S3 Amsp; "C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe -m=rb -dt=60000 [X]
FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\malwina\AppData\Roaming\Mozilla\Firefox\Profiles\qe3188m3.default\extensions\quick_start@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\malwina\AppData\Roaming\Mozilla\Firefox\Profiles\qe3188m3.default\extensions\faststartff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\malwina\AppData\Roaming\Mozilla\Firefox\Profiles\qe3188m3.default\extensions\shortcutff@gmail.com
FF user.js: detected! => C:\Users\malwina\AppData\Roaming\Mozilla\Firefox\Profiles\qe3188m3.default\user.js [2014-06-18]
FF SearchPlugin: C:\Users\malwina\AppData\Roaming\Mozilla\Firefox\Profiles\qe3188m3.default\searchplugins\bingp.xml [2014-09-14]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml [2014-06-13]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\nationzoom.xml [2013-12-31]
FF Extension: Fast Start - C:\Users\malwina\AppData\Roaming\Mozilla\Firefox\Profiles\qe3188m3.default\extensions\faststartff@gmail.com [2014-07-11] [Brak podpisu cyfrowego]
FF Extension: shortcut - C:\Users\malwina\AppData\Roaming\Mozilla\Firefox\Profiles\qe3188m3.default\extensions\shortcutff@gmail.com [2014-07-29] [Brak podpisu cyfrowego]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nationzoom.com/?type=sc&ts=1 ... XXS2WD8JRG
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nationzoom.com/?type=hp&ts=1 ... XXS2WD8JRG
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nationzoom.com/?type=hp&ts=1 ... XXS2WD8JRG
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nationzoom.com/web/?type=ds& ... 2WD8JRG&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nationzoom.com/web/?type=ds& ... 2WD8JRG&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nationzoom.com/?type=hp&ts=1 ... XXS2WD8JRG
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nationzoom.com/?type=hp&ts=1 ... XXS2WD8JRG
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nationzoom.com/web/?type=ds& ... 2WD8JRG&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nationzoom.com/web/?type=ds& ... 2WD8JRG&q={searchTerms}
HKU\S-1-5-21-2696079106-1561206299-465013346-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type ... 2WD8JRG&q={searchTerms}
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

3) Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

4) Zrób nowe logi FRST - już bez Shortcut.
.


electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Logi do sprawdzenia - Wykryta Infekcja

Post04 kwie 2017, 19:49

Usunięto folder: C:\Program Files (x86)\Testy Liwona kategoria B

Tego chyba Adw-Cleaner nie powinien usuwać.
Jeśli tak, to zrobisz to:
>>Adw-Cleaner >> Narzędzia >> Menedżer Kwarantanny >> Zaznacz "C:\Program Files (x86)\Testy Liwona kategoria B" >> kliknij na przycisk "PRZYWRÓĆ"

W logu FRST nie widzę już niczego podejrzanego.

Kosmetyka:
Otwórz Notatnik i wklej w nim:
Task: {4AB2ED50-886F-4251-95A1-C25F24D7CBD0} - System32\Tasks\{8A70C756-565C-4A45-B57F-E288B22E5F4A} => pcalua.exe -a E:\setup.exe -d E:\

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.

Awatar użytkownika
Maciak Plock

VIP
Posty: 787
Rejestracja: 16 cze 2009, 21:48
Lokalizacja: Płock!
Kontaktowanie:

Logi do sprawdzenia - Wykryta Infekcja

Post04 kwie 2017, 19:58

Super wielkie dzięki za pomoc :)



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 7 gości