Logi kontrolne - miałem wirusa

Post21 sie 2010, 14:14

Wczoraj przypadkowo zainstalowałem jakiś syf. Pojawiało się dużo procesów o nazwie winlogin.exe . Szczęście w tym, że odpaliłem tą aplikację w sandboxie KISa wszystkie te procesy miały ścieżkę C:\Documents and settings\...\Kaspersky lab\....\system32\coś tam coś tam więc chyba nie naruszyły systemu. Uruchomiłem ponownie i nie widać po nim śladu.

logi: (sam w nich nie widzę jakiś podejrzanych plików, lecz może coś jest, nie jestem takim ekspertem w tych sprawach)

otl - Dostępne tylko dla zarejestrowanych użytkowników
dds - Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post21 sie 2010, 15:23

ja tu oprócz zbędnych toolbarów i jednego dziwnego strumienia nic nie widze.
wklej w OTL i naciśnij wykonaj skrypt:

:OTL
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found.
O20 - Winlogon\Notify\WBSrv: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
@Alternate Data Stream - 48 bytes -> C:\Documents and Settings\All Users\DRM:??????

:Commands
[emptytemp]

dodatkowo przeskanuj system malwarebytes

Post21 sie 2010, 17:19

djkamil09061991

O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found.

Te wpisy są w każdym systemie Windows 7

O20 - Winlogon\Notify\WBSrv: DllName - Reg Error: Value error. - Reg Error: Value error. File not found

Z tym OTL sobie zaś nie poradzi gdyż nie będzie miał czym tego zastąpić ( a zastąpić ten plik musi ).

Strona WWW · Post21 sie 2010, 17:22

łukasz myslisz się wpisy które podałem normalnie idą na usuwanie. Nie są grożne w zaden sposób ale usunąć je normalnie wypadałoby. Na innych forach również te wpisy idą do kasacji

Post21 sie 2010, 17:23

łukasz myslisz się wpisy które podałem normalnie idą na usuwanie. Nie są grożne w zaden sposób ale usunąć je normalnie wypadałoby.

OTL nieprawidłowo oznacza je jako No CLSID value found, są to dobre wpisy które występują w każdym systemie Windows 7.

Na innych forach również te wpisy idą do kasacji

A więc na tamtych forach ci którzy sprawdzają logi także się mylą.

Strona WWW · Post21 sie 2010, 17:24

tak występują ale można je bezpiecznie usunąć

Post21 sie 2010, 17:25

tak występują ale można je bezpiecznie usunąć

A to akurat fakt, ale po co je usuwać skoro i tak same się odnowią ?, i w raz będą ze znacznikiem No CLSID value found

Post21 sie 2010, 17:27

ok, dzięki za pomoc
mbamem skanowałem już
Te CLSID to pierwsze chyba jest od Adobe readera, którego musiałem się ręcznie pozbywać, drugie to expressivo (też usunięty), a trzecie to jakiś toolbar, chyba dawno usunięty. A ten:
O20 - Winlogon\Notify\WBSrv: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
to być może po window blinds

Post21 sie 2010, 17:29

O20 - Winlogon\Notify\WBSrv: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
to być może po window blinds

Tak ten wpis jest po window blinds.

Te CLSID to pierwsze chyba jest od Adobe readera, którego musiałem się ręcznie pozbywać, drugie to expressivo, a trzecie to jakiś toolbar, chyba dawno usunięty.

Nie, jest to część systemu, sam je posiadam.

Strona WWW · Post21 sie 2010, 17:29

tak to jest od WIndow blinds, usuń tylko ten dziwny strumień przez OTL powinno pójść:

:OTL
@Alternate Data Stream - 48 bytes -> C:\Documents and Settings\All Users\DRM:??????

:Commands
[emptytemp]

Post21 sie 2010, 17:31

tak to jest od WIndow blinds, usuń tylko ten dziwny strumień przez OTL powinno pójść:

Tak, OTL to usunie, sam ten strumień ADS ogólnie nie jest szkodliwy ale powinien pójść na usuwanie.

Post21 sie 2010, 17:45

Strumień mogę i usunąć, ale DRM to coś od Windowsa chyba, oczywiście brak tego folderu w niczym nie przeszkadza. (digital rights management).
A tam btw ten system to XP, nie 7, mimo wersji w UA

A CLSID wpisałem w google, i wychodzi, że to pozostałości po toolbarach, expresivo miało toolbar chyba, a ten 3-ci to toolbar sam w sobie, musiał kiedyś się zainstalować z jakimś programem, może daemon tools nie pamiętam.

Strona WWW · Post21 sie 2010, 18:14

rozne dziwne strumienie podpinaja sie pod foldery(np windows itp) ale jak sam widzisz ten sklada sie z jakiejs "arabskiej" koncowki

Post21 sie 2010, 18:25

rozne dziwne strumienie podpinaja sie pod foldery(np windows itp) ale jak sam widzisz ten sklada sie z jakiejs "arabskiej" koncowki

Właśnie, więc jest niebezpieczny.