OTL prosze o pomoc

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Majaq

Użytkownik
Posty: 1
Rejestracja: 04 paź 2012, 21:52

OTL prosze o pomoc

Post04 paź 2012, 22:13


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 15:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

OTL prosze o pomoc

Post05 paź 2012, 21:30

"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"AVG Secure Search" = AVG Security Toolbar


Odinstaluj to oprogramowanie, oraz stare zabezpieczenia Star Force poprzez pobranie -> Dostępne tylko dla zarejestrowanych użytkowników -> wypakowanie -> uruchomienie pliku sfdrvrem.exe.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Tosrfcom)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
IE - HKLM\..\SearchScopes\{62E1D430-EC1C-42DF-8DB4-A6DFBA27B708}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:*:IE-SearchBox&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7;
IE - HKU\S-1-5-21-1342008206-3268019439-1940367835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{D2F09B5E-D8F6-4524-A616-B50AE6F31096}&mid=c1aa3df72f324060b42b9d21d393c27f-cc71d60dfafacbbf5acaa662625690ee02f768be&lang=en&ds=hk011&pr=sa&d=2012-10-04 21:46:09&v=12.2.5.34&sap=hp
IE - HKU\S-1-5-21-1342008206-3268019439-1940367835-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-1342008206-3268019439-1940367835-1000\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-1342008206-3268019439-1940367835-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=26DCAA93-6751-4070-843F-B212FD2081B1&apn_sauid=7A5C9E11-28CA-4551-BB73-F3CC6AB51B4B
IE - HKU\S-1-5-21-1342008206-3268019439-1940367835-1000\..\SearchScopes\{62E1D430-EC1C-42DF-8DB4-A6DFBA27B708}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:*:IE-SearchBox&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7;
IE - HKU\S-1-5-21-1342008206-3268019439-1940367835-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{D2F09B5E-D8F6-4524-A616-B50AE6F31096}&mid=c1aa3df72f324060b42b9d21d393c27f-cc71d60dfafacbbf5acaa662625690ee02f768be&lang=en&ds=hk011&pr=sa&d=2012-10-04 21:46:09&v=12.2.5.34&sap=dsp&q={searchTerms}
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "https://isearch.avg.com?cid=%7B24db0a1c-f26d-4143-a992-bdc2a63320cc%7D&mid=c1aa3df72f324060b42b9d21d393c27f-cc71d60dfafacbbf5acaa662625690ee02f768be&ds=hk011&v=12.2.5.34&lang=en&pr=sa&d=2012-10-04%2021%3A46%3A09&sap=hp"
FF - prefs.js..extensions.enabledAddons: avg@toolbar:12.2.5.34
FF - prefs.js..keyword.URL: "https://isearch.avg.com/search?cid=%7B24db0a1c-f26d-4143-a992-bdc2a63320cc%7D&mid=c1aa3df72f324060b42b9d21d393c27f-cc71d60dfafacbbf5acaa662625690ee02f768be&ds=hk011&v=12.2.5.34&lang=en&pr=sa&d=2012-10-04%2021%3A46%3A09&sap=ku&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2011-10-02 14:30:19 | 000,002,568 | ---- | M] () -- C:\Users\kuba\AppData\Roaming\mozilla\firefox\profiles\vwsbj85d.default\searchplugins\askcom.xml
[2012-10-04 21:46:13 | 000,000,000 | ---D | M] (AVG Security Toolbar) -- C:\PROGRAMDATA\AVG SECURE SEARCH\12.2.5.34
[2012-10-04 21:46:07 | 000,003,771 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
O3 - HKU\S-1-5-21-1342008206-3268019439-1940367835-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [HWSetup] \HWSetup.exe hwSetUP File not found
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - Dostępne tylko dla zarejestrowanych użytkowników File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - Dostępne tylko dla zarejestrowanych użytkowników File not found
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - Dostępne tylko dla zarejestrowanych użytkowników File not found
[2011-10-23 21:26:18 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{9C69AC80-5AF8-423B-8DB6-683CEA39D423}
[2011-10-23 21:19:26 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{1438CE4D-B544-447E-9699-5E9342941D21}
[2011-08-26 12:44:57 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{541C0A3B-7B5B-475F-9304-67B12B4C6DC7}
[2011-08-25 19:54:31 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{4B826B63-5186-4100-89CE-B0082337BC09}
[2011-07-12 13:48:28 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{C16D5464-881B-428F-9923-B308C2A6C74E}
[2011-07-03 21:17:26 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{5702CBE1-2164-4D2F-BE00-DD1E0840BB28}
[2011-06-30 19:53:54 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{CC9E0088-DB50-43A6-AA72-EA7F0BC136F2}
[2011-06-30 19:49:35 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{A3296E28-7A57-426F-AC79-2EE42B3E5559}
[2011-06-27 15:26:44 | 000,000,000 | ---- | C] () -- C:\Users\kuba\AppData\Local\{19F2D3D9-1FBD-4B71-9EC7-D2EAB76CCE46}

:Files
C:\Program Files\AVG Secure Search
C:\Users\kuba\AppData\Local\AVG Secure Search
C:\ProgramData\AVG Secure Search
C:\Windows\System32\drivers\avgtpx86.sys
C:\Program Files\Common Files\AVG Secure Search
C:\found.*
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 2 gości