Po kliknięciu linku na Facebooku rozsyłam spam

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
marcinus0605

Użytkownik
Posty: 11
Rejestracja: 03 cze 2012, 13:31

Po kliknięciu linku na Facebooku rozsyłam spam

Post02 kwie 2013, 12:30

Witam.
Kliknąłem w jakiś link kolegi i teraz rozsyłam spam na FB ( google docs) i jeszcze jakieś timeline mi się udostępnia.
Pomocy !

to logi OTL:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników
Ostatnio zmieniony 02 kwie 2013, 12:30 przez XMan, łącznie zmieniany 1 raz.
Powód: korekta tytułu tematu.
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Po kliknięciu linku na Facebooku rozsyłam spam

Post02 kwie 2013, 14:17

"ASUS_Screensaver" = ASUS_Screensaver
"{FA540E67-095C-4A1B-97BA-4D547DEC9AF4}" = ASUS Live Update
"{C944B4C5-1C4D-4D95-8AC0-7CEF13914131}" = ASUS FancyStart
"{D39F0676-163E-4595-A917-E28F99BBD4D2}" = ASUS AI Recovery
"{64452561-169F-4A36-A2FF-B5E118EC65F5}" = ASUS FaceLogon


Możesz odinstalować.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btfilter.sys -- (BtFilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btath_rcp.sys -- (BTATH_RCP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btath_lwflt.sys -- (BTATH_LWFLT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btath_hcrp.sys -- (BTATH_HCRP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btath_bus.sys -- (BTATH_BUS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btath_avdt.sys -- (btath_avdt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btath_a2dp.sys -- (BTATH_A2DP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btath_flt.sys -- (AthBTPort)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\I386\AsProcOb.sys -- (ASUSProcObsrv)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
O4 - HKCU..\Run: [Facebook Update] C:\Users\Marcin\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - Startup: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PACZKA HASEŁ DO HACKÓW.exe ()
[2013-03-22 12:13:52 | 000,000,000 | ---D | C] -- C:\Users\Marcin\AppData\Roaming\TuneUp Software
[2013-03-22 12:13:33 | 000,000,000 | ---D | C] -- C:\ProgramData\TuneUp Software
[2013-03-22 12:13:29 | 000,000,000 | -HSD | C] -- C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2013-03-22 10:23:02 | 000,000,000 | ---D | C] -- C:\Users\Marcin\AppData\Roaming\OpenCandy
[2013-03-09 17:37:18 | 000,000,000 | -HSD | C] -- C:\Config.Msi

:Files
C:\Users\Marcin\AppData\Local\Facebook\Update
C:\Program Files\Google\Update
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę
marcinus0605

Użytkownik
Posty: 11
Rejestracja: 03 cze 2012, 13:31

Po kliknięciu linku na Facebooku rozsyłam spam

Post02 kwie 2013, 15:46

log z usuwania :
Dostępne tylko dla zarejestrowanych użytkowników

-- 02 kwi 2013, 15:32 --

log z adwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

-- 02 kwi 2013, 15:38 --

log z tdsskiller:
Dostępne tylko dla zarejestrowanych użytkowników
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Po kliknięciu linku na Facebooku rozsyłam spam

Post02 kwie 2013, 21:18

ADWCleaner.


Odinstaluj. Czekamy jeszcze na nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę
marcinus0605

Użytkownik
Posty: 11
Rejestracja: 03 cze 2012, 13:31

Po kliknięciu linku na Facebooku rozsyłam spam

Post02 kwie 2013, 21:43

nadal sie to udostepnia ale jakos mniej i mi konto zablokowali bo spamy rozsylam

otl:
Dostępne tylko dla zarejestrowanych użytkowników

extras:
Dostępne tylko dla zarejestrowanych użytkowników
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Po kliknięciu linku na Facebooku rozsyłam spam

Post02 kwie 2013, 21:57

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)

:Files
C:\Program Files\Google\Update
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę
marcinus0605

Użytkownik
Posty: 11
Rejestracja: 03 cze 2012, 13:31

Po kliknięciu linku na Facebooku rozsyłam spam

Post02 kwie 2013, 22:51

log z usuwania:

All processes killed
========== OTL ==========
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully.
C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully.
File C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll not found.
========== FILES ==========
C:\Program Files\Google\Update\Offline\{73665A13-809A-4FC4-865B-8280D727B20D} folder moved successfully.
C:\Program Files\Google\Update\Offline folder moved successfully.
C:\Program Files\Google\Update\Install\{F3A3E1F3-FDBB-422F-9A6B-1C61A3256A6E} folder moved successfully.
C:\Program Files\Google\Update\Install folder moved successfully.
C:\Program Files\Google\Update\Download\{8A69D345-D564-463C-AFF1-A69D9E530F96}\26.0.1410.43 folder moved successfully.
C:\Program Files\Google\Update\Download\{8A69D345-D564-463C-AFF1-A69D9E530F96} folder moved successfully.
C:\Program Files\Google\Update\Download folder moved successfully.
Folder move failed. C:\Program Files\Google\Update\1.3.21.135 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Google\Update scheduled to be moved on reboot.
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\Windows\tasks\SA.DAT moved successfully.
File move failed. C:\Windows\tasks\SCHEDLGU.TXT scheduled to be moved on reboot.
========== COMMANDS ==========
Restore point Set: OTL Restore Point

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Marcin
->Temp folder emptied: 35793066 bytes
->Temporary Internet Files folder emptied: 1981686 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 54594329 bytes
->Google Chrome cache emptied: 70715186 bytes
->Flash cache emptied: 492 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1824 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 156,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04022013_223828

Files\Folders moved on Reboot...
Folder move failed. C:\Program Files\Google\Update\1.3.21.135 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Google\Update\1.3.21.135 scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Google\Update scheduled to be moved on reboot.
File move failed. C:\Windows\tasks\SCHEDLGU.TXT scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

-- 02 kwi 2013, 22:51 --

log z autoruns :
Dostępne tylko dla zarejestrowanych użytkowników
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Po kliknięciu linku na Facebooku rozsyłam spam

Post03 kwie 2013, 19:24

Autoruns.


W Autoruns, w trybie awaryjnym odznacz, a następnie usuń (co się będzie dało):

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

rdpclip


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe ARM
AdobeAAMUpdater-1.0
AmIcoSinglun
ASUS Screen Saver Protector
ATKMEDIA
ATKOSD2
GrooveMonitor
HControlUser
IgfxTray
Persistence
RtHDVBg
RtHDVCpl
SonicMasterTray
SunJavaUpdateSched


HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Google Chrome
Microsoft Windows


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

PC Suite Tray


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


Task Scheduler

Wszystko.


HKLM\System\CurrentControlSet\Services

AdobeARMservice
ASUS InstantOn
ATKGFNEXSrv
gupdate
gupdatem
LMS
MBAMScheduler
MBAMService
Microsoft Office Groove Audit Service
MozillaMaintenance
odserv
ose
ServiceLayer
SkypeUpdate
UNS
WinDefend
WMPNetworkSvc


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32

msacm.vorbis


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui


Logi.


Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę
marcinus0605

Użytkownik
Posty: 11
Rejestracja: 03 cze 2012, 13:31

Po kliknięciu linku na Facebooku rozsyłam spam

Post03 kwie 2013, 23:59

otl:

Dostępne tylko dla zarejestrowanych użytkowników


extras sie nie wyswietlilo jakos nie wiem czemu
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Po kliknięciu linku na Facebooku rozsyłam spam

Post04 kwie 2013, 19:55

extras sie nie wyswietlilo jakos nie wiem czemu


W OTL, w sekcji Rejestr - Skan Dodatkowy, nie użyłeś opcji -> Użyj Filtrowania.

Autoruns.


Wiele wpisów jeszcze da się usunąć (z tych, które odznaczyłeś oczywiście). Pamiętaj, rób to w trybie awaryjnym. Popraw.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości