Pomóżcie w analizie logów OTL

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
magdao9

Użytkownik
Posty: 7
Rejestracja: 16 sie 2013, 13:20

Pomóżcie w analizie logów OTL

Post29 gru 2013, 20:11


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Pomóżcie w analizie logów OTL

Post29 gru 2013, 20:30

Na dysku twardym nie widzę żadnej infekcji.
Natomiast pendrive'y wyglądają na zarażone (w chwili robienia logów nie były podpięte!)

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O33 - MountPoints2\{022cbc5f-028f-11df-8e3e-001060ead43d}\Shell\AutoRun\command - "" = H:\kmj.exe
O33 - MountPoints2\{022cbc5f-028f-11df-8e3e-001060ead43d}\Shell\open\Command - "" = H:\kmj.exe
O33 - MountPoints2\{0f618734-730f-11df-8e23-001060ead43d}\Shell\AutoRun\command - "" = G:\zalio\\nisi.exe
O33 - MountPoints2\{0f618734-730f-11df-8e23-001060ead43d}\Shell\explore\command - "" = G:\zalio\nisi.exe
O33 - MountPoints2\{0f618734-730f-11df-8e23-001060ead43d}\Shell\install\command - "" = G:\zalio\nisi.exe
O33 - MountPoints2\{0f618734-730f-11df-8e23-001060ead43d}\Shell\open\command - "" = G:\zalio\nisi.exe
O33 - MountPoints2\{3c85a366-faaa-11de-a378-001060ead43d}\Shell\AutoRun\command - "" = H:\KLIZAVI/sapun.exe
O33 - MountPoints2\{3c85a366-faaa-11de-a378-001060ead43d}\Shell\explore\command - "" = H:\KLIZAVI/sapun.exe
O33 - MountPoints2\{3c85a366-faaa-11de-a378-001060ead43d}\Shell\open\command - "" = H:\KLIZAVI/sapun.exe
O33 - MountPoints2\{4ac952e6-f92f-11dd-a6ef-806e6f6e6963}\Shell\AutoRun\command - "" = F:\2u.com
O33 - MountPoints2\{4ac952e6-f92f-11dd-a6ef-806e6f6e6963}\Shell\explore\Command - "" = F:\2u.com
O33 - MountPoints2\{4ac952e6-f92f-11dd-a6ef-806e6f6e6963}\Shell\open\Command - "" = F:\2u.com
O33 - MountPoints2\{e29a9c41-2a1f-11e0-b502-001060ead43d}\Shell\AutoRun\command - "" = G:\stakleni//dah.exe
O33 - MountPoints2\{e29a9c41-2a1f-11e0-b502-001060ead43d}\Shell\Explore\command - "" = G:\stakleni//dah.exe
O33 - MountPoints2\{e29a9c41-2a1f-11e0-b502-001060ead43d}\Shell\Open\command - "" = G:\stakleni//dah.exe
O4 - HKU\S-1-5-21-1913066317-4030726475-601742234-1000..\Run: [BitTorrent DNA] "C:\Users\Magda\Program Files\DNA\btdna.exe" File not found
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found
O4 - HKLM..\Run: [OrangeDeamon] C:\Program Files\Orange\Orange.exe File not found
O4 - HKLM..\Run: [sclauncher] C:\Program Files\SimpleCenter\bin\win\sclauncher.exe File not found
O4 - HKLM..\Run: [hpqSRMon] File not found
O4 - HKLM..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" File not found
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found.
O3 - HKU\S-1-5-21-1913066317-4030726475-601742234-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O3 - HKU\S-1-5-21-1913066317-4030726475-601742234-1000\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found.
FF - HKCU\Software\MozillaPlugins\@bittorrent.com/BitTorrentDNA: C:\Users\Magda\Program Files\DNA\plugins\npbtdna.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
IE - HKU\S-1-5-21-1913066317-4030726475-601742234-1000\..\SearchScopes\{ED4BD629-C1B6-4399-8A34-02CCAA921DC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&csrc=search-field
IE - HKU\S-1-5-21-1913066317-4030726475-601742234-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a0xht433)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\pfc.sys -- (pfc)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)

:Files
C:\Users\Magda\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Użyj USBFix http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm
Kliknij w nim na: DELETION.
Daj raport z tego usuwania.

4) Zrób nowy log z OTL.

F.

magdao9

Użytkownik
Posty: 7
Rejestracja: 16 sie 2013, 13:20

Pomóżcie w analizie logów OTL

Post29 gru 2013, 23:16

raporty z Adw-cleaner:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

jak używałam usb fixa to pokazał się jakiś problem (dysk zewnętrzny był podłączony):
"line 19633 (File "C:/usbfix/go.exe"):
Error: The requasted action with this object has failed.

nowy log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Wcześniej jak skanowałam avastem to pokazywał, że jest zagrożenie: browser manager. Próbowałam go usunąć ale nic z tego. Oprócz tego mam problem z tym, że na jednym laptopie nie działa internet. Wszystkie możliwe rozwiązania, które wyczytałam na forach na nic się nie zdały. Dlatego zaczęłam szukać problemu OTL-em, ponieważ możliwe, że to wina wirusa...Jak to nie pomoże to pozostaje format- a tego nie chcę. Zastanawia mnie jeszcze to dlaczego jak próbuję uruchomić mozille, pojawia się komunikat: "Couldn't load XPCOM". Inne przeglądarki normalnie się otwierają tylko nie wczytują stron.

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

Pomóżcie w analizie logów OTL

Post29 gru 2013, 23:24

Tylko kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O4 - HKLM..\RunOnce: [] File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Magda\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
SRV - File not found [Auto | Stopped] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService)

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1913066317-4030726475-601742234-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

W USBFix kliknij na przycisk UNINSTALL.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

mam problem z tym, że na jednym laptopie nie działa internet.

Problemy pozawirusowe to do innego działu Forum.

F.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 16 gości