Prośba o analizę logów OTL

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Tobik

Użytkownik
Posty: 23
Rejestracja: 22 sie 2011, 23:56

Prośba o analizę logów OTL

Post18 lut 2019, 13:42

Witam wszystkich:)
Dawno mnie nie było tutaj. Proszę o pomoc w analizie logów z OTL. Jak WIN się odpala wyskakuje mi jakaś strona z reklamami, nie umiem się z tym uporać. ADWCleaner nic nie znajduje, Avira również. Z góry bardzo dziękuję za okazaną pomoc. :)

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 260
Rejestracja: 06 lut 2017, 00:26

Prośba o analizę logów OTL

Post18 lut 2019, 14:51

0)
O4 - HKCU..\Run: [Tobik] C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)

To kojarzy mi się z infekcja.

1) Usuń ręcznie:
C:\ProgramData\mntemp
C:\ProgramData\Ament.ini

2) Zrób logi FRST bezpieczenstwo/korzystanie-z-frst-t28530.html
(w logu Addition.txt będzie chyba Zaplanowane Zadanie, wynikające z tego, co jest w Autostarcie pokazanym w punkcie nr 0 mojego postu)

Tobik

Użytkownik
Posty: 23
Rejestracja: 22 sie 2011, 23:56

Prośba o analizę logów OTL

Post18 lut 2019, 15:54


electrolux

Ekspert
Posty: 260
Rejestracja: 06 lut 2017, 00:26

Prośba o analizę logów OTL

Post18 lut 2019, 17:38

Task: {37AA5716-BB94-4D43-89FC-86F6B4C722B8} - System32TasksTobik => cmd.exe /c REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /f /v Tobik /t REG_SZ /d "explorer.exe hxxp://dipladoks.org" <==== UWAGA

Jest to Zaplanowane Zadanie!

Niestety, nie mogę podać gotowego skryptu usuwającego, bo logi są zniekształcone (na "wklejto" trzeba wklejać tekst, a nie plik).

W oryginalnym (nie zniekształconym) logu Addition.txt znajdź te linijki:
Task: {37AA5716-BB94-4D43-89FC-86F6B4C722B8} - System32TasksTobik => cmd.exe /c REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /f /v Tobik /t REG_SZ /d "explorer.exe hxxp://dipladoks.org" <==== UWAGA
Task: {00E9CBB6-C5C1-499B-BBB0-296151E10D5A} - System32Tasks{3FF2B25D-12CE-451D-BBDF-E508E1D7A9C5} => C:Windowssystem32pcalua.exe -a "D:Alcohol 120%Alcohol_120_4.0_BLACKAlcohol_120_4.0_BLACKSetup_Alcohol120.exe" -d "D:Alcohol 120%Alcohol_120_4.0_BLACKAlcohol_120_4.0_BLACK"
Task: {204B649C-D8FD-4BE7-B22A-600C69CBDB2B} - MicrosoftWindowsSetupGWXTriggersOutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {27717D26-5AEE-4ABB-BB13-EF34CD7C2806} - MicrosoftWindowsSetupGWXTriggersOutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {27DD821D-2595-4BD4-B67C-C18676AAA8FB} - System32Tasks{6CE5AECF-43C7-4B8E-9970-E0DCA18AB79E} => C:Windowssystem32pcalua.exe -a "C:UsersTobikDesktopVAG-COM-704VAG-COM-704.1_PLVAG-COM-704.1 PL.exe" -d C:UsersTobikDesktopVAG-COM-704VAG-COM-704.1_PL
Task: {3CBF673B-E4B0-4422-A632-AC93696D18A7} - System32Tasks{76BF3FC1-7996-42A9-A219-E6D525B8EB71} => C:Windowssystem32pcalua.exe -a "C:UsersTobikDesktopDriver for wince and pc communicate.exe" -d C:UsersTobikDesktop
Task: {4F47F7E0-520B-4E0D-97F2-706A1E8D71B8} - MicrosoftWindowsSetupGWXTriggersMachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {55AD5A57-8E79-4D54-B1AD-0463F57D11A7} - MicrosoftWindowsSetupGWXTriggersTime-5d -> Brak pliku <==== UWAGA
Task: {5FACBEB3-924B-441C-985C-6C399A8E19CF} - System32Tasks{954D786E-F43F-4C2A-B6AB-434F4685CA33} => C:Windowssystem32pcalua.exe -a C:UsersTobikDownloadsTL-WN722N(EU)_V2_161112_WindowsTL-WN722N_V2_161112Setup.exe -d C:UsersTobikDownloadsTL-WN722N(EU)_V2_161112_WindowsTL-WN722N_V2_161112
Task: {6618A5F7-844C-4B26-AD22-AE8590DC1FDD} - MicrosoftWindowsSetupGWXTriggersLogon-5d -> Brak pliku <==== UWAGA
Task: {6BE0BD07-D6A1-4348-A6E8-BE108E12A9A4} - System32Tasks{AD15321F-48D0-48A0-81E6-5B965A3C20F6} => C:Windowssystem32pcalua.exe -a C:UsersTobikDownloadsi2pinstall_0.9.15_windows.exe -d C:UsersTobikDownloads
Task: {7553A75F-0CEE-4480-9567-2E58BF2EA3FE} - System32Tasks{10BC43B8-C874-416C-90C8-4A07C9505396} => C:Windowssystem32pcalua.exe -a "C:UsersTobikDownloadsAero Flux - Alpha V1.0 - Full.exe" -d C:UsersTobikDownloads
Task: {7B0078D8-F7F5-4D34-9B92-7A96449CA149} - System32Tasks{63C95A4E-FC56-4A3B-B6BA-0222BADDB953} => C:Windowssystem32pcalua.exe -a D:TL-WN823NSetup.exe -d D:TL-WN823N
Task: {8B633C4F-C568-49AF-BEF4-B282DE6C0610} - System32Tasks{890F2B17-E052-4CCD-B478-2C326BA20BB4} => C:Windowssystem32pcalua.exe -a "C:UsersTobikDesktopTL-WN722N_V1_131113 (1)Setup.exe" -d "C:UsersTobikDesktopTL-WN722N_V1_131113 (1)"
Task: {94E616F7-19BE-4865-B1E8-C20A4E2482A0} - System32Tasks{7579193A-A0C6-4423-9C0B-24288163D2DD} => C:Windowssystem32pcalua.exe -a "H:GrySerious Sam 3Serious.Sam.3.BFE.MultiSerious.Sam.3.BFE.MultiSerious Sam 3 BFE - Multisetupsetup.exe" -d "H:GrySerious Sam 3Serious.Sam.3.BFE.MultiSerious.Sam.3.BFE.MultiSerious Sam 3 BFE - Multisetup"
Task: {9F6AE928-E3A3-407D-AC3C-51F247224DF6} - MicrosoftWindowsSetupGWXTriggersrefreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {CC69BE99-3623-4E51-B720-164414C9D9A9} - System32Tasks{3E62A818-D8B4-4A86-B78D-8D9DDCE24CF5} => C:Windowssystem32pcalua.exe -a "C:Program Files (x86)Steamsteam.exe" -c steam://uninstall/102600
Task: {D4A7C754-E7E0-48CA-B7DA-8E3A5D23CBCC} - System32Tasks{982FB4C6-32AB-4818-964C-D985B20EF5D8} => C:Windowssystem32pcalua.exe -a "C:UsersTobikDesktopDriver for wince and pc communicate.exe" -d C:UsersTobikDesktop
Task: {DDA4DC13-CB93-4F60-8D2A-DED8B7543809} - System32Tasks{524B4F95-8F0D-4F47-AFE2-04DB7D6BD4E5} => C:Windowssystem32pcalua.exe -a "H:Piraci z Karaibów Na krańcu świata PC PLPiraELinstall.exe" -d "H:Piraci z Karaibów Na krańcu świata PC PLPiraEL"
Task: {EB25642D-A4A7-4948-B68B-2E148EC36072} - MicrosoftWindowsSetupGWXTriggersLogon-URT -> Brak pliku <==== UWAGA
Task: {F2CC3141-7E11-46FF-B32D-1E4CFCC4BE52} - System32Tasks{E0493F8B-4712-446D-A2E5-D79A9C3DB577} => C:Windowssystem32pcalua.exe -a "D:Alcohol 120%Alcohol 120%setup.exe" -d "D:Alcohol 120%Alcohol 120%"


W logu FRST.txt znajdź te linijki:
HKUS-1-5-21-2162294307-254171243-3963238324-1000...Run: [Tobik] => explorer.exe hxxp://dipladoks.org <==== UWAGA
HKUS-1-5-21-2162294307-254171243-3963238324-1000...PoliciesExplorer: []
HKLM-x32...Run: [] => [X]
U3 DumpIt; ??C:WindowsSysWOW64DriversDumpIt.sys [X]
S2 SSPORT; ??C:Windowssystem32DriversSSPORT.sys [X]
U3 SwitchBoard; Brak ImagePath


Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
te wszystkie znalezione linijki

wklej też te:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


potem:
Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

Spybot nie nadaje się do ochrony, bo pracuje na bardzo starym silniku - nie jest w stanie wykrywać bardziej nowoczesnych infekcji.
Odinstaluj go.

Zrób nowe logi FRST.
.

Tobik

Użytkownik
Posty: 23
Rejestracja: 22 sie 2011, 23:56

Prośba o analizę logów OTL

Post18 lut 2019, 20:15

Pomogło, bardzo dziękuję :)
Logi:
Dostępne tylko dla zarejestrowanych użytkowników frst

Dostępne tylko dla zarejestrowanych użytkowników Addition

Dostępne tylko dla zarejestrowanych użytkowników Shortcut

A tak poza tematem, to walczyłeś electrolux kiedyś z folderem 'winsxs' w Windowsie? Mimo porad w necie u mnie ma nadal ogromny rozmiar na dysku.

electrolux

Ekspert
Posty: 260
Rejestracja: 06 lut 2017, 00:26

Prośba o analizę logów OTL

Post18 lut 2019, 22:44

walczyłeś electrolux kiedyś z folderem 'winsxs' w Windowsie?

Nie, nawet nie próbowałem.
Zresztą "walka" z nim nie jest zalecana, może przynieść więcej problemów, nie warto.

Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
Task: {9F6AE928-E3A3-407D-AC3C-51F247224DF6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Re-Volt\Re-Volt.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smideo\Smideo.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Re-Volt\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\License Agreement.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Registration.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Wizard.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Äë˙ đóńńęčő.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex\Chronic Logic Website.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex\Hardware Configuration.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex\Pontifex Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex\Pontifex.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PeerBlock\PeerBlock.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PeerBlock\Uninstall PeerBlock.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PeerBlock\Help and Support\ReadMe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake\Handbrake.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter\GDSMux.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Guitar Pro 6\Guitar Pro 6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Guitar Pro 6\Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Guitar Pro 6\Software update.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Guitar Pro 6\Uninstall Guitar Pro 6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FORScan\Deinstalacja programu FORScan.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FORScan\FORScan Documents folder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FORScan\FORScan Log folder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FORScan\FORScan.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elcom\PluConv 2.3\PluConv 2.3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elcom\PluConv 2.3\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elcom\Euro2A 5.09\Euro2A 5.09.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elcom\Euro2A 5.09\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elcom\Euro-50 PLU Editor\Euro-50 PLU Editor.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elcom\Euro-50 PLU Editor\uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD2one V2\DVD2one V2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD2one V2\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD2one V2\Website.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avi2Dvd\Avi2Dvd.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avi2Dvd\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avi2Dvd\Website.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoMapa\AutoMapa.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\arcai.com\netcut.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AllePomocnik\AllePomocnik.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AllePomocnik\Deinstalacja programu AllePomocnik.lnk
C:\Users\Public\Desktop\Avira Antivirus.lnk

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
.

Tobik

Użytkownik
Posty: 23
Rejestracja: 22 sie 2011, 23:56

Prośba o analizę logów OTL

Post20 lut 2019, 09:40

Dziękuję przeserdecznie:)



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 4 gości