Prośba o sprawdzenie logów

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
kris1

Użytkownik
Posty: 2
Rejestracja: 14 sie 2011, 22:30

Prośba o sprawdzenie logów

Post17 mar 2013, 11:01

Witam serdecznie chce reanimować stary komputer, po przeskanowaniu CureIt i malwarebyte zostały znalezione i usunięte wirusy, jednak po starcie Windowsa uruchamiają się moje dokumenty. Proszę o sprawdzenie loga oraz o pomoc w usunięciu pozostałości po infekcji.

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras : Dostępne tylko dla zarejestrowanych użytkowników


Z góry dziękuje za każdą pomoc.
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Prośba o sprawdzenie logów

Post17 mar 2013, 13:23

po przeskanowaniu CureIt i malwarebyte zostały znalezione i usunięte wirusy,


Raporty z tych działań chętnie bym zobaczył.

SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)


Ktoś tu szczerbił.

Combofix.


Pobierz Dostępne tylko dla zarejestrowanych użytkowników na pulpit (nie uruchamiaj). Następnie wejdź w START -> URUCHOM -> i wklej tam -> "C:\Documents and Settings\Administrator\Pulpit\Combofix.exe" /uninstall .

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ALCXWDM.SYS -- (ALCXWDM)
DRV - File not found [Kernel | System | Stopped] -- C:\OS\System32\drivers\afd.sys -- (AFD)
O4 - HKLM..\Run: [] File not found
[2013-02-19 16:55:35 | 000,000,000 | ---D | C] -- C:\OS\erdnt

:Files
C:\FOUND.*
C:\Documents and Settings\Administrator\Pulpit\e1qsbzda.exe
C:\OS\System32\tmp*.FOT

:Reg
[HKEY_USERS\S-1-5-21-1715567821-688789844-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER.EXE"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z TDSSKiller + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości