Prośba o Sprawdzenie Logów

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
ISPNEVERBOX

Użytkownik
Posty: 5
Rejestracja: 19 sty 2016, 21:30

Prośba o Sprawdzenie Logów

Post23 sty 2016, 13:11

WITAM

chciałbym prosić o pomoc w usunięciu infekcji, jedna z nich jest osadzona w svhost który wykazuje kilka połączeń:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

Przeprowadziłem Skanowanie,Aby zwiększyć wiarygodności raportów na chwilę ich generowania wyłączyłem: Sterowniki,PAKIETY ZABEZPIECZEŃ I OPROGRAMOWANIA OCHRONNEGO.


Poniżej zamieszczam logi:

1.FARBAR RECROVERY SCAN TOOL:
-FIXLOG:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-Addition:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-FRST:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-Shortcut:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

2.Farbar_Service_Scanner(FSS):
LINK: Dostępne tylko dla zarejestrowanych użytkowników

3.Mini_ToolBOX:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

4.Comodo Cleaning Essentials:
-AutoRuns:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
HASŁO DO PLIKU: yTyDaquN
-COMODO KillSwitch:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
Hasło do Pliku: Penabypa

5.GMER:
-AutoStart:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-SCAN_Result:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

6.aswMBR
LINK: Dostępne tylko dla zarejestrowanych użytkowników

7.TEMP FILE CLEANER:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

8.ZHPCleaner:
-ZHPCleaner:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-ZHPCleaner-[S]:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

9.ListParts:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

10.ADWcleaner:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

11.Killtrojan_Syslog:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuje za pomoc i Pozdrawiam.
ISPNEVERBOX.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o Sprawdzenie Logów

Post23 sty 2016, 14:31

1. Otwórz notatnik i wklej:
CloseProcesses:
S1 SDHookDriver; \??\C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHookDrv64.sys [X]
S0 gqbhjg; Brak ImagePath
S0 hqmpym; Brak ImagePath
R0 hzgqpf; Brak ImagePath
BootExecute: autocheck autochk * sdnclean64.exe
Task: {3928F0B2-9330-420A-B44A-58451F51F6BC} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_17_0_0_134_pepper.exe
Task: {BA48FCCD-F364-42BF-B684-E7B4DCC4D3D1} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {E132C2EF-BA14-4910-B1F9-59284138C958} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\WINDOWS\system32\MRT.exe [2015-12-13] (Microsoft Corporation)
Task: {E2A35F39-66B0-4EA5-9268-47C745B156AA} - System32\Tasks\Opera scheduled Autoupdate 1448286703 => C:\Program Files (x86)\Opera\launcher.exe
Task: C:\WINDOWS\Tasks\Adobe Flash Player PPAPI Notifier.job => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_228_pepper.exe
Task: C:\WINDOWS\Tasks\CommView for WiFi Update.job => C:\Program Files (x86)\CommViewWiFi\Updater.exe
Task: C:\WINDOWS\Tasks\User_Feed_Synchronization-{7F7FEBF0-E9EC-4ED5-AA97-1BD7BF9B0C3A}.job => C:\WINDOWS\system32\msfeedssync.exe
Task: C:\WINDOWS\Tasks\{31DDBD37-5DB7-4030-8064-10B0CAA806C3}.job => C:\Program Files\COMODO\COMODO Internet Security\CisTray.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="2"
RemoveProxy:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Otwórz Notatnik i wklej w nim:
reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh winsock reset all
netsh int 6to4 reset all
netsh int ipv4 reset all
netsh int ipv6 reset all
netsh int httpstunnel reset all
netsh int isatap reset all
netsh int portproxy reset all
netsh int tcp reset all
netsh int teredo reset all
netsh advfirewall reset
netsh int ip reset c:\resetlog.txt
SC DELETE aftcqaoc
pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT
Uruchom jako Administrator > restart systemu.

3. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

4. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

ISPNEVERBOX

Użytkownik
Posty: 5
Rejestracja: 19 sty 2016, 21:30

Prośba o Sprawdzenie Logów

Post28 sty 2016, 10:17

Witam

Wykonałem opisane działanie i zamieszczam opis po próbie usunięcia:

Po uruchomieniu systemu w trybie normalnym wyświetla się błąd: explorer.exe-ostrzeżenie systemowe , unknown hard error.
Po jego potwierdzeniu explorer się restartuje(niestety nie wiem czy to z winy infekcji).
Co do usuwania programów: w trybie normalnym przy próbach usunięcia ukazuje się komunikat mówiący o braku uprawnień do przeprowadzenia jakiej kolwiek dezinstalacji,
a przy próbie uruchomienia funkcji odinstaluj programy program reaguje dopiero po 30 sekundach ciągłego klikania.
W trybie awaryjnym dezinstalacja programów przebiega pomyślnie.
Poza tym podczas próby włączenia funkcji:Ustawienia komputera(w Win.8) funkcja nie uruchamia się.
dodatkowo brak reakcji przy próbie wyłączenia (Windows Defender) więc na czas skanów pozostały jedynie wyłączone sterowniki CD emulator.

Jeśli chodzi o infekcje mimo próby usuwania w dalszym ciągu występują podobne połączenia co wcześniej(Zamieszczam_połączenia):
LINK: Dostępne tylko dla zarejestrowanych użytkowników

ZHP wykrył więcej potencjalnie szkodliwych infekcji

Poniżej zamieszczam Logi:

1.FARBAR RECROVERY SCAN TOOL:
-FIXLOG:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-Addition:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-FRST:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-Shortcut:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

2.Farbar_Service_Scanner(FSS):
LINK: Dostępne tylko dla zarejestrowanych użytkowników

3.Mini_ToolBOX:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

4.Comodo Cleaning Essentials:
-COMODO KillSwitch:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-CCE_LOG:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

5.GMER:
-SCAN_Result:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

6.Killtrojan_Syslog:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

7.Silent_Runners
LINK: Dostępne tylko dla zarejestrowanych użytkowników

8.ZHPCleaner:
-ZHPCleaner:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
-ZHPCleaner-[S]:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

9.ListParts:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

10.ADWcleaner:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

11.aswMBR wykazuje błąd z dyskiem nie wiem czy to wina infekcji ale dołączam log:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuję i Pozdrawiam.
ISPNeverBox.
PS:Przepraszam za brak logów MBAM i hitman pro z powodu braku czasu poza tym używałem ich wcześniej w celu naprawienia problemu ale oba nie dały rady.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o Sprawdzenie Logów

Post28 sty 2016, 10:25

Ja w tych logach nie widzę niczego szkodliwego.

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

sfc /scannow

Gdy komenda ukończy działanie, w cmd wklej kolejną:

findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Wynikowy log dołącz tutaj.

ISPNEVERBOX

Użytkownik
Posty: 5
Rejestracja: 19 sty 2016, 21:30

Prośba o Sprawdzenie Logów

Post28 sty 2016, 10:34

Witam

To w takim razie co wywołuje tyle połączeń?
Wireshark wykazuje dużą liczbę mimo że niczego nie używam a jedynie podłączam się pod Wi-Fi, dla mnie to wygląda na spyware.


Pozdrawiam.
ISPNeverBOX.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o Sprawdzenie Logów

Post28 sty 2016, 10:57

To raczej norma, że jest tyle połączęń.
Masz COMODO / Windows Defender / Webroot oraz wiele innych procesów które korzystają z internetu.

ISPNEVERBOX

Użytkownik
Posty: 5
Rejestracja: 19 sty 2016, 21:30

Prośba o Sprawdzenie Logów

Post28 sty 2016, 13:01

WITAM

Dodaje Logi z przeprowadzonej analizy:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
Jeśli chodzi o programy typu webroot etc. większości odinstalowałem comodo zostawiłem ale jako że jest to typ firewall nie powinien wywoływać połączeń poza tym gdyby jakaś aplikacja wywołała połączenia, zostałaby zapisana a mimo to widnieje sam svchost.exe.


Pozdrawiam.
ISPNeverBox.

Awatar użytkownika
XMan

Globalny Moderator
Posty: 13385
Rejestracja: 30 lis 2008, 00:40

Prośba o Sprawdzenie Logów

Post28 sty 2016, 14:32

Przeglądałem pobieżnie logi i myślę że masz problem z programami zabezpieczającymi komputer
Za dużo...
Skąd u ciebie jest Avast jak masz COMODO + inne ?
MBAM jest darmowy, wersja próbna czy Premium/wersja testowa ?
Programy Professional wykupione ?

Sprawdź jeszcze, nie zaszkodzi tylko pomoże:

Usuń wszystkie punkty przywracania systemu.
Zapisz/utwórz nowy.

Start --> Panel sterowania --> System --> Zaawansowane --> Wydajność --> Ustawienia --> Efekty wizualne - zaznacz tylko 6 pozycji - Zastosuj - OK.

kliknij aby powiększyć:
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Ja mam zaznaczone tylko 3 pozycje:
Dostępne tylko dla zarejestrowanych użytkowników


Przeczyść komputer programem CCleaner.
U góry po lewej "Cleaner" na dole Analiza - Uruchom Cleaner
później "Rejestr" Skanuj by znaleźć problemy - Napraw zaznaczone problemy.
CCleanera używaj po częstym surfowaniu po internecie oraz po każdej deinstalacji programów
i sterowników.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Użyj dodatkowo:

Eusing Free Registry Cleaner.
(dokładniej czyści rejestr)
Wybierasz język / language / Polish.
Przewiń --> Skanuj rejestr --> Napraw rejestr.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Sprawdź dysk na obecność błędów.

Dostępne tylko dla zarejestrowanych użytkowników

PPM (prawym przyciskiem myszki) na dysk C --> Właściwości --> Narzędzia
--> Sprawdzanie błędów --> Sprawdź
zaznacz wszystko tak jak na screenie --> Rozpocznij --> Tak.
Trwa b. długo, nie przerywaj.

Możesz zainstalować dodatkowo taki mały program:
Dostępne tylko dla zarejestrowanych użytkowników

Koniecznie wrzuć loga z autoruns:
oprogramowanie/optymalizacja-autostartu-z-wykorzystaniem-narzedzia-autoruns-t1340.html

Będzie OK to usuń wszystkie punkty przywracania utwórz/zapisz nowy...
Kto pyta - nie błądzi, kto szuka - znajduje.
Obrazek
Dostępne tylko dla zarejestrowanych użytkowników

ISPNEVERBOX

Użytkownik
Posty: 5
Rejestracja: 19 sty 2016, 21:30

Prośba o Sprawdzenie Logów

Post31 sty 2016, 11:57

Witam

Zrobiłem to co zostało opisane powyżej czyszczenie plików tymczasowych zostawiłem sobie na później, poniżej przedstawiam ostatnie logi:

1.Autostart_LOG:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

2.TDSS_Killer:
LOG_1:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
LOG_2:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

3.ZHP_Cleaner:
LOG_1:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
LOG_2:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
LOG_3:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

4.Farbar:
FRST:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
Addition:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

5.AdwCleaner
AdwCleaner[8]:
LINK:http://wklej.org/hash/02c7b3c1acb/
AdwCleaner[C2]:
LINK: Dostępne tylko dla zarejestrowanych użytkowników
Quarantine_LOG:
LINK: Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o Sprawdzenie Logów

Post31 sty 2016, 13:01

Nic ciekawego.
Więcej nie wymyśle.

Awatar użytkownika
XMan

Globalny Moderator
Posty: 13385
Rejestracja: 30 lis 2008, 00:40

Prośba o Sprawdzenie Logów

Post31 sty 2016, 13:11



Jak sporządzić log z programu opisano w ==> tym poradniku.

Log zamieszczamy na jednej ze stron oferującej darmowy hosting plików np. Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników. W treści posta podajemy sam link prowadzący do pliku.
Kto pyta - nie błądzi, kto szuka - znajduje.
Obrazek
Dostępne tylko dla zarejestrowanych użytkowników



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości