Prośba o sprawdzenie logów

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
zamix

Użytkownik
Posty: 4
Rejestracja: 04 gru 2018, 17:29

Prośba o sprawdzenie logów

Post04 gru 2018, 17:53

Witam, bardzo prosiłbym o sprawdzenie logów, wkradły mi się jakieś trojany podczas instalacji programu z felernego źródła, troche usunął antywirus, troche ja manualnie, ale nadal jest problem, np teraz jak czytam to forum to nie widze połowy postów bo są zastąpione ruską cyrylicą, podmienia mi wyszukiwarke itd. Poniżej logi z otl i frst.
Dostępne tylko dla zarejestrowanych użytkowników Addition
Dostępne tylko dla zarejestrowanych użytkowników extras
Dostępne tylko dla zarejestrowanych użytkowników frst
Dostępne tylko dla zarejestrowanych użytkowników otl
Dostępne tylko dla zarejestrowanych użytkowników shortcut

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Prośba o sprawdzenie logów

Post04 gru 2018, 17:57

widzę infekcję, ale nie mogę przygotować skryptu usuwającego, bo logi są zniekształcone - na "wklejto" trzeba wklejać tekst, a nie plik.
popraw to.
(logi z OTL nie są mi potrzebne)


electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Prośba o sprawdzenie logów

Post04 gru 2018, 19:04

W sumie to jest tu kilka infekcji.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
Task: {27ABDFD2-05E7-47DA-A852-FAE3EE18142A} - System32\Tasks\psv_Domzoztrax => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Geotech.reg" & del "C:\ProgramData\Quoteex\Geotech.reg" & SCHTASKS /Delete /TN "psv_Domzoztrax" /F <==== UWAGA
Task: {28A5B9A3-6169-497A-B454-1EDEC50C1135} - System32\Tasks\psv_HayTanzap => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Homecore.reg" & del "C:\ProgramData\Quoteex\Homecore.reg" & SCHTASKS /Delete /TN "psv_HayTanzap" /F <==== UWAGA
Task: {2E0611D2-4DBD-4F43-A3D8-114FFCEE3F76} - System32\Tasks\psv_Freshlab => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Fixfresh.reg" & del "C:\ProgramData\Quoteex\Fixfresh.reg" & SCHTASKS /Delete /TN "psv_Freshlab" /F <==== UWAGA
Task: {52670476-0249-406D-8C37-DEF595FAD74A} - System32\Tasks\psv_Tanphase => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Stringbam.reg" & del "C:\ProgramData\Quoteex\Stringbam.reg" & SCHTASKS /Delete /TN "psv_Tanphase" /F <==== UWAGA
Task: {8714794D-FBA6-42D0-A0DA-408792787F43} - System32\Tasks\{8506634E-1404-4189-B71F-6ABB07478E01} => C:\Windows\system32\pcalua.exe -a C:\Users\Marek\Desktop\OneClickRoot.exe -d C:\Users\Marek\Desktop
Task: {943F7252-0F97-4E39-838B-F7862C427138} - System32\Tasks\psv_Hotla => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Indigotough.reg" & del "C:\ProgramData\Quoteex\Indigotough.reg" & SCHTASKS /Delete /TN "psv_Hotla" /F <==== UWAGA
Task: {E90F5FB9-7319-45F7-AB4A-D5023042978B} - System32\Tasks\psv_Donsing => cmd.exe /c regedit.exe /s "C:\ProgramData\Quoteex\Lating.reg" & del "C:\ProgramData\Quoteex\Lating.reg" & SCHTASKS /Delete /TN "psv_Donsing" /F <==== UWAGA
ShortcutWithArgument: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Marek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
RemoveDirectory: C:\ProgramData\Quoteex
RemoveDirectory: C:\Windows\system32\cbtkqxkt
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\evfutidi.lnk [2018-11-28]
ShortcutTarget: evfutidi.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation)
HKU\S-1-5-21-455564775-128462417-2060448246-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%7 ... jFUi8EU&q={searchTerms}
HKU\S-1-5-21-455564775-128462417-2060448246-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72 ... bADXGIKAw7
SearchScopes: HKLM -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%7 ... jFUi8EU&q={searchTerms}
SearchScopes: HKU\S-1-5-21-455564775-128462417-2060448246-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%7 ... jFUi8EU&q={searchTerms}
FF NewTab: Mozilla\Firefox\Profiles\pw617wph.default -> file:///C:/ProgramData/Quoteexs/ff.NT
FF Extension: (Firefox Protection) - C:\Users\Marek\AppData\Roaming\Mozilla\Firefox\Profiles\pw617wph.default\Extensions\{ab10d63e-3096-4492-ab0e-5edcf4baf988} [2018-11-28] [Brak podpisu cyfrowego]
S4 cbtkqxkt; C:\Windows\system32\cbtkqxkt\dyfcbyuv.exe [0 ] () <==== UWAGA (zerobajtowy plik/folder)
S3 ADIHdAudAddService; system32\drivers\ADIHdAud.sys [X]
2018-11-28 09:34 - 2018-11-28 10:51 - 000000000 ____D C:\Users\Marek\AppData\Local\WServices
2018-11-28 09:33 - 2018-11-28 09:36 - 000000000 ____D C:\Users\Marek\AppData\Roaming\oyaf2wmh4sl
2018-11-28 09:33 - 2018-11-28 09:36 - 000000000 ____D C:\Users\Marek\AppData\Roaming\opppydqdq5p
2018-11-28 09:31 - 2018-11-28 09:31 - 000000000 ____D C:\ProgramData\4IAATVKJ9ZFOW0UDEXO2
2018-11-28 09:30 - 2018-11-28 10:47 - 000000000 ____D C:\Users\Marek\AppData\Roaming\pdoa5qcib41
2018-11-28 09:30 - 2018-11-28 09:36 - 000000000 ____D C:\Users\Marek\AppData\Roaming\ekcjpyeyivw
2018-11-28 09:29 - 2018-11-28 09:29 - 000000000 ____D C:\Windows\system32\cbtkqxkt
2018-11-28 09:28 - 2018-11-28 18:24 - 000000000 ____D C:\ProgramData\Quoteexs
2018-11-28 09:28 - 2018-11-28 09:29 - 000015606 _____ C:\Windows\system32\findit.xml
2018-11-28 09:28 - 2018-11-28 09:28 - 000000000 ____D C:\Users\Marek\AppData\Local\AdvinstAnalytics
2018-11-28 09:27 - 2018-11-28 18:24 - 000000000 ____D C:\ProgramData\Quoteex
2018-11-28 09:27 - 2018-11-28 11:05 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-11-28 09:27 - 2018-11-28 09:50 - 000000000 ____D C:\Program Files\Common Files\Bioredtech
2018-11-28 09:27 - 2018-11-28 09:29 - 000016416 _____ C:\Users\Marek\AppData\Local\InstallationConfiguration.xml
2018-11-28 09:27 - 2018-11-28 09:28 - 000722944 _____ C:\Users\Marek\AppData\Local\sham.db
2018-11-28 09:27 - 2018-11-28 09:27 - 007813632 _____ C:\Users\Marek\AppData\Local\agent.dat
2018-11-28 09:27 - 2018-11-28 09:27 - 002026472 _____ C:\Users\Marek\AppData\Local\Saolight.tst
2018-11-28 09:27 - 2018-11-28 09:27 - 000140800 _____ C:\Users\Marek\AppData\Local\installer.dat
2018-11-28 09:27 - 2018-11-28 09:27 - 000126464 _____ C:\Users\Marek\AppData\Local\noah.dat
2018-11-28 09:27 - 2018-11-28 09:27 - 000070896 _____ C:\Users\Marek\AppData\Local\Config.xml
2018-11-28 09:27 - 2018-11-28 09:27 - 000018432 _____ C:\Users\Marek\AppData\Local\Main.dat
2018-11-28 09:27 - 2018-11-28 09:27 - 000005568 _____ C:\Users\Marek\AppData\Local\md.xml
2018-11-28 09:27 - 2018-11-28 09:27 - 000000000 ____D C:\Users\Marek\AppData\Roaming\Microleaves
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Dodatkowo przeskanuj komputer przy pomocy Adw-Cleanera > Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

Zrób nowe logi FRST - już bez Shortcut.

Napisz, czy problem znikł?
.

zamix

Użytkownik
Posty: 4
Rejestracja: 04 gru 2018, 17:29

Prośba o sprawdzenie logów

Post04 gru 2018, 23:47


electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Prośba o sprawdzenie logów

Post05 gru 2018, 10:14

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
C:\Users\Marek\AppData\Local\uninstall_temp.ico

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Masz dwa antywirusy, czyli o jeden za dużo.
Pozbądź się jednego z nich.

Do usuwania AVG służy AVG Remover - Dostępne tylko dla zarejestrowanych użytkowników

Do usuwania ESET służy ESET Uninstaller - Dostępne tylko dla zarejestrowanych użytkowników
.

zamix

Użytkownik
Posty: 4
Rejestracja: 04 gru 2018, 17:29

Prośba o sprawdzenie logów

Post05 gru 2018, 12:40

"Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 01.12.2018 01
Uruchomiony przez Marek (05-12-2018 12:37:41) Run:3
Uruchomiony z C:\Users\Marek\Desktop
Załadowane profile: Marek (Dostępne profile: Marek)
Tryb startu: Normal

==============================================

fixlist - zawartość:
*****************

*****************


==== Koniec Fixlog 12:37:41 ===="

Antywirusy mam dwa bo AVG nie dawał rady i ściągnąłem próbną wersje Eseta. Powiedz mi, jaki antywirus obecnie polecasz? Do tej pory byłem zadowolony z AVG ale ostatnio nawala



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 13 gości