Proszę o sprawdzenie loga

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
pawelsulecin

Użytkownik
Posty: 12
Rejestracja: 31 maja 2009, 11:39

Proszę o sprawdzenie loga

Post31 maja 2009, 11:48

Bardzo was proszę o sprawdzenie loga z Combofixa... Combofix pokazuje że mam rotkita. Pomóżcie :(
A to log:
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o sprawdzenie loga

Post31 maja 2009, 12:52


pawelsulecin

Użytkownik
Posty: 12
Rejestracja: 31 maja 2009, 11:39

Re: Proszę o sprawdzenie loga

Post31 maja 2009, 17:37

Przesyłam log z Malwarebytes. Skanowałem dwa razy. Za pierwszym razem program wykrył 4 zaifekowane obiekty, które usunąłem, jednak w wyniku burzy wyłączył mi się komputer i log się nie zapisał. Ta wklejka jest z drugiego skanowania :) Co dalej?
Log: Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
me@djohnsc

Administrator
Posty: 1223
Rejestracja: 22 lis 2008, 19:28
Lokalizacja: Śląsk

Proszę o sprawdzenie loga

Post31 maja 2009, 17:40

Jak wszystko usunąłeś to dobrze. Dodatkowo możesz przeskanować skanerem online => Dostępne tylko dla zarejestrowanych użytkowników i usunąć to co znalazł (skaner online tylko skanuje, nie usuwa wirusów) bądź jak nie będziesz pewny czy można dany plik usunąć, to daj raport na forum

pawelsulecin

Użytkownik
Posty: 12
Rejestracja: 31 maja 2009, 11:39

Proszę o sprawdzenie loga

Post31 maja 2009, 17:58

Zaraz przeskanuje. Dodam tylko że te cztery obiekty, które znalazł Malwarebytes, znajdują się w kwarantannie programu:
Podam ich typy:
1. Regue.FakeAlert
2. Regue.FakeAlert
3. Trojan.FakeAlert
4. Trojan.FakeAlert
Zaraz przeskanuje online. Dzięki za pomoc.

Awatar użytkownika
me@djohnsc

Administrator
Posty: 1223
Rejestracja: 22 lis 2008, 19:28
Lokalizacja: Śląsk

Proszę o sprawdzenie loga

Post31 maja 2009, 18:01

Możesz usunąć te wirusy z kwarantanny

pawelsulecin

Użytkownik
Posty: 12
Rejestracja: 31 maja 2009, 11:39

Proszę o sprawdzenie loga

Post31 maja 2009, 21:33

Kaspersky nic nie wykazał, choć trwało to strasznie długo, bo najpierw musiałem ściągnąć nowszą jave, potem ściągały się aktualizacje i oprogramowanie (które nie wiem gdzie znajduje się na kompie) i potem dopiero był scan. :) Ale martwi mnie jedno i może ty coś wymyślisz. Przed chwilą zrobiłem scan Combofixem i ciągle jest usuwany ten sam plik :( Przed południem Cobofix pokazał mi że wykrył rotkita i pod spodem była ścieżka do tego usuwanego ciągle pliku :( Martwię się - Będę ogromnie wdzięczny jeśli coś wydumasz :(
P
Log z Cobofixa: Dostępne tylko dla zarejestrowanych użytkowników

koleś git

VIP
Posty: 912
Rejestracja: 05 maja 2009, 15:57
Lokalizacja: Włocławek
Kontaktowanie:

Proszę o sprawdzenie loga

Post31 maja 2009, 21:40

w sumie te pliki które instalował kaspersky są w pamięci podręcznej mozilli czy innej przeglądarki. możesz je bezproblemowo usunąć przeglądarką albo ccleanerem czy innym do czyszczenia
Pozdrawiam, koleś git

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o sprawdzenie loga

Post01 cze 2009, 13:14

c:\windows\TEMP

Ehh, jestem "uczulony" na tego TEMP'a... Często są w nim Rootkitny na MBR dysku.

1. Wykonaj scan mbr.exe'em >>> viewtopic.php?f=32&t=885

2. Do Notatnika wklej:

Kod: Zaznacz cały

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"-
"MSMSGS"=-
"Odkurzacz-MCD"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Ulead Memory Card Detector"=-
"LogitechCommunicationsManager"-
"LogitechQuickCamRibbon"=-
"SMSTray"=-
"MAAgent"=-
"SunJavaUpdateSched"-
"SkyTel"=-
"RTHDCPL"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>>
plik uruchom
(dwuklik i OK- zgódź się na dodanie do Rejestru).
Zrestartuj komputer.

3. Pobierz ---> Dostępne tylko dla zarejestrowanych użytkowników

Wklej do niego ten tekst:

Kod: Zaznacz cały

Files to delete:
c:\windows\TEMP\logishrd\LVPrcInj01.dll

Folders to delete:
c:\windows\TEMP\logishrd
c:\documents and settings\LocalService\IETldCache
c:\documents and settings\Admin\IECompatCache
c:\documents and settings\Admin\PrivacIE
c:\documents and settings\Admin\IETldCache
c:\documents and settings\Admin\Dane aplikacji\Hide IP NG

Drivers to delete:
80d938d2-7ac8-4f52-aded-6250056d8b34

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

4. Wrzucasz najnowszy log z ComboFixa. :)


==========================
K.

pawelsulecin

Użytkownik
Posty: 12
Rejestracja: 31 maja 2009, 11:39

Proszę o sprawdzenie loga

Post01 cze 2009, 17:52

Zrobiłem wszystko krok po kroku, ale nie znalazłem u siebie pliku: C:\Avenger\backup.zip który miałem usunąć. :( Poza tym komputer zrestartował mi się dziwnie dwa razy :(
Podsyłam raport C:\avenger.txt: Dostępne tylko dla zarejestrowanych użytkowników
A za chwilę, dam log z Combofixa :)

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o sprawdzenie loga

Post01 cze 2009, 18:06

Deletion of folder "c:\windows\TEMP\logishrd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

WTF?! Wg Avengera - nie ma takiego Folderu.

Pokaż log z mbr.exe


=======
K.

pawelsulecin

Użytkownik
Posty: 12
Rejestracja: 31 maja 2009, 11:39

Proszę o sprawdzenie loga

Post01 cze 2009, 18:29


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o sprawdzenie loga

Post02 cze 2009, 07:28

Usuwamy, usuwamy i chyba zbytecznie. :D

Znalazłem w logu z GMERa, jakiejś osoby taki wpis:

C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

To chyba jest o kamerki Logitech - posiadasz taką lub coś z firmy Logitech?
Tak więc - log jest czysty. :)


============
K.

pawelsulecin

Użytkownik
Posty: 12
Rejestracja: 31 maja 2009, 11:39

Proszę o sprawdzenie loga

Post02 cze 2009, 12:03

Tak mam kamerkę Logitechu :) Tak więc teraz nie ma już infekcji? :)

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o sprawdzenie loga

Post02 cze 2009, 15:35

Nie ma...

=========
K.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości