Sprawdzenie logów

[help3r]

Witam,
Proszę o sprawdzenie logów , ponieważ mam wrażenie że Comodo i inne apki zostawiły po sobie zbędny syf. Z góry mówie że wiem że jestem bezantywirusa , i chce żeby tak zostało , MBAM profilaktycznie mi wystarczy bo wiem co robie

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Logi OTL

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-10-08 15:32:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVG
[2013-09-24 11:54:00 | 000,587,864 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\cmdGuard.sys
[2013-09-24 11:54:00 | 000,030,552 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\cmdhlp.sys
[2013-09-24 11:54:00 | 000,015,704 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\cmderd.sys
[2013-09-24 11:53:52 | 000,354,240 | ---- | M] (COMODO) -- C:\WINDOWS\System32\guard32.dll
[2013-09-24 11:53:52 | 000,036,000 | ---- | M] (COMODO) -- C:\WINDOWS\System32\cmdcsr.dll
[2013-09-24 11:53:36 | 000,280,792 | ---- | M] (COMODO) -- C:\WINDOWS\System32\cmdvrt32.dll
[2013-09-24 11:53:36 | 000,040,664 | ---- | M] (COMODO) -- C:\WINDOWS\System32\cmdkbd32.dll
[2013-09-26 19:12:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DominiK\Ustawienia lokalne\Dane aplikacji\ESET
[2013-09-26 19:11:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET
O20 - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

F.

[help3r]

Dostępne tylko dla zarejestrowanych użytkowników <- Po Usuwaniu
Dostępne tylko dla zarejestrowanych użytkowników <- OTL
Dostępne tylko dla zarejestrowanych użytkowników <- Extras

[filutka78]

OK, usunięte.
W nowych logach nie dostrzegam więcej resztek.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

F.

[help3r]

A jednak chyba coś zostało bo MBAM wykrył 2 infekcje. Zaraz podam logi.

-- 11 paź 2013, 22:02 --

Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

ja zrozumiałam, że chodzi Ci tylko o usunięcie resztek po Comodo (zresztą żadnych infekcji w logach nie było).

EDIT:
To, co wykrył MBAM, to tylko kopie czegoś, co mogło być Adware PUP, ale niekoniecznie.
Tego się nie da sprawdzić, bo w folderze System Volume Information znajdujące się tam obiekty (kopie do "Przywracania Systemu") otrzymują inną, losową nazwę.
Nawet gdyby to były rzeczywiście kopie jakiegoś PUP, to te kopie mogły się tam znaleźć wiele miesięcy temu, i ich rzeczywiste pliki zostały już dawno usunięte, bo MBAM przecież ich nie wykrył.


F.

[kominekl]

"{7204BDEE-1A48-4D95-A964-44A9250B439E}" = Facebook Messenger 2.1.4814.0

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
O4 - HKU\S-1-5-21-73586283-688789844-1177238915-1004..\Run: [Facebook Update] C:\Documents and Settings\DominiK\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - Startup: C:\Documents and Settings\DominiK\Menu Start\Programy\Autostart\Facebook Messenger.lnk = C:\Documents and Settings\DominiK\Ustawienia lokalne\Dane aplikacji\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe (Facebook)
[2013-10-11 18:06:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DominiK\Menu Start\Programy\Facebook
[2013-10-11 18:06:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DominiK\Ustawienia lokalne\Dane aplikacji\Temp
[2013-10-11 18:06:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DominiK\Ustawienia lokalne\Dane aplikacji\Facebook
[2013-10-08 15:28:17 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
[2013-10-11 18:07:01 | 000,001,230 | ---- | M] () -- C:\Documents and Settings\DominiK\Menu Start\Programy\Autostart\Facebook Messenger.lnk
[2013-10-01 17:41:17 | 000,819,200 | ---- | M] () -- C:\Documents and Settings\DominiK\adb.exe
[2013-10-01 17:41:17 | 000,160,768 | ---- | M] () -- C:\Documents and Settings\DominiK\fastboot.exe
[2013-10-08 15:28:17 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}

:Files
RECYCLER /alldrives
C:\WINDOWS\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[help3r]

ja zrozumiałam, że chodzi Ci tylko o usunięcie resztek po Comodo (zresztą żadnych infekcji w logach nie było).

Przepraszam za zrobienie zamieszania , to ja źle sformułowałem zdanie, a co do tego wirusa na następny raz będę o tym wiedział

"{7204BDEE-1A48-4D95-A964-44A9250B439E}" = Facebook Messenger 2.1.4814.0

Odinstaluj.

Zostaje, jest to bardzo przydatna appka nie musze otwierać w Operze kolejnej zakładki żeby porozmawiać z kimś na FB , a tylko do tego mi FB służy

W związku z powyższym wyciąłem ten fragment z skryptu dotyczące FB.

-- 12 paź 2013, 17:28 --

Dostępne tylko dla zarejestrowanych użytkowników <- Usuwanie
Dostępne tylko dla zarejestrowanych użytkowników <- OTL
Dostępne tylko dla zarejestrowanych użytkowników <-Extras

[kominekl]

DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Pozbądź się tego. Poza tym zapoznaj się z Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [File_System | On_Demand | Stopped] -- D:\Pobrane\GameBoosterPortable\App\Game Booster\Driver\WinRing0.sys -- (WinRing0_1_2_0)
DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
[2013-10-12 10:35:10 | 000,000,000 | ---D | C] -- C:\UsbFix
[2013-10-08 15:20:03 | 000,266,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\TweakUI.exe
[2013-10-04 20:53:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\COMODO

:Files
RECYCLER /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[help3r]

Poza tym zapoznaj się z tym i tym.

Pomyliłeś chyba wątki Comodo odinstalowałem w ten sposób i nie mam go w ustawieniach a tej drugiej appki w życiu nie instalowałem i też jej nie mam :/

Pozbądź się tego.

Przed założeniem wątku to robiłem i dalej d*** :/

-- 13 paź 2013, 15:43 --

Dostępne tylko dla zarejestrowanych użytkowników <-Usuwanie

[kominekl]

Przed założeniem wątku to robiłem i dalej d*** :/

Zrób to teraz. Inna sytuacja.

[help3r]

Dostępne tylko dla zarejestrowanych użytkowników <- Autoruns

-- 13 paź 2013, 15:49 --

Zrób to teraz. Inna sytuacja.

Wyświetla że SPTD nie jest zainstalowane :/

[kominekl]

http://wikisend.com/download/362632/AutoRuns.arn <- Autoruns

Nowy log chce widzieć dopiero po ponownym wykonaniu tamtego - musisz usunąć ten klucz z rejestru.

[help3r]

Nowy log chce widzieć dopiero po ponownym wykonaniu tamtego - musisz usunąć ten klucz z rejestru.

Otrzymuje komunikat

RegAssasin could NOT remove the register key.

[kominekl]

Nowy log chce widzieć dopiero po ponownym wykonaniu tamtego - musisz usunąć ten klucz z rejestru.

Otrzymuje komunikat

RegAssasin could NOT remove the register key.

Spróbuj za pomocą Dostępne tylko dla zarejestrowanych użytkowników.