Virus/robak - pomóżcie! logi z OTL

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Lelen

Użytkownik
Posty: 4
Rejestracja: 24 lis 2012, 09:38

Virus/robak - pomóżcie! logi z OTL

Post24 lis 2012, 10:01

Witam, mam jakiegoś virusa, zastąpił mi plik msconfig.exe, z każdym nowym uruchomieniem windowsa łączy się z stroną blob2.ge.tt, czasami samoczynnie pobiera jakieś pliki tmp, dodatkowo przy starcie mam Windows Startup-application zdublowane, które jak wyłączę i tak się samo włączy.
Było tego trochę więcej, np. usuwało mi różne .exe programów bez możliwości przywrócenia (bestplayer, rocketdock).

OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam.

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Virus/robak - pomóżcie! logi z OTL

Post24 lis 2012, 16:44

"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"UnityWebPlayer" = Unity Web Player
"FlashGet3.7" = FlashGet3.7


Odinstaluj to oprogramowanie, oraz inne ewentualnie zbędne Ci.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{F2CE0ACA-B1AC-11E1-BAF8-0040F497589C}
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&crg=3.1010000.10011&barid={F2CE0ACA-B1AC-11E1-BAF8-0040F497589C}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=112542&tt=120912_cpc_3812_6&babsrc=SP_ss&mntrId=809f02ec000000000000001d7d062bef
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&crg=3.1010000.10011&barid={F2CE0ACA-B1AC-11E1-BAF8-0040F497589C}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.selectedEngine: "AVG Secure Search"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@ieinspector.com/ha_plugin: D:\Programy\IEInspector\HTTPAnalyzerFullV6\firefox\Components File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Lelen\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Lelen\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Lelen\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
[2012-03-05 12:50:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Lelen\AppData\Roaming\mozilla\Firefox\Profiles\cvl3o09g.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Windows Explorer] C:\Users\Lelen\msdata\iexplorer.exe ()
O4 - HKCU..\Run: [] File not found
O4 - HKCU..\Run: [Windows Explorer] C:\Users\Lelen\msdata\iexplorer.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16:64bit: - DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.7.2)
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate Support Package 2)
O16 - DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate 2)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} Dostępne tylko dla zarejestrowanych użytkowników (Creative Software AutoUpdate Support Package)
[2012-11-12 11:04:55 | 000,000,000 | ---D | C] -- C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
@Alternate Data Stream - 187 bytes -> C:\ProgramData\TEMP:B1FBBD09

:Files
C:\Users\Lelen\AppData\Local\Google\Update
C:\Users\Lelen\AppData\LocalLow\Unity
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Lelen

Użytkownik
Posty: 4
Rejestracja: 24 lis 2012, 09:38

Virus/robak - pomóżcie! logi z OTL

Post25 lis 2012, 15:47

Logi z skryptu OTL (niestety musiałem skrypt wykonać 2x bo pierwsze logi zapomniałem zapisać, ale wszystko co miało to usunęło z tego co widziałem) - Dostępne tylko dla zarejestrowanych użytkowników
ADWCleaner - Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller - Dostępne tylko dla zarejestrowanych użytkowników
Nowy log z OTL - Dostępne tylko dla zarejestrowanych użytkowników

I po każdym reboocie coś takiego mam: Obrazek

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Virus/robak - pomóżcie! logi z OTL

Post25 lis 2012, 16:45

Logi.


W tym przypadku zastosuj Combofix -> http://www.hotfix.pl/articles.php?article_id=41. Podaj log z jego działania, oraz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Virus/robak - pomóżcie! logi z OTL

Post26 lis 2012, 20:14

Combofix.


Wejdź w START -> Uruchom - i wklej tam -> "c:\users\Lelen\Downloads\ComboFix.exe" /uninstall .

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.selectedEngine: "AVG Secure Search"
[2012-11-25 17:06:11 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012-11-25 16:53:24 | 000,000,000 | ---D | C] -- C:\ComboFix
[2012-11-25 16:53:10 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012-11-25 16:52:54 | 000,000,000 | ---D | C] -- C:\Windows\erdnt

:Files
$RECYCLE.BIN /alldrives
C:\TDSSKiller_Quarantine
c:\users\Default\AppData\Local\temp
c:\users\Lelen\msdata\iexplorer.exe
c:\users\Lelen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\P90X.lnk

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"=-
"Ad Muncher"=-
"CreativeTaskScheduler"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=-
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"CTxfiHlp"=-
"HP Software Update"=-
"Adobe ARM"=-
"SunJavaUpdateSched"=-
"AMD AVT"=-
"Windows Explorer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EvtMgr6"=-
"LogiScrollApp"=-

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

Lelen

Użytkownik
Posty: 4
Rejestracja: 24 lis 2012, 09:38

Virus/robak - pomóżcie! logi z OTL

Post26 lis 2012, 20:30

Log ze skryptu OTL - Dostępne tylko dla zarejestrowanych użytkowników
Log z autoruns - Dostępne tylko dla zarejestrowanych użytkowników

Dzięki, w sumie już mi nie wyświetla żadnego wirusa że mam :>

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

Virus/robak - pomóżcie! logi z OTL

Post27 lis 2012, 11:17

Autoruns.


W Autoruns odznacz, a następnie usuń (co się bezie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

EvtMgr6


HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

SunJavaUpdateSched


HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.


HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.


Task Scheduler

Wszystko.


HKLM\System\CurrentControlSet\Services

AdobeARMservice
AMD External Events Utility
AMD FUEL Service
Creative ALchemy AL6 Licensing Service
Creative Audio Engine Licensing Service
FLEXnet Licensing Service 64
IDriverT
iPod Service
Microsoft SharePoint Workspace Audit Service
MSSQLSERVER
mysql
ose
osppsvc
SQLBrowser
SwitchBoard
TuneUp.UtilitiesSvc
UxTuneUp
WinDefend
wlidsvc
WMPNetworkSvc


HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.


HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Wszystko.


Logi.


Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 13 gości