Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez nevmano » 16 cze 2013, 17:59

Witam, od jakiegoś czasu zauważyłem infekcję na Windows7, na wszystkich przegladarkach strona startowa zmienila sie na WebSearch, w miare mozliwosci udalo mi sie usunac ale jak widac po logach jednak nie do konca. Używałem jednorazowo kilku programow do skanowania (Spybot, Malwarebytes Anti Malware), jednak to nic nie dalo. Oprocz tego prosilbym o profilaktyczne sprawdzenie logow, dodam że czasami laptop lekko zacina np podczas odtwarzania muzyki. Być może to wina powyższego ale wolałbym się upewnić. Dziękuję i pozdrawiam

nevmano

Użytkownik
 
Posty: 8
Dołączył(a): 16 cze 2013, 17:39
Kasa: 30.00

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez kominekl » 22 cze 2013, 12:42

"{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}" = ASUS LifeFrame3


Odinstaluj.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKU\S-1-5-21-2804274094-4177296207-711863711-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKU\S-1-5-21-2804274094-4177296207-711863711-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = :0
FF - prefs.js..browser.search.defaultenginename: "WebSearch"
FF - prefs.js..browser.search.defaultenginename,S: S", "WebSearch"
FF - prefs.js..browser.search.defaulturl: "http://websearch.searchrocket.info/?pid=658&r=2013/05/28&hid=2497737865&lg=EN&cc=PL&unqvl=16&l=1&q="
FF - prefs.js..browser.search.order.1: "WebSearch"
FF - prefs.js..browser.search.order.1,S: S", "WebSearch"
FF - prefs.js..browser.search.selectedEngine,S: S", "WebSearch"
FF - prefs.js..keyword.URL: "http://websearch.searchrocket.info/?pid=658&r=2013/05/28&hid=2497737865&lg=EN&cc=PL&unqvl=16&l=1&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_224.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Michal\AppData\Local\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Michal\AppData\Local\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - :\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - :\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
[2013-06-11 22:16:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013-05-28 10:37:36 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp
[2013-05-28 10:36:15 | 000,020,488 | ---- | C] (Systweak Inc., ()) -- C:\Windows\SysNative\roboot64.exe
[2013-05-28 10:36:15 | 000,000,000 | ---D | C] -- C:\Users\Michal\AppData\Roaming\Systweak
[2013-05-28 10:36:10 | 000,000,000 | ---D | C] -- C:\ProgramData\ccontinnuetosavoe
[2013-05-28 10:35:49 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
[2013-06-16 17:44:38 | 000,000,600 | ---- | M] () -- C:\Users\Michal\AppData\Roaming\winscp.rnd
[2013-06-13 19:03:32 | 000,082,072 | ---- | M] () -- C:\Windows\cadkasdeinst01e.exe
[2013-06-09 19:02:31 | 000,002,251 | ---- | M] () -- C:\my_cnf.bak
[2013-06-09 19:02:31 | 000,000,455 | ---- | M] () -- C:\Windows\my.ini
[2013-06-09 19:02:27 | 000,024,633 | ---- | M] () -- C:\Windows\php.ini
[2013-05-28 10:36:57 | 000,000,000 | ---D | M] -- C:\Users\Michal\AppData\Roaming\Systweak
[2013-02-25 19:43:25 | 000,002,268 | ---- | M] () -- C:\RHDSetup.log
[2013-02-25 19:52:47 | 000,000,184 | ---- | M] () -- C:\setup.log
[2013-06-15 18:47:27 | 002,046,362 | ---- | M] () -- E:\VirtualDJ Local Database v6.xml
[2011-04-12 15:32:33 | 000,000,000 | ---D | M] -- C:\Users\Michal\AppData\Roaming\Media Center Programs

:Services
gupdate
gupdatem

:Files
C:\Users\Michal\AppData\Local\Google\Update
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z (z opcji Delete) + log z TDSSKiller + nowe logi z OTL, wykonane dokładnie tak.

PS: Przepraszam za tak długi okres oczekiwania na odpowiedź. Urlop ;) .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Avatar użytkownika
kominekl

Ekspert
 
Posty: 5855
Dołączył(a): 27 lis 2011, 15:25
Kasa: 6,271.50
Lokalizacja: Pasztowa Wola Kolonia.
Blog: Zobacz Blog (10)
    Windows XPFirefox
 

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez nevmano » 23 cze 2013, 12:10

Log z usuwania:

Log z ADWCleaner:

Log z TDSSKiller:

Logi z OTL:

nevmano

Użytkownik
 
Posty: 8
Dołączył(a): 16 cze 2013, 17:39
Kasa: 30.00

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez kominekl » 23 cze 2013, 17:25

ADWCleaner.


Naciśnij w nim przycisk Odinstaluj.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - HKU\S-1-5-21-2804274094-4177296207-711863711-1000..\Run: [Google Update] "C:\Users\Michal\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
[2013-06-23 11:54:14 | 000,116,016 | ---- | C] (Kaspersky Lab, GERT) -- C:\Windows\SysNative\drivers\01747945.sys
[2013-06-23 11:54:13 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2013-06-23 11:51:44 | 000,000,000 | ---D | C] -- C:\Users\Michal\Desktop\tdsskiller

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Avatar użytkownika
kominekl

Ekspert
 
Posty: 5855
Dołączył(a): 27 lis 2011, 15:25
Kasa: 6,271.50
Lokalizacja: Pasztowa Wola Kolonia.
Blog: Zobacz Blog (10)
    Windows XPFirefox
 

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez nevmano » 23 cze 2013, 19:02

Log z usuwania:

Log z Autoruns:
nevmano

Użytkownik
 
Posty: 8
Dołączył(a): 16 cze 2013, 17:39
Kasa: 30.00

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez kominekl » 23 cze 2013, 22:54

Autoruns.


W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

AmIcoSinglun64
AthBtTray
AtherosBtStack
IgfxTray
Persistence
RtHDVBg
RtHDVCpl
XboxStat


HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

ATKMEDIA
ATKOSD2
BCSSync
HControlUser
SunJavaUpdateSched


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Wszystko.


HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.


HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.


HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers

Wszystko.


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


Task Scheduler

Wszystko.


HKLM\System\CurrentControlSet\Services

ATKGFNEXSrv
LMS
MySql
NVSvc
nvUpdatusService
ose
osppsvc
SkypeUpdate
UNS
WinDefend
WMPNetworkSvc


HKLM\System\CurrentControlSet\Services

13260039


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.


Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Avatar użytkownika
kominekl

Ekspert
 
Posty: 5855
Dołączył(a): 27 lis 2011, 15:25
Kasa: 6,271.50
Lokalizacja: Pasztowa Wola Kolonia.
Blog: Zobacz Blog (10)
    Windows XPFirefox
 

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez nevmano » 24 cze 2013, 13:16

nevmano

Użytkownik
 
Posty: 8
Dołączył(a): 16 cze 2013, 17:39
Kasa: 30.00

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez kominekl » 24 cze 2013, 21:48

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
O20:64bit: - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013-06-23 18:59:31 | 000,000,000 | ---D | C] -- C:\Users\Michal\Desktop\Autoruns
[2013-06-23 19:02:32 | 000,063,954 | ---- | M] () -- C:\Users\Michal\Desktop\AutoRuns.rar
[2013-06-23 19:02:00 | 002,404,302 | ---- | M] () -- C:\Users\Michal\Desktop\AutoRuns.arn

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie naciśnij w nim przycisk Odinstaluj.

Internet Explorer (Version = 8.0.7601.17514)


Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz).

"Mozilla Firefox 19.0.2 (x86 pl)" = Mozilla Firefox 19.0.2 (x86 pl)


Odinstaluj, bo masz wersję Mozilla Firefox 21.0 (x86 pl).

Kroki Finalizujące.


Wykonaj pełne skanowanie (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Avatar użytkownika
kominekl

Ekspert
 
Posty: 5855
Dołączył(a): 27 lis 2011, 15:25
Kasa: 6,271.50
Lokalizacja: Pasztowa Wola Kolonia.
Blog: Zobacz Blog (10)
    Windows XPFirefox
 

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez nevmano » 25 cze 2013, 13:06

Log z usuwania OTL niestety przypadkiem usunąłem.

Malwarebytes Anti-Malware znalazł jeden obiekt:
nevmano

Użytkownik
 
Posty: 8
Dołączył(a): 16 cze 2013, 17:39
Kasa: 30.00

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez kominekl » 25 cze 2013, 13:18

nevmano napisał(a):Log z usuwania OTL niestety przypadkiem usunąłem.

Malwarebytes Anti-Malware znalazł jeden obiekt:


Opróżnij kwarantannę Malwarebytes`a (przyciskiem Usuń Wszystko).
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Avatar użytkownika
kominekl

Ekspert
 
Posty: 5855
Dołączył(a): 27 lis 2011, 15:25
Kasa: 6,271.50
Lokalizacja: Pasztowa Wola Kolonia.
Blog: Zobacz Blog (10)
    Windows XPFirefox
 

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez nevmano » 25 cze 2013, 13:38

kominekl napisał(a):Opróżnij kwarantannę Malwarebytes`a (przyciskiem Usuń Wszystko).

Done.
nevmano

Użytkownik
 
Posty: 8
Dołączył(a): 16 cze 2013, 17:39
Kasa: 30.00

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez kominekl » 25 cze 2013, 14:19

nevmano napisał(a):
kominekl napisał(a):Opróżnij kwarantannę Malwarebytes`a (przyciskiem Usuń Wszystko).

Done.


Czy problem nadal występuję? ;)
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Avatar użytkownika
kominekl

Ekspert
 
Posty: 5855
Dołączył(a): 27 lis 2011, 15:25
Kasa: 6,271.50
Lokalizacja: Pasztowa Wola Kolonia.
Blog: Zobacz Blog (10)
    Windows XPFirefox
 

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez nevmano » 25 cze 2013, 15:40

wygląda na to, że wszystko w porządku :) dziękuję, w razie czego wiem, gdzie szukać pomocy :)
nevmano

Użytkownik
 
Posty: 8
Dołączył(a): 16 cze 2013, 17:39
Kasa: 30.00

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez kominekl » 25 cze 2013, 15:42

nevmano napisał(a):wygląda na to, że wszystko w porządku :) dziękuję, w razie czego wiem, gdzie szukać pomocy :)


Nie ma za co ;) . Czy można zamknąć temat? :)
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Avatar użytkownika
kominekl

Ekspert
 
Posty: 5855
Dołączył(a): 27 lis 2011, 15:25
Kasa: 6,271.50
Lokalizacja: Pasztowa Wola Kolonia.
Blog: Zobacz Blog (10)
    Windows XPFirefox
 

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Postprzez nevmano » 25 cze 2013, 15:55

kominekl napisał(a):Nie ma za co ;) . Czy można zamknąć temat? :)

Tak :)
nevmano

Użytkownik
 
Posty: 8
Dołączył(a): 16 cze 2013, 17:39
Kasa: 30.00

Następna strona


  • Reklama

Powrót do Bezpieczeństwo



 


  • Related topics
    Odpowiedzi
    Wyświetlone
    Ostatni post

Kto przegląda forum

Użytkownicy przeglądający ten dział: Bing [Bot], Google [Bot] i 5 gości