Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
nevmano

Użytkownik
Posty: 8
Rejestracja: 16 cze 2013, 17:39

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post16 cze 2013, 17:59

Witam, od jakiegoś czasu zauważyłem infekcję na Windows7, na wszystkich przegladarkach strona startowa zmienila sie na WebSearch, w miare mozliwosci udalo mi sie usunac ale jak widac po logach jednak nie do konca. Używałem jednorazowo kilku programow do skanowania (Spybot, Malwarebytes Anti Malware), jednak to nic nie dalo. Oprocz tego prosilbym o profilaktyczne sprawdzenie logow, dodam że czasami laptop lekko zacina np podczas odtwarzania muzyki. Być może to wina powyższego ale wolałbym się upewnić. Dziękuję i pozdrawiam
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 15:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post22 cze 2013, 12:42

"{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}" = ASUS LifeFrame3


Odinstaluj.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2804274094-4177296207-711863711-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2804274094-4177296207-711863711-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = :0
FF - prefs.js..browser.search.defaultenginename: "WebSearch"
FF - prefs.js..browser.search.defaultenginename,S: S", "WebSearch"
FF - prefs.js..browser.search.defaulturl: "http://websearch.searchrocket.info/?pid=658&r=2013/05/28&hid=2497737865&lg=EN&cc=PL&unqvl=16&l=1&q="
FF - prefs.js..browser.search.order.1: "WebSearch"
FF - prefs.js..browser.search.order.1,S: S", "WebSearch"
FF - prefs.js..browser.search.selectedEngine,S: S", "WebSearch"
FF - prefs.js..keyword.URL: "http://websearch.searchrocket.info/?pid=658&r=2013/05/28&hid=2497737865&lg=EN&cc=PL&unqvl=16&l=1&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_224.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Michal\AppData\Local\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Michal\AppData\Local\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
[2013-06-11 22:16:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013-05-28 10:37:36 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp
[2013-05-28 10:36:15 | 000,020,488 | ---- | C] (Systweak Inc., (Dostępne tylko dla zarejestrowanych użytkowników)) -- C:\Windows\SysNative\roboot64.exe
[2013-05-28 10:36:15 | 000,000,000 | ---D | C] -- C:\Users\Michal\AppData\Roaming\Systweak
[2013-05-28 10:36:10 | 000,000,000 | ---D | C] -- C:\ProgramData\ccontinnuetosavoe
[2013-05-28 10:35:49 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
[2013-06-16 17:44:38 | 000,000,600 | ---- | M] () -- C:\Users\Michal\AppData\Roaming\winscp.rnd
[2013-06-13 19:03:32 | 000,082,072 | ---- | M] () -- C:\Windows\cadkasdeinst01e.exe
[2013-06-09 19:02:31 | 000,002,251 | ---- | M] () -- C:\my_cnf.bak
[2013-06-09 19:02:31 | 000,000,455 | ---- | M] () -- C:\Windows\my.ini
[2013-06-09 19:02:27 | 000,024,633 | ---- | M] () -- C:\Windows\php.ini
[2013-05-28 10:36:57 | 000,000,000 | ---D | M] -- C:\Users\Michal\AppData\Roaming\Systweak
[2013-02-25 19:43:25 | 000,002,268 | ---- | M] () -- C:\RHDSetup.log
[2013-02-25 19:52:47 | 000,000,184 | ---- | M] () -- C:\setup.log
[2013-06-15 18:47:27 | 002,046,362 | ---- | M] () -- E:\VirtualDJ Local Database v6.xml
[2011-04-12 15:32:33 | 000,000,000 | ---D | M] -- C:\Users\Michal\AppData\Roaming\Media Center Programs

:Services
gupdate
gupdatem

:Files
C:\Users\Michal\AppData\Local\Google\Update
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL, wykonane dokładnie tak.

PS: Przepraszam za tak długi okres oczekiwania na odpowiedź. Urlop ;) .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 15:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post23 cze 2013, 17:25

ADWCleaner.


Naciśnij w nim przycisk Odinstaluj.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - HKU\S-1-5-21-2804274094-4177296207-711863711-1000..\Run: [Google Update] "C:\Users\Michal\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
[2013-06-23 11:54:14 | 000,116,016 | ---- | C] (Kaspersky Lab, GERT) -- C:\Windows\SysNative\drivers\01747945.sys
[2013-06-23 11:54:13 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2013-06-23 11:51:44 | 000,000,000 | ---D | C] -- C:\Users\Michal\Desktop\tdsskiller

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 15:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post23 cze 2013, 22:54

Autoruns.


W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

AmIcoSinglun64
AthBtTray
AtherosBtStack
IgfxTray
Persistence
RtHDVBg
RtHDVCpl
XboxStat


HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

ATKMEDIA
ATKOSD2
BCSSync
HControlUser
SunJavaUpdateSched


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Wszystko.


HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.


HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.


HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers

Wszystko.


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.


Task Scheduler

Wszystko.


HKLM\System\CurrentControlSet\Services

ATKGFNEXSrv
LMS
MySql
NVSvc
nvUpdatusService
ose
osppsvc
SkypeUpdate
UNS
WinDefend
WMPNetworkSvc


HKLM\System\CurrentControlSet\Services

13260039


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.


Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.


Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 15:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post24 cze 2013, 21:48

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
O20:64bit: - Winlogon\Notify\AutorunsDisabled: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2013-06-23 18:59:31 | 000,000,000 | ---D | C] -- C:\Users\Michal\Desktop\Autoruns
[2013-06-23 19:02:32 | 000,063,954 | ---- | M] () -- C:\Users\Michal\Desktop\AutoRuns.rar
[2013-06-23 19:02:00 | 002,404,302 | ---- | M] () -- C:\Users\Michal\Desktop\AutoRuns.arn

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie naciśnij w nim przycisk Odinstaluj.

Internet Explorer (Version = 8.0.7601.17514)


Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz).

"Mozilla Firefox 19.0.2 (x86 pl)" = Mozilla Firefox 19.0.2 (x86 pl)


Odinstaluj, bo masz wersję Mozilla Firefox 21.0 (x86 pl).

Kroki Finalizujące.


Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

nevmano

Użytkownik
Posty: 8
Rejestracja: 16 cze 2013, 17:39

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post25 cze 2013, 13:06

Log z usuwania OTL niestety przypadkiem usunąłem.

Malwarebytes Anti-Malware znalazł jeden obiekt:
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 15:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post25 cze 2013, 13:18

nevmano pisze:Log z usuwania OTL niestety przypadkiem usunąłem.

Malwarebytes Anti-Malware znalazł jeden obiekt:
Dostępne tylko dla zarejestrowanych użytkowników


Opróżnij kwarantannę Malwarebytes`a (przyciskiem Usuń Wszystko).
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

nevmano

Użytkownik
Posty: 8
Rejestracja: 16 cze 2013, 17:39

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post25 cze 2013, 13:38

kominekl pisze:Opróżnij kwarantannę Malwarebytes`a (przyciskiem Usuń Wszystko).

Done.

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 15:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post25 cze 2013, 14:19

nevmano pisze:
kominekl pisze:Opróżnij kwarantannę Malwarebytes`a (przyciskiem Usuń Wszystko).

Done.


Czy problem nadal występuję? ;)
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

nevmano

Użytkownik
Posty: 8
Rejestracja: 16 cze 2013, 17:39

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post25 cze 2013, 15:40

wygląda na to, że wszystko w porządku :) dziękuję, w razie czego wiem, gdzie szukać pomocy :)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 15:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post25 cze 2013, 15:42

nevmano pisze:wygląda na to, że wszystko w porządku :) dziękuję, w razie czego wiem, gdzie szukać pomocy :)


Nie ma za co ;) . Czy można zamknąć temat? :)
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.

nevmano

Użytkownik
Posty: 8
Rejestracja: 16 cze 2013, 17:39

Win7 infekcja, WebSearch, logi do sprawdzenia OTL

Post25 cze 2013, 15:55

kominekl pisze:Nie ma za co ;) . Czy można zamknąć temat? :)

Tak :)



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości