Wirus na skype

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Cynik

Użytkownik
Posty: 2
Rejestracja: 01 lut 2013, 18:27

Wirus na skype

Post01 lut 2013, 18:51

Wszedłem w link który wysłał mi znajomy i teraz co kilka minut wysyła mi wiadomość "hej to jest twoja zdjęcie profilowe" do wszystkich kontaktów. Mógłby mi ktoś z tym pomóc ?
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Wirus na skype

Post01 lut 2013, 21:17

Cynik pisze:Wszedłem w link który wysłał mi znajomy i teraz co kilka minut wysyła mi wiadomość "hej to jest twoja zdjęcie profilowe" do wszystkich kontaktów. Mógłby mi ktoś z tym pomóc ?


Podaj logi zawarte w regulaminie działu -> bezpieczenstwo/regulamin-bezpiecze-stwa-t19001.html.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę
Cynik

Użytkownik
Posty: 2
Rejestracja: 01 lut 2013, 18:27

Wirus na skype

Post01 lut 2013, 21:57

OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Wirus na skype

Post02 lut 2013, 14:08

DRV - [2005-11-03 15:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02)


To pozostałości prastarych zapór StarForce, które należy usunąć. W tym celu pobierz to -> Dostępne tylko dla zarejestrowanych użytkowników -> wypakuj -> i uruchom plik sfdrvrem.exe.

"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{889DF117-14D1-44EE-9F31-C5FB5D47F68B}" = Yontoo 1.10.02
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"1ClickDownloader" = 1ClickDownloader
"Akamai" = Akamai NetSession Interface Service
"AVG Secure Search" = AVG Security Toolbar
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BabylonToolbar" = Babylon toolbar on IE
"NSS" = Norton Security Scan
"RadioBar" = RadioBar Toolbar
"Shop for HP Supplies" = Shop for HP Supplies
"SoftwareUpdUtility" = Download Updater (AOL LLC)
"UpdateMyDrivers" = UpdateMyDrivers
"UnityWebPlayer" = Unity Web Player


Odinstaluj to oprogramowanie + nieużywane już.

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\alg.exe -- (ALG)


Sprawdź czy plik ten znajduje się we wskazanej ścieżce, jeśli nie to wstaw ten plik tam -> Dostępne tylko dla zarejestrowanych użytkowników.

O33 - MountPoints2\{e0021ea0-e8ee-11df-b42c-00241d83f271}\Shell\AutoRun\command - "" = mk28sp.exe


Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Deletion i zaprezentuj utworzony log -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\Program Files\RealVNC\VNC4\WinVNC4.exe -- (WinVNC4)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva399.sys -- (XDva399)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva385.sys -- (XDva385)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\Garena Messenger\Room\safedrv.sys -- (GGSAFERDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (axd3uk4d)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdTools.sys -- (AmdTools)
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{0B4A10D1-FBD6-451d-BFDA-F03252B05984}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50-ie-aim-chromesbox-en-us
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\URLSearchHook: {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll (DeviceVM Inc.)
IE - HKCU\..\URLSearchHook: {c2db4fe6-8409-45ce-8010-189a7b5cce86} - C:\Program Files\NCH\prxtbNC2.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
IE - HKCU\..\SearchScopes\{0B4A10D1-FBD6-451d-BFDA-F03252B05984}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50-ie-aim-chromesbox-en-us
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&AF=109217&babsrc=SP_ss&mntrId=d484d25b00000000000000241d83f271
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=en_US&apn_ptnrs=5N&apn_dtid=YYYYYYYYPL&apn_uid=394578a1-3528-4afc-9c57-4ec820181c15&apn_sauid=7E586804-7A09-4A47-BA63-0A88D39BBC89
IE - HKCU\..\SearchScopes\{5B291E6C-9A74-4034-971B-A4B007A0B315}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&srch=dsp
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{D4F9B261-16D9-468B-95A9-0D14AB280303}&mid=a1680f2ec034404fb2a6541e7792eebb-78b9313007d33ef74eefbe2a56069dd6644f6f50&lang=pl&ds=ik011&pr=&d=2012-12-18 15:46:24&v=13.2.0.4&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2117678
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
FF - prefs.js..browser.search.defaultengine: "Ask.com Search"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..extensions.enabledAddons: ffxtlbr%40babylon.com:1.2.0
FF - prefs.js..extensions.enabledAddons: plugin%40yontoo.com:1.20.00
FF - prefs.js..extensions.enabledAddons: toolbar%40ask.com:3.15.4.100013
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0
FF - prefs.js..extensions.enabledItems: plugin@yontoo.com:1.20.00
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=STT&o=102866&locale=en_US&apn_uid=394578a1-3528-4afc-9c57-4ec820181c15&apn_ptnrs=5N&apn_sauid=7E586804-7A09-4A47-BA63-0A88D39BBC89&apn_dtid=YYYYYYYYPL&&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties"
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\14.0.1\\npsitesafety.dll ()
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\14.0.2.14 [2013-01-30 13:28:20 | 000,000,000 | ---D | M]
[2012-09-17 18:57:22 | 000,000,000 | ---D | M] (BitComet Video Downloader) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}
[2012-09-20 18:41:12 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\extensions\battlefieldheroespatcher@ea.com
[2012-05-17 18:46:11 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\extensions\ffxtlbr@babylon.com
[2012-05-17 18:46:26 | 000,000,000 | ---D | M] (Yontoo) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\extensions\plugin@yontoo.com
[2012-06-20 12:59:53 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\extensions\toolbar@ask.com
[2013-01-31 22:46:57 | 000,817,973 | ---- | M] () (No name found) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013-02-01 12:29:29 | 000,002,402 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\searchplugins\askcom.xml
[2012-04-11 19:21:15 | 000,002,306 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\searchplugins\askcomsearch.xml
[2011-10-16 19:21:27 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\w5zo1123.default\searchplugins\sweetim.xml
[2012-01-12 09:58:30 | 000,917,816 | ---- | M] (BitComet) -- C:\Program Files\mozilla firefox\plugins\npBitCometAgent.dll
[2013-01-30 13:28:05 | 000,003,591 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-05-17 18:46:05 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
CHR - Extension: No name found = C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jplinpmadfkdgipabgcdchbdikologlh\1.6_0\
CHR - Extension: No name found = C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\14.0.2.14_0\
O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC315NC Webcam File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKCU..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h File not found
O4 - HKCU..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKCU..\Run: [IROElauncher] C:\Program Files\IVONA\IVONA Reader\integr\OutlookExpress\IROElauncher.exe File not found
O4 - HKCU..\Run: [IVONA ControlCenter] "C:\Program Files\IVONA\IVONA ControlCenter\IVONA ControlCenter.exe" --action=run-silent File not found
O4 - HKCU..\Run: [IVONA Reader] "C:\Program Files\IVONA\IVONA Reader\IVONA Reader.exe.exe" -t -nosplash File not found
O4 - HKCU..\Run: [MSIDLL] rundll32.exe File not found
O4 - HKCU..\Run: [Tececx] C:\Documents and Settings\User\Dane aplikacji\Tececx.exe File not found
O4 - HKCU..\Run: [windows_update.exe] E:\Program Files\Electronic Arts\Battlefield Bad Company 2\BFBC2 Undetected Hack File not found
O4 - Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\fliptoast.lnk = File not found
O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll File not found
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll File not found
O15 - HKCU\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: sony.com ([]* in Trusted sites)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} Dostępne tylko dla zarejestrowanych użytkowników (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
[2013-02-01 21:30:01 | 000,033,280 | ---- | C] (YHwFhebFyL AxyrOJR Psy3dhW) -- C:\Documents and Settings\User\Dane aplikacji\11B.exe
[2013-02-01 21:15:02 | 000,033,280 | ---- | C] (YHwFhebFyL AxyrOJR Psy3dhW) -- C:\Documents and Settings\User\Dane aplikacji\DE.exe
[2013-02-01 21:07:09 | 000,033,280 | ---- | C] (YHwFhebFyL AxyrOJR Psy3dhW) -- C:\Documents and Settings\User\Dane aplikacji\6.exe
[2013-02-01 20:14:21 | 000,033,280 | ---- | C] (YHwFhebFyL AxyrOJR Psy3dhW) -- C:\Documents and Settings\User\Dane aplikacji\21D.exe
[2013-02-01 19:59:25 | 000,033,280 | ---- | C] (YHwFhebFyL AxyrOJR Psy3dhW) -- C:\Documents and Settings\User\Dane aplikacji\21C.exe
[2013-02-01 19:44:23 | 000,033,280 | ---- | C] (YHwFhebFyL AxyrOJR Psy3dhW) -- C:\Documents and Settings\User\Dane aplikacji\218.exe
[2013-02-01 19:29:20 | 000,033,280 | ---- | C] (YHwFhebFyL AxyrOJR Psy3dhW) -- C:\Documents and Settings\User\Dane aplikacji\1BC.exe
[2013-02-01 19:20:39 | 000,033,280 | ---- | C] (YHwFhebFyL AxyrOJR Psy3dhW) -- C:\Documents and Settings\User\Dane aplikacji\15E.exe
[2013-02-01 17:01:51 | 020,903,528 | ---- | C] (Skype Technologies S.A.) -- C:\Documents and Settings\User\Pulpit\SkypeSetupFull.exe

:Files
C:\Program Files\Google\Update
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\All Users\Dane aplikacji\Temp
C:\Documents and Settings\All Users\Dane aplikacji\{FFD71EE9-A66A-47A1-8EBA-14647AD7B219}
C:\Documents and Settings\User\Moje dokumenty\넥슨 플러그
C:\Documents and Settings\User\Moje dokumenty\넥슨 플러그

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + log z pełnego skanowania Malwarebytes`a (usuń to, co niewątpliwie znajdzie) -> http://www.hotfix.pl/obsluga-programu-m ... re-a55.htm + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości