Wirus - pomocy :)

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Awatar użytkownika
mint1991

Globalny Moderator
Posty: 758
Rejestracja: 26 lis 2008, 22:37
Kontaktowanie:
Skontaktuj się z mint1991

Wirus - pomocy :)

Post06 kwie 2013, 22:49

Witam :)

Mam zwierzaka w komputerze avast pokazał mi taki oto komunikat:
Dostępne tylko dla zarejestrowanych użytkowników

logi dla specjalistów do sprawdzenia:

OTL -> Dostępne tylko dla zarejestrowanych użytkowników
Extras -> Dostępne tylko dla zarejestrowanych użytkowników

Logi z GMER dam dopiero jutro.
Nigdy Nie Patrz Wstecz I Tak Nie Będzie Tak Jak Było Kiedyś...
Obrazek
Otrzymałeś od nas pomoc? Podoba Ci się to forum? - Poleć nas znajomym.

Teoria - wszystko wiemy, ale nic nie działa.
Praktyka - wszystko działa, ale nie wiemy dlaczego.
My łączymy teorię z praktyką - nic nie działa i nikt nie wie dlaczego. :D
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Wirus - pomocy :)

Post06 kwie 2013, 23:04

Mam zwierzaka w komputerze avast pokazał mi taki oto komunikat:


Fałszywy alarm ;) .

Logi z GMER dam dopiero jutro.


Dorzuć log z TDSSKiller zamiast Niego ;) .

"Shop for HP Supplies" = Shop for HP Supplies
"SP_c22b9000" = Search Assistant JustBrowse 1.66
"K_Series_ScreenSaver_EN" = K_Series_ScreenSaver_EN
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar


Odinstaluj.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV:64bit: - [2013-01-14 21:40:17 | 000,477,352 | ---- | M] (Protection Technology) [Auto | Stopped] -- C:\Windows\SysNative\appdrvrem01.exe -- (appdrvrem01)
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{88BFF42C-5082-48AB-8F63-D165AFFD13FC}: "URL" = ${SEARCH_URL}{searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\7.0\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\..\SearchScopes,DefaultScope = {88BFF42C-5082-48AB-8F63-D165AFFD13FC}
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\..\SearchScopes\{4B43F41D-2A7C-46EA-8799-C89DF37F6068}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\..\SearchScopes\{6494AB97-A156-4A52-AF8D-027BF43BC64D}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\..\SearchScopes\{88BFF42C-5082-48AB-8F63-D165AFFD13FC}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4271031257-1593563096-1180742006-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "WebSearch"
FF - prefs.js..browser.search.defaultenginename,S: S", "WebSearch"
FF - prefs.js..browser.search.defaulturl: "http://websearch.just-browse.info/?l=1&q="
FF - prefs.js..browser.search.order.1: "WebSearch"
FF - prefs.js..browser.search.order.1,S: S", "WebSearch"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316&ilc=12"
FF - prefs.js..browser.search.selectedEngine,S: S", "WebSearch"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0033-ABCDEFFEDCBA%7D:6.0.33
FF - prefs.js..keyword.URL: "http://websearch.just-browse.info/?l=1&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
[2013-02-23 19:24:07 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\ADMIN\AppData\Roaming\mozilla\Firefox\Profiles\c3jpyx51.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012-11-11 15:31:12 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Users\ADMIN\AppData\Roaming\mozilla\Firefox\Profiles\c3jpyx51.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab}
[2013-01-14 18:55:37 | 000,000,000 | ---D | M] (SaveAs) -- C:\Users\ADMIN\AppData\Roaming\mozilla\Firefox\Profiles\c3jpyx51.default\extensions\50f43d9ba478f@50f43d9ba47c8.com
[2013-04-06 19:17:16 | 000,000,000 | ---D | M] (No name found) -- C:\Users\ADMIN\AppData\Roaming\mozilla\Firefox\Profiles\c3jpyx51.default\extensions\staged
[2013-02-23 19:24:06 | 000,000,000 | ---D | M] (No name found) -- C:\Users\ADMIN\AppData\Roaming\mozilla\Firefox\Profiles\c3jpyx51.default\extensions\trash
[2012-12-09 14:27:42 | 000,002,117 | ---- | M] () -- C:\Users\ADMIN\AppData\Roaming\mozilla\firefox\profiles\c3jpyx51.default\searchplugins\Startsear.xml
[2013-01-19 20:42:08 | 000,001,572 | ---- | M] () -- C:\Users\ADMIN\AppData\Roaming\mozilla\firefox\profiles\c3jpyx51.default\searchplugins\WebSearch.xml
CHR - Extension: No name found = C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\
CHR - Extension: No name found = C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000..\Run: [] File not found
O4 - HKU\S-1-5-21-4271031257-1593563096-1180742006-1000..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-4271031257-1593563096-1180742006-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.13.2)
O20 - AppInit_DLLs: (c:\progra~2\saveas\sprote~1.dll) - File not found
O20 - AppInit_DLLs: (c:\progra~2\justbr~1\sprote~1.dll) - c:\progra~2\justbr~1\sprote~1.dll ()
[2013-03-12 19:32:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Spigot
[2013-03-12 19:32:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\pdfforge Toolbar
[2013-03-12 19:32:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Application Updater
[2011-09-10 22:04:24 | 000,000,000 | ---D | M] -- C:\Users\ADMIN\AppData\Roaming\Babylon
[2013-01-18 19:01:43 | 000,000,000 | ---D | M] -- C:\Users\ADMIN\AppData\Roaming\EurekaLog

:Files
C:\Program Files (x86)\Google\Update
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 8 gości