SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Problem z panda security url filtering
Pełna wersja: Problem z panda security url filtering
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
Stron: 1 2

szalona

16.09.2012, 18:06
witam . Mialam antywirusa pande i odinstalowalam, poniewaz jak wchodzilam na facebooka to blokowalo mi strone a kazda inna strona dzialala ..ale nie dalo sie usunac pandy security url filtering w panelu sterowania, wiec probowalam usunac przez cccleaner lecz to tez nie pomoglo. I wlasnie przez ta pandenie da siewejsc na facebookawyskakuje mi taki komunikat '' Ups! Przeglądarka Google Chrome nie znalazła strony

[Aby zobaczyć linki, zarejestruj się tutaj]

''Tak samo jak wchodze przez internet explorer czy przez inna przegladarke..Nie wiem co jest grane .. i ciekawee jest to ze tylko facebook mi nie dziala a kazde inne strony tak .. Prosze o pomoc , oraz o szybka odp .PozdrawiamSmile

Waves

16.09.2012, 18:35
Spróbuj może przez Revo Unistaller.
Możesz też podać log z OTL to postaram się usunąć go " ręcznie "Cool

szalona

16.09.2012, 18:45
Kod:
OTL Extras logfile created on: 2012-09-16 19:51:03 - Run 1
OTL by OldTimer - Version 3.2.61.5 Folder = C:\Documents and Settings\INTERNET\Moje dokumenty\Downloads
Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

1,75 Gb Total Physical Memory | 1,09 Gb Available Physical Memory | 62,22% Memory free
5,60 Gb Paging File | 4,88 Gb Available in Paging File | 87,14% Paging File free
Paging file location(s): D:\pagefile.sys 4092 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 250,00 Gb Total Space | 236,97 Gb Free Space | 94,79% Space Free | Partition Type: NTFS
Drive D: | 215,75 Gb Total Space | 196,59 Gb Free Space | 91,12% Space Free | Partition Type: NTFS

Computer Name: QWES-EF6A1FD9E2 | User Name: INTERNET | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- C:\Program Files\Opera\Opera.exe (Opera Software)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Program Files\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "C:\Program Files\Opera\Opera.exe" "%1" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Skype\Plugin Manager\skypePM.exe" = C:\Program Files\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Program Files\Winamp\winamp.exe" = C:\Program Files\Winamp\winamp.exe:*:Enabled:Winamp -- (Nullsoft)
"C:\Program Files\TeamViewer\Version6\TeamViewer.exe" = C:\Program Files\TeamViewer\Version6\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe" = C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
"C:\Program Files\SpacialAudio\SAMBC\SAMBC.exe" = C:\Program Files\SpacialAudio\SAMBC\SAMBC.exe:*:Enabled:SAMBC -- ()
"C:\Program Files\Opera\opera.exe" = C:\Program Files\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\totalcmd\TOTALCMD.EXE" = C:\totalcmd\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit -- (Ghisler Software GmbH)
"C:\Program Files\TeamViewer\Version7\TeamViewer.exe" = C:\Program Files\TeamViewer\Version7\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe" = C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
"C:\Program Files\Gadu-Gadu 10\gg.exe" = C:\Program Files\Gadu-Gadu 10\gg.exe:*:Enabled:Gadu-Gadu 10 -- (GG Network S.A.)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00203668-8170-44A0-BE44-B632FA4D780F}" = Adobe AIR
"{0150ECF7-60CB-43C5-AB0A-877BB76ABA55}" = Wireless PCI_CardBus utility V1.01
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 26
"{26A24AE4-039D-4CA4-87B4-2F83216023F0}" = Java(TM) 6 Update 23
"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java(TM) 7
"{350C9415-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{77DCDCE3-2DED-62F3-8154-05E745472D07}" = Acrobat.com
"{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo
"{7EF900F4-61A8-4D95-8A65-488D3BECA206}" = iSlim 300X
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A8D93648-9F7F-407D-915C-62044644C3DA}" = MSI to redistribute MS VS2005 CRT libraries
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3)
"{CCA5EAAD-92F4-4B7A-B5EE-14294C66AB61}" = PlayReady PC Runtime x86
"{D1504C77-1B19-4AF0-8DEC-946666123B55}" = CrazyTalk CamSuite PRO
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F3D9AC82-30F4-4BB9-B9AB-8697637568C1}" = Sound Blaster X-Fi MB
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"AIMP2" = AIMP2
"ASIO4ALL" = ASIO4ALL
"Audacity_is1" = Audacity 1.2.6
"CCleaner" = CCleaner
"com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Acrobat.com
"FBDBServer_2_5_is1" = Firebird 2.5.0.26074 (Win32)
"Gadu-Gadu 10" = Gadu-Gadu 10
"ipla" = ipla 2.3.3
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)
"McAfee Security Scan" = McAfee Security Scan Plus
"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl)
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NeroVision!UninstallKey" = NeroVision Express 2 SE
"NMPUninstallKey" = Nero Media Player
"NSS" = Norton Security Scan
"NVIDIA Drivers" = NVIDIA Drivers
"Opera 11.51.1087" = Opera 11.51
"PhotoScape" = PhotoScape
"Przyspiesz Komputer_is1" = Przyspiesz Komputer v2.1
"SAM3" = SAM Broadcaster (remove only)
"SHOUTcastDSP" = SHOUTcast Source DSP 1.9.0 (remove only)
"SoftwareUpdUtility" = Download Updater (AOL LLC)
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"TeamViewer 6" = TeamViewer 6
"TeamViewer 7" = TeamViewer 7
"Totalcmd" = Total Commander (Remove or Repair)
"Virtual DJ - Atomix Productions" = Virtual DJ - Atomix Productions
"Winamp" = Winamp (remove only)
"WinRAR archiver" = WinRAR 4.01 (32-bit)

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Game Organizer" = GameXN GO
"Google Chrome" = Google Chrome
"JoinMe" = join.me
"UnityWebPlayer" = Unity Web Player

[color=#E56717]========== Last 20 Event Log Errors ==========[/color]

[ Application Events ]
Error - 2012-07-27 16:09:55 | Computer Name = QWES-EF6A1FD9E2 | Source = Application Hang | ID = 1002
Description = Aplikacja zawieszająca chrome.exe, wersja 0.0.0.0, moduł zawieszenia
hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000.

Error - 2012-07-28 15:27:59 | Computer Name = QWES-EF6A1FD9E2 | Source = Application Error | ID = 1000
Description = Aplikacja powodująca błąd hdeck.exe, wersja 7.7.0.32, moduł powodujący
błąd hdeck.exe, wersja 7.7.0.32, adres błędu 0x00052f23.

Error - 2012-07-31 08:07:17 | Computer Name = QWES-EF6A1FD9E2 | Source = Application Error | ID = 1000
Description = Aplikacja powodująca błąd chrome.exe, wersja 0.0.0.0, moduł powodujący
błąd dirapix.dll, wersja 10.4.1.34, adres błędu 0x00037e20.

Error - 2012-08-01 08:09:04 | Computer Name = QWES-EF6A1FD9E2 | Source = Application Error | ID = 1000
Description = Aplikacja powodująca błąd chrome.exe, wersja 0.0.0.0, moduł powodujący
błąd dirapix.dll, wersja 10.4.1.34, adres błędu 0x00037e20.

Error - 2012-08-10 18:25:19 | Computer Name = QWES-EF6A1FD9E2 | Source = Application Error | ID = 1000
Description = Aplikacja powodująca błąd chrome.exe, wersja 0.0.0.0, moduł powodujący
błąd gcswf32.dll, wersja 10.3.183.5, adres błędu 0x0041ec6c.

[ System Events ]
Error - 2012-08-01 09:41:14 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-01 09:47:48 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-01 09:50:06 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-01 10:42:29 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-01 10:42:43 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-02 09:37:06 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-19 09:13:05 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-19 09:35:22 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-19 09:35:41 | Computer Name = QWES-EF6A1FD9E2 | Source = DCOM | ID = 10000
Description = Nie można uruchomić serwera DCOM: {1F3CB77D-D339-49E0-B8E4-FECD6D6F8CB8}.
Błąd:
„%193”
wystąpił
podczas uruchamiania tego polecenia:"C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1160626.exe"
-Embedding

Error - 2012-08-22 17:16:28 | Computer Name = QWES-EF6A1FD9E2 | Source = Dhcp | ID = 1002
Description = Adres IP połączenia 192.168.110.119 dla karty sieciowej o adresie
0025229E0B25 zostałzabroniony przez serwer DHCP 192.168.110.1 (Serwer DHCP wysłał
komunikat DHCPNACK).


< End of report >

Konto usunięte

16.09.2012, 18:51
Jeżeli interpunkcja i gramatyka w pierwszym poście nie zostanie poprawiona, to wątek poleci do kosza.

Exploits

16.09.2012, 19:03
C:\Program Files\Common Files - usuń stąd folder Pandy

i użyłbym najpierw tego

[Aby zobaczyć linki, zarejestruj się tutaj]

Waves

16.09.2012, 19:04
Szalona podaj log OTL a nie extras<!-- sSmile2-->Smile2 <!-- sSmile2-->

szalona

16.09.2012, 19:10
Folder pandy w common files juz zostal wczesniej usuniety.

Dodano: 16 wrz 2012, 20:10

Jak mam ten log uzyskac??

Waves

16.09.2012, 19:16
powinien pojawić Ci się po skanowaniu program OTL.

preter

16.09.2012, 19:18
szalona napisał(a):Jak mam ten log uzyskac??

A ten temat koleżanka czytała?

[Aby zobaczyć linki, zarejestruj się tutaj]

szalona

16.09.2012, 20:53
Dziękuje juz teraz wiem . Wink

Dodano: 16 wrz 2012, 21:00

O to chodzi ?

[Aby zobaczyć linki, zarejestruj się tutaj]


Dodano: 16 wrz 2012, 21:53

Prosiłabym o szybką odpowiedz

Waves

16.09.2012, 20:56
Do OTL w własne pole skanowania skrypt wklej:
Kod:
:OTL
[2011-09-05 00:46:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Panda Security
[2012-09-16 16:58:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Panda Security URL Filtering
[2011-09-05 00:47:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\INTERNET\Dane aplikacji\Panda Security

Wykonaj skrypt. To powinno rozwiązać problem FB. Jutro postaram się wyczyścić Twój komputer z zbędnych syfkówSmile

Eugeniusz

16.09.2012, 20:57
Ojojojojojoj.
Cytat: Data Stream - 112 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMPGrin1B5B4F1

RootkitQuestion

szalona

16.09.2012, 21:08
Dalej nie dziala fb . To jest log po zrobieniu skryptu

========== OTL ==========
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security\Panda Cloud Antivirus\Upselling folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security\Panda Cloud Antivirus\Download\0x04015000 folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security\Panda Cloud Antivirus\Download\0x04011000 folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security\Panda Cloud Antivirus\Download folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security\Panda Cloud Antivirus\CfgData folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security\Panda Cloud Antivirus folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security folder moved successfully.
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security URL Filtering folder moved successfully.
C:\Documents and Settings\INTERNET\Dane aplikacji\Panda Security\Panda Cloud Antivirus folder moved successfully.
C:\Documents and Settings\INTERNET\Dane aplikacji\Panda Security folder moved successfully.

OTL by OldTimer - Version 3.2.61.5 log created on 09162012_220140

zord

16.09.2012, 21:15
Sprzątanie przeglądarek

Cytat: IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327589495_408697
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

IE - HKLM\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}&invocationType=tb50-ie-shoutcast-chromesbox-en-us
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110815213109109&tb_oid=15-08-2011&tb_mrud=15-08-2011



IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327589495_408697
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}&ei=UTF-8&type=PCAFSI1219
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}&invocationType=tb50-ie-shoutcast-chromesbox-en-us
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{9A532D4F-1AB0-48CD-B0E8-E4EA75EC275A}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}&locale=en_US&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=ae4fd007-5bbf-4552-b6c2-ec677e134779&apn_sauid=AF829C34-B49D-464A-9D14-C416B6E0A35E
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}
IE - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110815213109109&tb_oid=15-08-2011&tb_mrud=15-08-2011


FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaulturl: "http://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=16-09-2012"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=10"
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=843&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=16-09-2012&query="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Ask.com"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110424215231062&tb_oid=24-04-2011&tb_mrud=24-04-2011&query="
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "pl.v9.com/ins/ins_1327589495_408697"

O3 - HKU\S-1-5-21-1220945662-484061587-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.


W autostarcie mnóstwo niepotrzebnych programów

KaMiL

17.09.2012, 08:53
Eugeniusz napisał(a):Ojojojojojoj.
Cytat: Data Stream - 112 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMPGrin1B5B4F1

RootkitQuestion

Nie Smile

szalona

17.09.2012, 12:13
Witam. Facebook juz dziala strona sie normalnie otwiera ale jak probowalam sie zalogowac to pisalo tak '' Twoje konto zostalo tymczasoowo zablokowane gdyz ktos probowal sie zalogowac na Twoje konto z nieznanego żrodla'' lokalizacja : Paris. Kazali mi zmienic haslo wiec zmienilam i jest ok . Powinnam cos zrobic z tym ? Prosze o odpowiedz i pozdrawiam.

Eugeniusz

17.09.2012, 12:22
KaMiL napisał(a):
Eugeniusz napisał(a):RootkitQuestion

Nie Smile

Dlaczego nie?
Przecież to strumień ADS, lokalizacja bardzo podejrzana... no nie wiem, Google mówią że to pozostałość po Ukashu...
Dla mnie to jest dość podejrzane... a jeśli to jest bezpieczne to proszę o wytłumaczenie.

szalona

17.09.2012, 12:30
Więc co nalezy zrobic? bo facebook mi juz dziala.

Eugeniusz

17.09.2012, 12:37
He nic, ja tylko domagam się wytłumaczenia - nie można zrezygnować z możliwości zdobycia dodatkowej wiedzyGrin

KaMiL

17.09.2012, 12:37
,
Tak, to chyba jakieś pozostałości po infekcji, ale nie jest to rootkit.

Szalona,
Zaraz dam skrypt.
Stron: 1 2
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Problem z panda security url filtering