Kochani,
Dziś zainstalowałem Pandę IS 2013. I po pełnym skanie wykrył mi Trojana Generica w pliku winlog.exe. Ścieżka to C:\Windows\sysprep32\ten plik co wyżej pisałem. Plik został usunięty i nie mogę go przywrócić. Nie ma go w kwarantanie. Przynajmniej nie umiem. Dawno nie używałem Pandy. Z tego, co czytałem to coś powiązanego z kontrolą rodzicielską. Pomożecie? Mam się czymś martwić? System uruchamia się normalnie.
Hmm... Po wpisaniu frazy "Windows\sysprep32\winlog.exe widzę kilka tematów na temat infekcji... może to nie jest FP.
Mnie się też wydaje, że coś na rzeczy jest, bo po usunięciu system się szybciej uruchamia i jakoś jest bardziej stabilniejszy.
Tylko czemu plik do kwarantanny nie poleciał?
W necie pisze, że po usunięciu tego trojana, system będzie szybciej się uruchamiał. Dla pewności zrób logi, niech ktoś je przejrzy.
Przy którym programie AV trojan ten wgrał się w system?
McAlex napisał(a):Przy którym programie AV trojan ten wgrał się w system?
Nie mam pojęcia. Za chwilę wrzucę LOG''a.
Dodano: 27 wrz 2012, 22:01
LOG
[Aby zobaczyć linki, zarejestruj się tutaj]
Hmm... Nic nie widze. Pare tylko niepotrzebnych smieci. Niech jeszcze Waves lub tachion sprawdza.
a to chyba powinny być 2 logi
Najwazniejszy jest OTL.txt, ale tak, powinien byc jeszcze Extras.txt
Sprawdzi mi ktoś tego log''a?
Chyba jest coś więcej. Odemnie tylko to:
Do OTL w własne pole skanowania skrypt wklej:
Kod:
:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
Wykonaj skrypt .
chwila infekcja zeroaccess recycler jest najpierw wykonaj to
Kod:
:OTL
FF - user.js - File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\Win32\npPDFXCviewNPPlugin.dll File not found
O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
:Commands
[EMPTYTEMP]
Później ściągnij ten program,zaznacz wszystko skan i podaj loga
[Aby zobaczyć linki, zarejestruj się tutaj]
tachion napisał(a):chwila infekcja zeroaccess recycler jest najpierw wykonaj to
Wykonałem i po restarcie pojawił się
log .
Kod:
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Kuba
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 316263189 bytes
->Java cache emptied: 7004948 bytes
->FireFox cache emptied: 68306470 bytes
->Google Chrome cache emptied: 369390178 bytes
->Flash cache emptied: 84542 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 435337 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 392881039 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68032 bytes
RecycleBin emptied: 1913581108 bytes
Total Files Cleaned = 2 926,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 09292012_122724
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
tachion napisał(a):Później ściągnij ten program,zaznacz wszystko skan i podaj loga
[Aby zobaczyć linki, zarejestruj się tutaj]
Log
Kod:
Farbar Service Scanner Version: 06-08-2012
Ran by Kuba (administrator) on 29-09-2012 at 12:36:28
Running from "C:\Users\Kuba\Downloads"
Microsoft Windows 7 Home PremiumService Pack 1 (X64)
Boot Mode: Normal
****************************************************************
Internet Services:
============
Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.
Windows Firewall:
=============
Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
System Restore:
============
System Restore Disabled Policy:
========================
Action Center:
============
Windows Update:
============
Windows Autoupdate Disabled Policy:
============================
Windows Defender:
==============
Other Services:
==============
File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys
[2012-09-12 17:22] - [2012-08-22 20:12] - 1913200 ____A (Microsoft Corporation) F782CAD3CEDBB3F9FFE3BF2775D92DDC
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
**** End of log ****
Wyglada na to że jest ok,ściągnij jeszcze ten program i przeskanuj system dla pewności
[Aby zobaczyć linki, zarejestruj się tutaj]
wpisy infekcji tym wariantem na czystym systemie wyglądają tak
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = C:\$Recycle.Bin\S-1-5-21-11723304-4265779792-3471812735-1000\$a3f5c8b2ca2e5f8dc9ccc34f2167f833\n. -- File not found
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\$Recycle.Bin\S-1-5-18\$a3f5c8b2ca2e5f8dc9ccc34f2167f833\n. -- File not found
"ThreadingModel" = Free
tak wiec myślę że jest ok ale lepiej sprawdzić
Przeskanowałem tym programem.
Raport:
Kod:
RogueKiller V8.1.0 [09/28/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website: http://tigzy.geekstogo.com/roguekiller.php
Blog: http://tigzyrk.blogspot.com
Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User : Kuba [Admin rights]
Mode : Scan -- Date : 09/29/2012 17:14:51
¤¤¤ Bad processes : 0 ¤¤¤
¤¤¤ Registry Entries : 7 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : GG ("C:\Users\Kuba\AppData\Local\GG\Application\gghub.exe") -> FOUND
[RUN][SUSP PATH] HKUS\S-1-5-21-1596584087-480411513-844043613-1001[...]\Run : GG ("C:\Users\Kuba\AppData\Local\GG\Application\gghub.exe") -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (173.213.108.114:3128) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{3DA9D3C1-FCBF-4C31-A4F3-B90C238409B9} : NameServer (8.26.56.26,156.154.70.22) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{3DA9D3C1-FCBF-4C31-A4F3-B90C238409B9} : NameServer (8.26.56.26,156.154.70.22) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Particular Files / Folders: ¤¤¤
¤¤¤ Driver : [NOT LOADED] ¤¤¤
¤¤¤ HOSTS File: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Check: ¤¤¤
+++++ PhysicalDrive0: HITACHI HTS725050A9A364 +++++
--- User ---
[MBR] ff156429bcf62485eb50c52b0bc36d6c
[BSP] 5cafccd8003e1a1148e9878e7482b0de : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 200 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 411648 | Size: 430420 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 881911808 | Size: 31210 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 945829888 | Size: 15109 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Finished : << RKreport[1].txt >>
RKreport[1].txt
Jest wszystko ok?
tak czysto<!-- s
-->
<!-- s
-->
Dzięki tachion.
