SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Prośba o sprawdzenie logów
Pełna wersja: Prośba o sprawdzenie logów
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
Stron: 1 2

Zdziwiony

30.04.2013, 11:49
Witam. Chyba złapałem jakiegoś wiruska ;/ bo komp czasami się zawiesza ;/.
Wykonywane działania:
Komp był skanowany przez :
Emsisoft Emergency kit
Comodo Antivirus i CCE (mój rezydenty antywirus) (wykrył 3 rootkity ;/ ale usunął)
Hitman Pro
Usunęły infekcje, ale wolę się upewnić czy nic po tym nie pozostało, bo np. nie mogę włączyć GMER-a, przy włączaniu TDSKillera wywala mi jakiś błąd o driverze ;/ a to chyba normalne nie jest...

Logi:
LOGI:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]


EDIT:
dorzucam jeszcze log z RSIT:

[Aby zobaczyć linki, zarejestruj się tutaj]


Proszę o pomoc i pozdrawiam Wink

tachion

30.04.2013, 12:29
W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "express-files Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3176921&SearchSource=3&q={searchTerms}&CUI=UN22587297638348126"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3176921&SearchSource=2&CUI=UN22587297638348126&q="
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\W1G30LHZ.DEFAULT\EXTENSIONS\{A0D7CCB3-214D-498B-B4AA-0E8FDA9A7BF7}
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\W1G30LHZ.DEFAULT\EXTENSIONS\{B9DB16A4-6EDC-47EC-A1F4-B86292ED211D}
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\W1G30LHZ.DEFAULT\EXTENSIONS\{D40F5E7B-D2CF-4856-B441-CC613EEFFBE3}.XPI
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\W1G30LHZ.DEFAULT\EXTENSIONS\FASTERFOX_LITE@BIGREDBRENT
File not found (No name found) -- C:\USERS\ŁUKASZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\W1G30LHZ.DEFAULT\EXTENSIONS\[email protected]
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKU\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O15 - HKU\S-1-5-21-1839905913-4017420215-2816154557-1000\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1839905913-4017420215-2816154557-1000\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1839905913-4017420215-2816154557-1000\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-1839905913-4017420215-2816154557-1000\..Trusted Domains: sony.com ([]* in Trusted sites)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Reg Error: Key error.)

:Commands
[EMPTYTEMP]


Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.

Przedstaw raport z wykonania OTLi AdwCleaner

Zdziwiony

30.04.2013, 12:35
AdwCleaner też uruchomić w trybie awaryjnym ?

tachion

30.04.2013, 12:42
Tak

Zdziwiony

30.04.2013, 13:02
OK oto logi:
OTL:
All processes killed
========== OTL ==========
Prefs.js: "express-files Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3176921&SearchSource=3&q={searchTerms}&CUI=UN22587297638348126" removed from browser.search.defaulturl
Prefs.js: true removed from browser.search.useDBForOrder
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3176921&SearchSource=2&CUI=UN22587297638348126&q=" removed from keyword.URL
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoLowDiskSpaceChecks deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clonewarsadventures.com\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\freerealms.com\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\soe.com\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1839905913-4017420215-2816154557-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sony.com\ deleted successfully.
Starting removal of ActiveX control {644E432F-49D3-41A1-8DD5-E099162EEEC5}
C:\Windows\Downloaded Program Files\CabSA.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{644E432F-49D3-41A1-8DD5-E099162EEEC5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{644E432F-49D3-41A1-8DD5-E099162EEEC5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{644E432F-49D3-41A1-8DD5-E099162EEEC5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{644E432F-49D3-41A1-8DD5-E099162EEEC5}\ not found.
File PTYTEMP]not found.

OTL by OldTimer - Version 3.2.69.0 log created on 04302013_134159

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

AdwCleaner:
# AdwCleaner v2.300 - Log utworzony 30/04/2013 o 13:48:18
# Aktualizacja 28/04/2013 przez Xplode
# System operacyjny : Windows 7 Home Premium Service Pack 1 (64 bits)
# Użytkownik : Łukasz - ŁUKASZ-KOMPUTER
# Tryb uruchomienia : Tryb awaryjny
# Ścieżka : C:\Users\Łukasz\Downloads\AdwCleaner.exe
# Opcja [Usuń]


***** [Usługi]*****


***** [Pliki / Foldery]*****

Folder Usunięto : C:\Program Files (x86)\Conduit
Folder Usunięto : C:\Users\Łukasz\AppData\Local\Conduit
Folder Usunięto : C:\Users\Łukasz\AppData\Local\TempDir
Folder Usunięto : C:\Users\Łukasz\AppData\LocalLow\Conduit
Folder Usunięto : C:\Users\Łukasz\AppData\LocalLow\PriceGong
Plik Usunięto : C:\END

***** [Rejestr]*****

Klucz Usunięto : HKCU\Software\AppDataLow\Software\Conduit
Klucz Usunięto : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Klucz Usunięto : HKCU\Software\AppDataLow\Software\PriceGong
Klucz Usunięto : HKCU\Software\AppDataLow\Software\SmartBar
Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Klucz Usunięto : HKCU\Software\StartSearch
Klucz Usunięto : HKLM\Software\Conduit
Klucz Usunięto : HKLM\Software\ExpressFiles
Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}

***** [Przeglądarki Internetowe]*****

-\\ Internet Explorer v10.0.9200.16537

[OK]Rejestr w porządku.

-\\ Mozilla Firefox v20.0.1 (pl)

Plik : C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\w1g30lhz.default\prefs.js

C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\w1g30lhz.default\user.js ... Usunięto !

Usunięto : user_pref("CT3176921_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
Usunięto : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3176921&SearchSource=1[...]
Usunięto : user_pref("Smartbar.ConduitSearchEngineList", "express-files Customized Web Search");
Usunięto : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3176921[...]
Usunięto : user_pref("Smartbar.SearchFromAddressBarSavedUrl", "");
Usunięto : user_pref("Smartbar.keywordURLSelectedCTID", "CT3176921");
Usunięto : user_pref("ct3176921.UserID", "UN22587297638348126");
Usunięto : user_pref("extensions.browserprotect.searchProviderExceptions", "hxxp://en.wikipedia.org/wiki/Specia[...]
Usunięto : user_pref("extensions.browserprotect.urlBarEngine", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=[...]
Usunięto : user_pref("extensions.fasterfox.addit.remoteInstallItems", "{ \"software\": {\"94\": {\"id\": \"94\"[...]
Usunięto : user_pref("extentions.y2layers.defaultEnableAppsList", "DropDownDeals,buzzdock,YontooNewOffers");
Usunięto : user_pref("extentions.y2layers.installId", "0617834b-26de-4935-a25e-9a34f8fbe721");
Usunięto : user_pref("smartbar.machineId", "4RYAWOTF+52MAHUE8UVN8SOTTUWPRF0A4ZNFZ4T/97FLR0LDHYSYQ5ST0NGNXRPBBZ6[...]

*************************

AdwCleaner[R1] .txt - [3112 octets]- [30/04/2013 13:48:08]
AdwCleaner[S1] .txt - [3085 octets]- [30/04/2013 13:48:18]

########## EOF - C:\AdwCleaner[S1] .txt - [3145 octets]##########

Dodano: 30 kwie 2013, 13:52

Java też już zaktualizowana Wink

I jak zostały jakieś infekcje ?

Dodano: 30 kwie 2013, 14:02

hmm... TDSkiller już uruchamia się normalnie...
Ale GMER sypie błędami o co chodzi ;/ Pisze, że nie może uzyskać dostępu do pliu, bo ten jest używany przez inny proces...

tachion

30.04.2013, 13:03
Na drugi raz postaraj się raport dać w spoiler.
Ogólnie możesz przejść do sprzątania w OTL
Profilaktycznie ściągnij program Malwarebytes Anti-Rootkiti przeprowadź skan

[Aby zobaczyć linki, zarejestruj się tutaj]

Zdziwiony

30.04.2013, 13:08
Ok.
ale to mnie dziwi, wiesz może czemu sypie tym błędem ?

[Aby zobaczyć linki, zarejestruj się tutaj]


Dodano: 30 kwie 2013, 14:08

:O inne apki co sypały mi błędami teraz działają Wink
Ale czemu gmer sypie błędami tego nie wiem...

tachion

30.04.2013, 13:22
Czy coś wykrył mbam i co na to TDSkiller.
W systemie nie występują jakieś emulatory typu daemon tools ?
I czy uruchamiałeś w trybie awaryjnym,jak i z PPM jako administrator

tu masz co nieco o tym

[Aby zobaczyć linki, zarejestruj się tutaj]

Zdziwiony

30.04.2013, 13:29
Ok. Skan Malwarebytes Anti-Rootkit się zakończył. Twierdzi, że czysto Grin

Dodano: 30 kwie 2013, 14:25

Nie nie mam,żadnych emulatorów w systemie.
Uruchamiałem TDSKillera jako Administrator, ale nie w trybie awaryjnym (po wykonaniu tego skryptu co podałeś o dziwo, TDSKiller nie sypie błędami Wink )
TDS killer twierdzi, że coś znalazł, ale to mój sterownik od drukarki Tongue

Dodano: 30 kwie 2013, 14:27

heh... zrobiłem drugiego skana i tera TDSKiller widzi 2 zagrożenia wtf ?!

Dodano: 30 kwie 2013, 14:29

Zrzut ekranu:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

30.04.2013, 13:29
chodziło mi o gmera w trybie awaryjnym,pokaż co ci tam wyświetlił TDS

Zdziwiony

30.04.2013, 13:32
Aha o GMERA ;p Nie nie uruchamiałem go w trybie awaryjnym, ale jako admin.
Zrzut (bardziej szczegółowy z TDSKillera):

[Aby zobaczyć linki, zarejestruj się tutaj]


Dodano: 30 kwie 2013, 14:32

To jedno to sterownik od drukarki - fałszywy alarm
Ale to drugie CO TO ?!

tachion

30.04.2013, 13:34
jest ok uruchamiałeś Sophos Anti-Rootkit <!-- sSmile2-->Smile2 <!-- sSmile2-->

Zdziwiony

30.04.2013, 13:34
yyy tak ;p

Dodano: 30 kwie 2013, 14:34

to od tego ? ;p

tachion

30.04.2013, 13:35
Tak Smile

Zdziwiony

30.04.2013, 13:37
heh... To dobrze Wink Zrobięjeszcze raz skan całego systemu kilkoma programami i jak nic nie wykryje to powinno być OK ;D
O w końcu PeerBlock działa ;D bo on też nie chciał się uruchomić przed wpisaniem tego skryptu co podałeś ;p (tak mało tekstu a tyle dało ;p coś ty tam nawpisywał Grin)

tachion

30.04.2013, 13:43
He ok ogólnie numerem jeden jest teraz Malwarebytes Anti-Rootkit,bardzo dobrze radzi sobie też z zeroaccess recycle.bin jakby co.

Zdziwiony

30.04.2013, 13:55
hmm. Będę pamiętał Wink
A tak na marginesie wiesz może cóż to był za twór, którego wykrył mi Comodo Cleaning Essentials ?
Wykrył:
Rootkit.HiddenDir (x2)
i
Rootkit.HiddenFile

Usunął bez problemu... Czy to rzeczywiście były rootkity ? Były w katalogu C:\$Recycle.Bin$\(cyfry litery itd...) (czyli w koszu tak?) (a kosz miałem pusty dziwne...)

tachion

30.04.2013, 14:01
No to właśnie może nie rootkit a zeroaccess ten o którym pisałem wyżej on ma tendencje ukrywania plików swoich w koszu i nie tylko ale otl o tym nic nie mówi no i z resztą Malwarebytes Anti-Rootkit poradziłby sobie z tym bez problemu

Etap zeroaccessa z rootkitem skończył się własnie w połowie gdzieś 2012 roku

Zdziwiony

30.04.2013, 14:03
W OTL nic nie było, bo skan CCE zrobiłem przed założeniem tematu i skanem MBAR Wink
hmm... już kiedyś wykrył mi coś takiego CCE, ale w kopii zapasowej z Windowsa XP kilka lat temu Wink.
PS: Czyli już wszystko OK (wolę się upewnić Wink ) ? W OTL nie widać żadnych infekcji ?

tachion

30.04.2013, 14:06
Tak powinno być ok jak jakieś anomalie zauważysz,chociaż mogą też być z winy czynnika ludzkiego to daj znać.
Stron: 1 2
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Prośba o sprawdzenie logów