SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Proszę o sprawdzenie logow.
Pełna wersja: Proszę o sprawdzenie logow.
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

Rob

30.05.2013, 16:09
Objawy zainfekowania:
Spowolniona praca komputera. Stal się strasznie mułowaty. Dziwne zachowanie systemu i jego praca.

Wykonywane działania:
Komputer przeskanowałem następującymi programami: MBAM, HITMAN PRO, Dr.Web,
Obecnie zainstalowany jest pakiet bezpieczeństwa UPC który jest oparty chyba na F-Secure prawdę mówiąc nie wiem co wczesniej było na nim zainstalowane ponieważ nie jest to mój komputer lecz znajomego Sad Znajomy doprowadził komputer do stanu katastrofy i tylko wasza pomoc uchroni go przed przeinstalowaniem systemu.

Jeśli chodzi o samo skanowanie to MBAM wykrył 130 obiektów oczywiście wszystkie usunąłem. Następnie wykonałem skan Hitmanem wykryto 5 zagrożeń Sad jednak wersja darmowa nie pozwala mi usunąć tych zagrożeń. Potem wykonałem skan Dr.Web i usunąłem 4 zagrożenia. Dopiero na samym końcu po tych wszystkich operacjach wyciągnąłem logi programem OTL.

chomikos

30.05.2013, 18:56
W oknie "Własne opcje skanowania/skrypt" wklej i wykonaj:
Kod:
:processes
killallprocesses
datamngrUI.exe
FacebookUpdate.exe
YontooDesktop.exe
killallprocesses
:OTL
[2012/07/25 16:29:02 | 001,890,744 | ---- | M] (Bandoo Media, inc) -- C:\Program Files (x86)\Searchqu Toolbar
[2012/02/12 00:44:58 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Babylon
[2013/03/23 03:56:36 | 000,042,784 | ---- | M] (Yontoo LLC) -- C:\Users\Anna\AppData\Roaming\Yontoo
:Files
C:\program files (x86)\bearshare applications\bearshare\bearshare.exe
c:\program files (x86)\relevantknowledge\rlvknlg.exe
:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[REBOOT]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom z opcji Delete. Podaj nowe logi OTL i log z AdwCleaner.
Potem czekaj na tachiona Wink

Rob

30.05.2013, 19:43
Dziękuje że tak szybko odpisałeś. Wykonałem skanowanie z skryptem który podałeś o to wyniki.

tachion

30.05.2013, 22:26
Odinstaluj:

Yontoo 2.051
Skype Toolbars
Adobe Reader 9.1 zastąp programem Foxit Reader
Searchqu Toolbar

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL
PRC - [2012/07/25 16:29:02 | 001,890,744 | ---- | M] (Bandoo Media, inc) -- C:\Program Files (x86)\Searchqu Toolbar\Datamngr\datamngrUI.exe
PRC - [2013/03/23 03:56:36 | 000,042,784 | ---- | M] (Yontoo LLC) -- C:\Users\Anna\AppData\Roaming\Yontoo\YontooDesktop.exe
MOD - [2013/05/30 20:09:02 | 000,013,600 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Yontoo\dat\Desktop.OS.Plugin.dll
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://samsung.msn.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119370&tt=190313_wo2&babsrc=HP_ss&mntrId=B8BD001BB14DBAC9
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119370&tt=190313_wo2&babsrc=SP_ss&mntrId=B8BD001BB14DBAC9
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}: C:\Program Files (x86)\RelevantKnowledge\firefox
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files (x86)\Searchqu Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
O4 - HKCU..\Run: [Facebook Update] C:\Users\Anna\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKCU..\Run: [Yontoo Desktop] C:\Users\Anna\AppData\Roaming\Yontoo\YontooDesktop.exe (Yontoo LLC)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
O8:[b]64bit:[/b] - Extra context menu item: Wyślij obraz do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8:[b]64bit:[/b] - Extra context menu item: Wyślij stronę do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O8 - Extra context menu item: Wyślij obraz do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Wyślij stronę do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: Wyślij do interfejsu Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra ''Tools'' menuitem : Wyślij do urządzenia &Bluetooth... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O20:[b]64bit:[/b] - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\datamngr.dll (Bandoo Media, inc)
[2013/05/30 16:36:07 | 000,001,074 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3953819830-622224066-1830746929-1000UA.job
[2013/05/27 15:13:37 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3953819830-622224066-1830746929-1000Core.job
[2012/02/12 00:44:58 | 000,000,000 | ---D | M] -- C:\Users\Anna\AppData\Roaming\Babylon

:Commands
[EMPTYTEMP]


Zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL

Rob

31.05.2013, 09:29
tachion tyle się opisałeś Sad Jeszcze raz dziękuje za pomoc. Temat można zamknąć.

tachion

31.05.2013, 10:09
Hmm cóż takie życie Smile
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Proszę o sprawdzenie logow.