SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Prośba o sprawdzenie logów
Pełna wersja: Prośba o sprawdzenie logów
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

adrealinka77

17.04.2014, 19:14
Objawy zainfekowania:
Po wejściu na jakąkolwiek stronę wyświetla się komunikat od ESETa: Znaleziono zagrożenie. JS. KryptikI koń trojański

Wykonywane działania:
Komputer skanowany był za pomocą ESETa, który niczego nie znajduje

Logi:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

17.04.2014, 20:57
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT13/1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT13/1
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKLM-x32 - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=HPNTDFJS
SearchScopes: HKCU - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = http://rover.ebay.com/rover/1/711-154371-11896-2/4 ?mpre=http%3A%2F%2Fwww.ebay.com%2Fsch%2F%3F_nkw%3D{searchTerms}&keyword={searchTerms}
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -No File
HKLM-x32\...\Run: [mnchkgfbrSrv] => C:\Windows\system32\mnchkgfbr.vbe
U4 BthAvrcpTg;
U4 BthHFEnum;
U4 bthhfhid;
C:\Users\Żustina\AppData\Local\Temp\EAD4450.exe
C:\Users\Żustina\AppData\Local\Temp\EAD6D73.exe
C:\Users\Żustina\AppData\Local\Temp\EAD7DE2.exe
C:\Users\Żustina\AppData\Local\Temp\EADA339.exe
C:\Users\Żustina\AppData\Local\Temp\EADBB3D.exe
C:\Users\Żustina\AppData\Local\Temp\EADBCC1.exe
C:\Users\Żustina\AppData\Local\Temp\EADCB73.exe
C:\Users\Żustina\AppData\Local\Temp\EADF4C0.exe
C:\Users\Żustina\AppData\Local\Temp\fp_pl_pfs_installer-1.exe
C:\Users\Żustina\AppData\Local\Temp\fp_pl_pfs_installer.exe
C:\Users\Żustina\AppData\Local\Temp\HPConnectedMusicInstaller_100100106.exe
C:\Users\Żustina\AppData\Local\Temp\InstHelper.exe
C:\Users\Żustina\AppData\Local\Temp\ose00000.exe
C:\Users\Żustina\AppData\Local\Temp\ose00001.exe
C:\Users\Żustina\AppData\Local\Temp\SimilarBundleGenericDl.exe
C:\Users\Żustina\AppData\Local\Temp\UninstallEADM.dll


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.

adrealinka77

17.04.2014, 22:13
Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

TDSSKiller:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

21.04.2014, 09:58
TDSS wykrył tylko prawidłowe ale nie podpisane pliki.

Zrób scan FRST i OTL jeszcze raz i podaj log.

adrealinka77

23.04.2014, 10:24
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

23.04.2014, 20:02
Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

adrealinka77

24.04.2014, 18:34
SecurityCheck:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

24.04.2014, 20:11
Results of screen317''s Security Check version 0.99.82
x64 (UAC is enabled)
Internet Explorer 10 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Windows Firewall Enabled!
ESET Smart Security 7.0
Windows Defender
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Adobe Flash Player 12.0.0.77 Flash Player out of Date!
Adobe Reader XI
Mozilla Firefox (28.0)
````````Process Check: objlist.exe by Laurent````````
ESET NOD32 Antivirus egui.exe
ESET NOD32 Antivirus ekrn.exe
GfK e-trendy GfK-Reporting.exe
GfK e-trendy GfK-Updater.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:%
````````````````````End of Log``````````````````````

Do aktualizacji pozycje oznaczone na czerwono.

adrealinka77

30.04.2014, 18:23
Wszystko zrobione wg instrukcji, ale problem nadal pozostał.

Wklejam jeszcze raz raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

30.04.2014, 21:16
Co do raportu to napisałem przecież wyżej.
Z czym dokładnie masz problem jeszcze ?

adrealinka77

01.05.2014, 10:16
Nadal pojawia się ten komunikat o koniu trojańskim.

tachion

01.05.2014, 12:21
Z czego ogólnie to wynika,przy odpaleniu jakiej przeglądarki ?

adrealinka77

02.05.2014, 10:29
Przy Mozilli. Komunikat pojawia się przy wchodzeniu na większość stron, np. Allegro, albo stronę Ministerstwa Finansów oraz strony zagraniczne. Z tego co udało mi się zaobserwować, nie pojawia się, np. przy wejściu na stronę Google. Przy wchodzeniu na te same strony przez Internet Explorer, nie pojawia się żaden komunikat.

tachion

02.05.2014, 11:03
Już wiem czemu przez Site Finderktóry jeszcze widnieje w rozszerzeniach.

tak więc przechodzimy do czyszczenia

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

adrealinka77

03.05.2014, 09:04
Pomogło! Dziękuję bardzo.
Przy okazji, zauważyłam ostatnio, że raz na jakiś czas z mojej skrzynki mailowej na outlook.com wysyłają się same maile z podejrzanym linkiem do osób, które mam zapisane w kontaktach lub z którymi kiedykolwiek wymieniłam jakąś wiadomość. Ostatni taki mail wysłał się wczoraj. Trochę to kłopotliwe, bo używam tej skrzynki do celów zawodowych. Jakieś rozwiązanie?

tachion

04.05.2014, 11:00
Nie wiem,zmień hasło i login do skrzynki pocztowej.
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Prośba o sprawdzenie logów