SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Proszę o sprawdzenie logów
Pełna wersja: Proszę o sprawdzenie logów
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

figer

05.05.2014, 11:52
Objawy zainfekowania:
Komputer mojej siostry - otwierały się co chwile okna przeglądarek z reklamami, komputer działał bardzo wolno, ciężko było cokolwiek zrobić.
Stan komputera po poniższych akcjach się poprawił, ale myślę, że wciąż jest pole do poprawy, dlatego proszę o sprawdzenie logów.

Wykonywane działania:
1. Odinstalowałem Avast oraz wszystkie programy podejrzane dla mnie, paski, wyszukiwarki itd
2. Zainstalowałem Norton 360, włączyłem pełne skanowanie i wykryte problemy i zagrożenia zostały usunięte
3. Uruchomiłem CCleaner, przeczyściłem komputer
4. Uruchomiłem OTL, FRST (logi poniżej) oraz ADWCleaner

Logi:
OLT

[Aby zobaczyć linki, zarejestruj się tutaj]


Extras

[Aby zobaczyć linki, zarejestruj się tutaj]


FRST

[Aby zobaczyć linki, zarejestruj się tutaj]


Addition

[Aby zobaczyć linki, zarejestruj się tutaj]


ADWCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

06.05.2014, 17:13
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
(Threat Expert Ltd.) C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
URLSearchHook: HKCU - PC Tools Browser Guard - {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU - PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -No File
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
R2 Browser Defender Update Service; C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe [337872 2011-04-27] (Threat Expert Ltd.)
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
C:\Program Files\fst_pl_30
C:\Users\Ania\uidsave.dat
C:\Users\Ania\AppData\Local\Temp\Quarantine.exe
C:\Program Files\Google
C:\Program Files\SkanerOnline
C:\Users\Ania\AppData\Local\Google
C:\ProgramData\Google
Task: {11156319-ADFD-411E-B0F9-AE0749977CF6} - System32\Tasks\AVG-Secure-Search-Update_0214b_rel => C:\Program Files\AVG SafeGuard toolbar\AVG-Secure-Search-Update_0214b.exe
Task: {12BA10B7-5876-488C-BA64-B86030C08AF1} - System32\Tasks\{E73E1255-91A3-4F10-9CB5-035A7C83C077} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.117/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;toolbarpresent,google-chromenotoffered;alreadyoffered
Task: {236832D1-97F1-40C1-8B3F-46F69DC41306} - System32\Tasks\{FF870EEE-A0CC-4C1F-8532-89FD423F9A7F} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.117/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;toolbarpresent,google-chromenotoffered;alreadyoffered
Task: {5E627A4E-A2F1-4CC2-94DF-7F133E12EADB} - System32\Tasks\AVG-Secure-Search-Update_0214b_rmv => C:\Program Files\AVG SafeGuard toolbar\AVG-Secure-Search-Update_0214b.exe
Task: {92AA10AB-47A5-42FD-97CE-309EA0539EF0} - System32\Tasks\{A14EDF57-E787-47CF-851A-B34DA4513B90} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.117/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;toolbarpresent,google-chromenotoffered;alreadyoffered
Task: {EDD43010-4E3A-47B4-A00B-972E0208125A} - System32\Tasks\{9204FF68-E401-45E1-8CEB-41C62BB686CD} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.117/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;toolbarpresent,google-chromeoffered-installed;madedefault
Task: {F4EC363D-1184-4FF9-98A3-6315D973A98D} - System32\Tasks\{1BEFB0F8-D769-44C3-8315-47C52C990FF3} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.117/pl/abandoninstall?page=tsMain&amp;installinfo=google-toolbar:notoffered;toolbarpresent,google-chromenotoffered;alreadyoffered
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_0214b_rel.job => C:\Program Files\AVG SafeGuard toolbar\AVG-Secure-Search-Update_0214b.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_0214b_rmv.job => C:\Program Files\AVG SafeGuard toolbar\AVG-Secure-Search-Update_0214b.exe
Task: {8D57C4B7-DB0F-4894-AAA4-CD67CA88AB8F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2011-11-21] (Google Inc.)
Task: {F575FECD-6F8A-4528-BB66-49775B477F0B} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2011-11-21] (Google Inc.)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
AlternateDataStreams: C:\ProgramData\Temp:430C6D84
AlternateDataStreams: C:\ProgramData\Temp:A8ADE5D8
AlternateDataStreams: C:\ProgramData\Temp:DFC5A2B2
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

figer

07.05.2014, 18:42
Hej,

Zrobiłem wszystko zgodnie z instrukcją. Poniżej logi:

Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]


Security check:

[Aby zobaczyć linki, zarejestruj się tutaj]


Czy wszystko już wygląda ok czy zrobić coś jeszcze?

tachion

08.05.2014, 21:31
Results of screen317''s Security Check version 0.99.82
Windows Vista Service Pack 1 x86 (UAC is enabled)

[Aby zobaczyć linki, zarejestruj się tutaj]


Internet Explorer 7 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Norton 360
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
Java™ 6 Update 26
Java version out of Date!
Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 13.0.0.206
Adobe Reader 10.1.9 Adobe Reader out of Date!
Mozilla Firefox (29.0)
````````Process Check: objlist.exe by Laurent````````
SRS Labs SRS Premium Sound SRSPremiumSoundBig_Small.exe
PLAY ONLINE PLAY ONLINE.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:%
````````````````````End of Log``````````````````````

Zainstaluj Service pack 2 dla Visty

[Aby zobaczyć linki, zarejestruj się tutaj]

Odinstaluj starą jave Java™ 6 Update 26 i zainstaluj najnowszą

[Aby zobaczyć linki, zarejestruj się tutaj]

Odinstaluj Adobe Flash Player 10
Zaktualizuj Adobe Reader 10.1.9

Zrób nowy skan FRST i OTL i przedstaw logi.

figer

01.06.2014, 18:04
Witam,

Service Pack zainstalowany.
Odinstalowałem Adobe Flash Player 10, zainstalowałem 13.
Zaktualizowałem Adobe Reader.

Logi poniżej:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]


Extras:

[Aby zobaczyć linki, zarejestruj się tutaj]


FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]


Proszę o kolejne instrukcje.
Dzięki!!!

tachion

02.06.2014, 19:04
Zainstaluj IE 9.0

[Aby zobaczyć linki, zarejestruj się tutaj]


Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
URLSearchHook: HKCU - (No Name) - {472734EA-242A-422b-ADF8-83D1E48CC825} -No File
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU - No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} -No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -No File
DPF: {68282C51-9459-467B-95BF-3C0E89627E55}
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

figer

09.06.2014, 22:47
Witam,

Wykonałem, wynik tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Proszę o sprawdzenie logów