Objawy zainfekowania:
Otrzymuje informacje od eseta zemojkomputer skanuje porty( innemu użytkownikowiw sieci)
Wykonywane działania:
Skanowany Antymalware, adwcleanerer, ESET ENDPoint antyvirus,
Logi:
OTL:
[Aby zobaczyć linki, zarejestruj się tutaj]
OTLExtras:
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut:
[Aby zobaczyć linki, zarejestruj się tutaj]
addition:
[Aby zobaczyć linki, zarejestruj się tutaj]
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-343818398-1035525444-725345543-1008\...\Policies\Explorer: [NoWindowsUpdate] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} -No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -No File
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
R3 esihdrv; \??\C:\DOCUME~1\Hakon\USTAWI~1\Temp\esihdrv.sys [X]
C:\Documents and Settings\Hakon\Ustawienia lokalne\Temp\Quarantine.exe
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
Odinstaluj może No-IP.com i zobaczysz czy dalej będziesz miał takie komunikaty.
Dziękuje bardzo
log z fix''a
[Aby zobaczyć linki, zarejestruj się tutaj]
Póki co nic nie wystąpiło. Już kilka fixów robiłęm, z FRST i usuwałem syf OTL''em. No ale to przeoczyłem. I się poddałem. Wykonam restart sprzętu.Może po restarcie jeszcze log jakis?
Nie
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools ,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
i kliknij Start.
Security Check:
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 08 maja 2014, 22:18
Delfix
[Aby zobaczyć linki, zarejestruj się tutaj]
Results of screen317''s Security Check version 0.99.82
Windows XP Service Pack 3 x86
Internet Explorer 7 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Please wait while WMIC compiles updated MOF files.
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
CCleaner
Adobe Reader 9 Adobe Reader out of Date!
````````Process Check: objlist.exe by Laurent````````
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````
Do aktualizacji to co podane na czerwono.
Kominukat ponownie się pojawił. WYkonałem czyszczenie TFC. Sprzet się restartuje. Jeżeli nic już tam nie ma, żadnych innych wirusków, mogę odinstalwoać No - ip.
Dodano: 08 maja 2014, 22:24
Chciałbym mięc jednak pewność(większą) , że to to.
Ja tu nic nie widzę więcej,może eset coś fixuje.
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.
do TDS killer ściągać ten update ?
Dodano: 08 maja 2014, 22:28
czy nie zaznaczać opcji Loaded modules?
Tak ściągnij i zaznacz Loaded modules
Wykonano, nic nie znaleziono.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jeżeli nic już tam nie ma odinstaluje program No-ip. Co sądzisz?
Można
Zauważyłem że jest jeszcze Wireshark,może to przez niego.
Wiresahrk nie, instalowany dwa dni temu.
Dodano: 08 maja 2014, 22:56
Ciekawe nie mogę usunąc NO ip, za akżdym razem gdy klikam usuń, pojawia się komunikat że wystapil błąd i trzeba zakmąc okno (windowsowe, wysłąć lub nie raport o błedach)
Hmm no to nie wiem,może odinstaluj Eseta i zainstaluj jeszcze raz.
Dodano: 08 maja 2014, 23:57
W trybie awaryjnym spróbuj.
Wyłaczony jak usługa systemowa. To powinno wystarczyć ny stwierdzić czy to jest to czy nie.
Dodano: 09 maja 2014, 8:00
Komunikaty nadal występuja.
Dzięki wielkie tachion. Za pomoc. Znalazlem winowajce. to oprogramowanie labtecha, skanowało porty. W razie potrzeby sluze pomoca rowniez.