SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Profilaktyczne sprawdzenie logów.
Pełna wersja: Profilaktyczne sprawdzenie logów.
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

hivonzooo

12.05.2014, 15:49
Objawy zainfekowania:
Chciałbym profilaktycznie sprawdzić logi. Miałem niedawno nieprzyjemną sytuację z wirusami, z którymi się uporałem dzięki Malwarebytes, ale wolałbym dokładniej sprawdzić czy system jest czysty.

Wykonywane działania:
Malwarebytes, HitmanPro, Panda Cloud AV, AdwCleaner, Kaspersky TDSSKiller.

Logi:
W załączniku.

tachion

12.05.2014, 21:39
W adwcleaner klik odinstaluj.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKLM-x32\...\Run: [LManager] => [X]
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoViewOnDrive] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [DisableLocalMachineRun] 0
HKLM\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0
HKLM\...\Policies\Explorer: [DisableCurrentUserRun] 0
HKLM\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0
HKLM\...\Policies\Explorer: [NoViewContextMenu] 0
HKLM\...\Policies\Explorer: [NoShellSearchButton] 0
HKLM\...\Policies\Explorer: [NoFind] 0
HKLM\...\Policies\Explorer: [NoFile] 0
HKLM\...\Policies\Explorer: [HideClock] 0
HKLM\...\Policies\Explorer: [NoTrayContextMenu] 0
HKLM\...\Policies\Explorer: [NoTrayItemsDisplay] 0
HKLM\...\Policies\Explorer: [NoSetFolders] 0
HKLM\...\Policies\Explorer: [NoDevMgrUpdate] 0
HKLM\...\Policies\Explorer: [NoSetTaskbar] 0
HKLM\...\Policies\Explorer: [NoDeletePrinter] 0
HKLM\...\Policies\Explorer: [NoDFSTab] 0
HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0
HKLM\...\Policies\Explorer: [NoLogoff] 0
HKLM\...\Policies\Explorer: [NoWindowsUpdate] 0
HKLM\...\Policies\Explorer: [NoEncryptOnMove] 0
HKLM\...\Policies\Explorer: [NoRunasInstallPrompt] 0
HKLM\...\Policies\Explorer: [NoResolveSearch] 0
HKLM\...\Policies\Explorer: [NoSaveSettings] 0
HKLM\...\Policies\Explorer: [NoHardwareTab] 0
HKLM\...\Policies\Explorer: [NoStartMenuSubFolders] 0
HKLM\...\Policies\Explorer: [NoDesktop] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\system: [NoDispBackgroundPage] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\system: [NoDispSettingsPage] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoViewOnDrive] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [DisableLocalMachineRun] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [DisableCurrentUserRun] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoViewContextMenu] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoShellSearchButton] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoFind] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoFile] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [HideClock] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoTrayContextMenu] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoTrayItemsDisplay] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoSetFolders] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoDevMgrUpdate] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoSetTaskbar] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoDeletePrinter] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoDFSTab] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoChangeStartMenu] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoLogoff] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoWindowsUpdate] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoEncryptOnMove] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoRunasInstallPrompt] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoResolveSearch] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoHardwareTab] 0
HKU\S-1-5-21-1140037800-459611001-318304066-1002\...\Policies\Explorer: [NoStartMenuSubFolders] 0
S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X]
S3 iscFlash; \??\C:\Users\Damian\AppData\Local\Temp\7zSDB09.tmp\iscflashx64.sys [X]
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
C:\Users\Damian\AppData\Roaming\.purple
C:\Users\Damian\AppData\Local\Temp\sfamcc00001.dll
C:\Users\Damian\AppData\Local\Temp\{C25C199B-AD1B-4EFD-AD1D-11422F68BA17}.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSUAService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NanoServiceMain => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PSUAService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WRkrn => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WRSVC => ""="Service"
HKU\S-1-5-21-1140037800-459611001-318304066-1002\Software\Classes\.exe: exefile => "%1" %* <===== ATTENTION!
HKU\S-1-5-21-1140037800-459611001-318304066-1002\Software\Classes\exefile: "%1" %* <===== ATTENTION!


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Zrób nowy skan i podaj logi FRST+OTL

hivonzooo

13.05.2014, 09:02
Panda wykryła SecurityCheck jako potencjalne zagrożenie. Mam rozumieć że to FP? AdwCleaner odinstalowałem jak wspomniałeś.

fixlist.txt-

[Aby zobaczyć linki, zarejestruj się tutaj]

SecurityCheck -

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST-

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL-

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

14.05.2014, 20:06
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {78A969C3-4932-4284-9F84-58A3D458B563} URL =
C:\WINDOWS\system32\Drivers\360AvFlt.sys


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Końcowe działania

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

hivonzooo

15.05.2014, 11:21
Fixlog-

[Aby zobaczyć linki, zarejestruj się tutaj]


Całą resztę wykonałem.
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Profilaktyczne sprawdzenie logów.