SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Sprawdzenie log'ów komputera
Pełna wersja: Sprawdzenie log'ów komputera
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

Buli

12.03.2015, 12:27
Witam,
Potrzebuje pomocy grzecznościowo znajomemu , który prawdopodnie uruchomił coś z majla + ewentualny phising, bo miał telefon z banku, że chce zrobić przelew na całą kasę z konta i bank to przyblokował(!)
Objawy zainfekowania:
Komp wygląda OK.

Wykonywane działania:
Na kompie był nieaktualny Norton (sprzed pół roku) więc nic nie wykrył w momencie otwierania szkodnika. Zainstalowany po fakcie AVAST wykrył szkodniki i je usuwał. Następnie skan MBAM''em, który też znalazł syf.
Logi:
Addition -

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST -

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut -

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

12.03.2015, 14:50
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2360594932-1801077413-56231835-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Uzytkownik\AppData\Local\Akamai\netsession_win.exe"
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-2360594932-1801077413-56231835-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.pl/
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
CHR HKLM-x32\...\Chrome\Extension: [ippaojgceihkmbadggmmnohmlhahdglj] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha6346\ch\TrustMediaViewerV1alpha6346.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [limeblofhmggkccphifjomneefpiggkn] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode7380\ch\MediaBuzzV1mode7380.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [mhkijgchlaamilmpnickanjhejanejem] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home502\ch\MediaWatchV1home502.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [mmlhhlbacfbdeljfjiaafkjlgpacolcp] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha6108\ch\MediaViewV1alpha6108.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [noednjlkeipmeeadhccmnopkajeopbdd] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release652\ch\RichMediaViewV1release652.crx [Not Found]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
Reg: reg delete HKU\S-1-5-21-2360594932-1801077413-56231835-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f
Task: {116CD573-4910-44EE-AB49-778F6AD9F5E7} - System32\Tasks\HP AR Program Upload - dd08c8a3bed34e6a99fb9764e56e21c5249881d6b45a469face4e96920df5733 => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
Task: {121BB849-7153-42C9-B985-61E27678C587} - System32\Tasks\HP AR Program Upload - b3d0b593ea854f189d76d5cf653c70a857842595e990435b9f0611a22f3c1ea8 => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
Task: {2ADE24B8-834A-4486-8F8B-B58771CB26AC} - System32\Tasks\HP AR Program Upload - b26fa8ea8de94dfdb7171287367fc1452c5fb537b7214b8da432d5baccbb1444 => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
Task: {4BA1AD31-6DA6-46DB-8264-4C2CA20A1F15} - System32\Tasks\HP AR Program Upload - 7985ebb189cb4b328338727b2dcc9c403da8af30d259418a94b7760a7b4370c3 => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
Task: {65C7AF20-AFC5-4273-9BC6-A4DCAACC40FE} - System32\Tasks\HP AR Program Upload - b3e6e1acf52e4ed9b786e7b917caa8a025db3ba459074a278ce4dd5c7619e0a5 => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
Task: {7FF705F5-BA80-493D-A1EC-CA49D4D80D9D} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {828CC713-3A8D-4540-B3CE-2180FDBE232E} - System32\Tasks\HP AR Program Upload - 2cfd9d18e0dd4eae96b117695c8518953c20aa5fb2d04144bd2abbfda5f8c7c3 => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
Task: {90C82243-E02B-4A37-977A-F7F263DC74F0} - System32\Tasks\HP AR Program Upload - da533280a05c4ebaac7eeaa5d3e118821554023d532144d38a94a16ef8df4459 => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
Task: {AEABA634-B6D2-4D5F-B459-BEBBF2960871} - System32\Tasks\HP AR Program Upload - f12b82da62e245678832616cbb831b933053055f0e4e480eb1f35aad6536a59f => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
Task: {FA58B2C0-CF47-4AD2-BAE1-EF0E1798B4E0} - System32\Tasks\HP Photo Creations Communicator => C:\ProgramData\HP Photo Creations\Communicator.exe [2011-02-21] ()
Task: {FABB3C9D-FA06-4F16-94E6-8ED8F223EED9} - System32\Tasks\HP AR Program Upload - b88c1e83c54b40e0b606bc13d85e2e98a01b7acf90e84c6e9fa627c8da902068 => C:\Program Files\HP\HP Officejet 7610 series\bin\HPRewards.exe [2012-10-21] (TODO: <Company name>)
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Google Chrome
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
Pokaż raport z niego.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt

Buli

12.03.2015, 15:17
FRST Fix log ->

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner log ->

[Aby zobaczyć linki, zarejestruj się tutaj]


Nowe logi:
FRST ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition ->

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

12.03.2015, 15:28
To by było na tyle.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
RemoveDirectory: C:\AdwCleaner
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Buli

13.03.2015, 07:44
Log''ów z usunięcia już nie wklejam, bo wszystko usunęło się poprawnie. Dziękuję bardzo za pomoc.
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Sprawdzenie log'ów komputera