SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Prośba o analizę logów

Tryby wyświetlania wątku
Prośba o analizę logów
limak Offline
Nowicjusz
Liczba postów: 17
Liczba wątków: 6
Dołączył: 10.11.2012
Reputacja: 0
#1
10.11.2012, 21:08
Głowna przypadłością są reklamy otwierające się samoczynnie w internet explorerze

[Aby zobaczyć linki, zarejestruj się tutaj]

- OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

- Extras

Z góry dziękuje za analizę
Szukaj
Odpowiedz
KaMiL Offline
SG PRO
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja: 109
#2
10.11.2012, 21:26
Uruchom OTL i w puste pole "Własne opcje skanowania/Skrypt" wklej to:

Kod:
:OTL
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://search.gboxapp.com/?q={searchTerms}
IE - HKU\S-1-5-21-2821133898-3618760393-673036838-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
IE - HKU\S-1-5-21-2821133898-3618760393-673036838-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=dee0795e0000000000003859f91e38e5
IE - HKU\S-1-5-21-2821133898-3618760393-673036838-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=dee0795e0000000000003859f91e38e5
IE - HKU\S-1-5-21-2821133898-3618760393-673036838-1000\..\SearchScopes\{12995981-2FD6-4BEE-9FB0-B1674E8E5E7E}: "URL" = http://websearch.4shared.com/results?q={searchTerms}
IE - HKU\S-1-5-21-2821133898-3618760393-673036838-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKU\S-1-5-21-2821133898-3618760393-673036838-1000\..\SearchScopes\{3F0AF964-0C33-448F-B57D-A1CED93D6F38}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-2821133898-3618760393-673036838-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://search.gboxapp.com/?q={searchTerms}
O2:[b]64bit:[/b] - BHO: (no name) - {95525BD9-6136-4A26-8263-9CEE295D442D} - No CLSID value found.
O3 - HKU\S-1-5-21-2821133898-3618760393-673036838-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:430C6D84
@Alternate Data Stream - 105 bytes -> C:\ProgramData\Temp:DFC5A2B2

:Commands
[emptytemp]


Kliknij "wykonaj skrypt", zatwierdź restart komputera.
Strona WWW Szukaj
Odpowiedz
Waves Offline
Specjalista
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja: 78
#3
10.11.2012, 21:29
Przeskanuj na

[Aby zobaczyć linki, zarejestruj się tutaj]

Kod:
c:\windows\90C7D912BE2316.sys


Daj link do skanu.
Szukaj
Odpowiedz
limak Offline
Nowicjusz
Liczba postów: 17
Liczba wątków: 6
Dołączył: 10.11.2012
Reputacja: 0
#4
10.11.2012, 21:48
Dziekuje za odpowiedzi wykonalem najpierw skrypt Kamila, a plik o ktorym pisze waves97 nie istnieje nie wiem czy to skrypt go usunal czy zaginal po restarcie.


[Aby zobaczyć linki, zarejestruj się tutaj]

log po wykananiu skryptu
Szukaj
Odpowiedz
KaMiL Offline
SG PRO
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja: 109
#5
10.11.2012, 22:23
Problem ustąpił?
Strona WWW Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości