TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Logi z Combofixa

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź

Re: Logi z Combofixa

Postprzez Darki333 » 25 Kwi 2013, 15:08

PostUA: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31

Kasperskym naprawiłem ok 1000 wirusów (same .htm co wskazuje chyba, że problem nie został wcale rozwiązany), ale skan trwał ok. 5 godzin przy bezczynności komputera, czyli naprawdę chciałbym uniknąć konieczności puszczenia go jeszcze raz. Zdaje się, że wyczyścił system dość skutecznie, bo przy drugim skanie teraz nie wykrył w ciągu pół godziny żadnej infekcji, a to już zawsze coś.

Póki co logi z OTL:

http://wklej.eu/index.php?id=892bb3300a
http://wklej.eu/index.php?id=ddbf3b0fab

Oraz plik, który jest źródłem infekcji (proszę, aby osoby, które nie wiedzą, jak wypakować archiwum bez zainfekowania komputera, tego nie tykały):

Kod: Zaznacz wszystko
MailShare[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];

hasło pobierania:
Kod: Zaznacz wszystko
http://www.unlimitedfile.pl


Pobrać należy program
Kod: Zaznacz wszystko
http://mailshare.pl/nowosci/strona/1


//Edit

Kasperskim jeszcze raz przeskanował i czysto. Wykrywa jedynie różne luki w plikach, ale nie wirusy. Proszę o dalsze wskazówki. Chciałbym się pozbyć też chłamu, który zmienił mi ustawienia google chrome i wszelkich innych adware rootkitów, czy co to tam w systemie mi siedzi. No i oczywiście sam najniebezpieczniejszy Radmin (czy jak go tam) wirus, jeśli jeszcze nie został usunięty, bo tego nie wiem.
Darki333
Forumowicz
Forumowicz
 
Posty: 12
Dołączenie: 24 Kwi 2013, 14:42
Góra

Re: Logi z Combofixa

Postprzez mateo8898 » 25 Kwi 2013, 21:21

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0

To lecimy po kolei:
1. Jeśli problem z Avastem nadal występuje - przeinstaluj go.
2. Odinstaluj: Yontoo 2.052, Hotspot Shield, Dropbox
3. Odinstaluj Kaspersky Virus Removal Tool
4. Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
:OTL
SRV - File not found [Auto | Running] -- C:\Program Files\Yontoo\Y2Desktop.Updater.exe C:\Users\ARO\AppData\Roaming\Yontoo\YontooDesktop.exe -- (Yontoo Desktop Updater)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys -- (WinRing0_1_2_0)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\Drivers\ute3njk5.sys -- (ute3njk5)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\FXDrv32.sys -- (FXDrv32)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\ARO\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\Drivers\AsrCDDrv.sys -- (AsrCDDrv)
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=f542ce29-1536-426e-adda-f629c8bd8f23&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={2C28A2DA-C9B9-11E1-981C-0025227787CD}
IE - HKU\S-1-5-21-2074215493-1182119007-4286318891-1001\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=114874&tt=120912_pcp_3912_7&babsrc=HP_ss&mntrId=d415498400000000000000ff5fa0abf7
IE - HKU\S-1-5-21-2074215493-1182119007-4286318891-1001\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=f542ce29-1536-426e-adda-f629c8bd8f23&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKU\S-1-5-21-2074215493-1182119007-4286318891-1001\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=f542ce29-1536-426e-adda-f629c8bd8f23&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKU\S-1-5-21-2074215493-1182119007-4286318891-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=f542ce29-1536-426e-adda-f629c8bd8f23&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKU\S-1-5-21-2074215493-1182119007-4286318891-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=114874&tt=120912_pcp_3912_7&babsrc=SP_ss&mntrId=d415498400000000000000ff5fa0abf7
IE - HKU\S-1-5-21-2074215493-1182119007-4286318891-1001\..\SearchScopes\{ED0C05BA-956F-4883-AEB9-2B52A8F422B0}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-2074215493-1182119007-4286318891-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={2C28A2DA-C9B9-11E1-981C-0025227787CD}
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=114874&tt=120912_pcp_3912_7&babsrc=HP_ss&mntrId=d415498400000000000000ff5fa0abf7"
FF - prefs.js..extensions.enabledAddons: plugin%40yontoo.com:1.20.02
[2013-04-20 19:49:16 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\ARO\AppData\Roaming\mozilla\Firefox\Profiles\yz1hfydm.default\extensions\[email protected]
\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012-09-25 15:44:21 | 000,002,223 | ---- | M] () -- C:\Users\ARO\AppData\Roaming\mozilla\firefox\profiles\yz1hfydm.default\searchplugins\BabylonMngr.xml
[2012-07-24 13:49:33 | 000,004,113 | ---- | M] () -- C:\Users\ARO\AppData\Roaming\mozilla\firefox\profiles\yz1hfydm.default\searchplugins\sweetim.xml
[2012-06-02 18:46:17 | 000,002,474 | ---- | M] () -- C:\Users\ARO\AppData\Roaming\mozilla\firefox\profiles\yz1hfydm.default\searchplugins\Web Search.xml
[2012-09-25 15:44:39 | 000,002,360 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-07-20 21:01:13 | 000,000,000 | ---D | M] (Hotspot Shield Helper (Please allow this installation)) -- C:\Program Files\Mozilla Firefox\extensions\[email protected]
CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\ARO\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.11.21.5_0\plugins/ConduitChromeApiPlugin.dll
CHR - plugin: Conduit Radio Plugin (Enabled) = C:\Users\ARO\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.11.21.5_0\plugins/np-cwmp.dll
CHR - Extension: Yontoo = C:\Users\ARO\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\
CHR - Extension: Yontoo = C:\Users\ARO\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKU\S-1-5-21-2074215493-1182119007-4286318891-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O9 - Extra 'Tools' menuitem : IE HTTPAnalyzer V6 - {0EE59015-EBDF-4986-8F80-DB00975ABDCD} - Reg Error: Value error. File not found
[2013-04-24 17:30:19 | 000,009,001 | ---- | M] () -- C:\gg0.html

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

Oczywiście kolejność jak podałem.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Logi z Combofixa

Postprzez Darki333 » 26 Kwi 2013, 13:43

PostUA: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31

A dropbox i hotspotshielda mogę później zainstalować, bo potrzebuję tych programów ;)?

Usuwanie:

http://wklej.eu/index.php?id=2c7c5be5b4

Logi:

http://wklej.eu/index.php?id=837a92ee0e

http://wklej.eu/index.php?id=e3b037ad78

Dziękuję za pomoc i proszę już tylko o sprawdzenie w logach, czy aby na pewno wszystko jest już OK, a jednocześnie o odpowiedź na wyżej zadane pytanie :)
Darki333
Forumowicz
Forumowicz
 
Posty: 12
Dołączenie: 24 Kwi 2013, 14:42
Góra

Re: Logi z Combofixa

Postprzez mateo8898 » 26 Kwi 2013, 22:21

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0

dropbox i hotspotshielda mogę później zainstalować, bo potrzebuję tych programów ;)?

Skoro ich używasz to mogłeś śmiało zostawić.

Wszystko dobrze wygląda, oprócz jednego: masz Avasta to po co jeszcze wpakowałeś MSE?? Takich rzeczy nie wolno robić, jeden antywir działający w czasie rzeczywistym to max. Zrób z tym porządek i zostaw tylko jednego.

W OTL -> Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Odinstaluj starą wersję czytnika .PDF:
Adobe Reader 9.5.4 - Polish

i zainstaluj najnowszą -> http://www.instalki.pl/programy/downloa ... eader.html
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Logi z Combofixa

Postprzez Darki333 » 26 Kwi 2013, 22:51

PostUA: Opera/9.80 (X11; Linux zbov) Presto/2.11.355 Version/12.10

No dobrze. MSE wlazlo z aktualizacja i puscilem jeszcze tylko skan z tego na wszelki wypadek ale czysto. Jutro wyrzuce. Dziekuje za pomoc no.

P.S. Usunale te programy bo myslalem ze sa zainfekowane ale to juz trudno xD
Darki333
Forumowicz
Forumowicz
 
Posty: 12
Dołączenie: 24 Kwi 2013, 14:42
Góra
Poprzednia
Wyślij odpowiedź

Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Bing [Bot]

Switch to mobile style
Technologię dostarcza phpBB® Forum Software © phpBB Group
Profesjonalne polskie tłumaczenie phpBB3
Korzystanie z forum oznacza akceptację polityki prywatności