TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Trojan i proces egdpsvc.exe

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź

Trojan i proces egdpsvc.exe

Postprzez Luqass[PL] » 22 Sie 2013, 22:05

PostUA: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.57 Safari/537.36

Witam, dzisiaj wieczorem włączyłem przeglądarkę i ku mojemu zdziwieniu odpaliła się strona startowa o nazwie "deleta-homes.com" od razu wszedłem w opcje przeglądarki, by usunąć rozszerzenie (mam google chrome) i ustawić stronę startową na google.com niestety nie przyniosło skutku. Poszukałem w internecie i się dowiedziałem, że może to być trojan, gdyż wraz z tym pojawił mi się na komputerze proces "egdpsvc.exe" zupełnie nie wiem skąd się mógł wziąć na komputerze... komputer właśnie skanuję avast'em, więc, gdy skończy dam znać.

OTL: http://www.wklej.eu/index.php?id=b75055869e
Extras: http://www.wklej.eu/index.php?id=ba78f1366d
Luqass[PL]
Forumowicz
Forumowicz
 
Posty: 64
Dołączenie: 04 Sie 2012, 01:53
Góra

Re: Trojan

Postprzez mateo8898 » 22 Sie 2013, 23:54

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0

1. Odinstaluj Qtrax Player, Akamai NetSession Interface, iSafe, WinZipper
2. Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
:OTL
SRV - [2013-08-22 06:03:49 | 000,303,680 | ---- | M] (Wsys Co., Ltd.) [Auto | Stopped] -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\eSafe\eGdpSvc.exe -- (WsysSvc)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG&ts=1377200223
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG&ts=1377200223
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG&ts=1377200223
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG&ts=1377200223
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG&ts=1377200223
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://safe.v9.com/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://safe.v9.com/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://safe.v9.com/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://safe.v9.com/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG
IE - HKU\S-1-5-21-2025429265-484061587-682003330-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG&ts=1377200223
IE - HKU\S-1-5-21-2025429265-484061587-682003330-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG&ts=1377200223
IE - HKU\S-1-5-21-2025429265-484061587-682003330-1008\..\URLSearchHook: {8a7d2060-824d-4b17-b00a-759b1b5f30d9} - No CLSID value found
IE - HKU\S-1-5-21-2025429265-484061587-682003330-1008\..\SearchScopes\{cca2e567-1987-4100-a3c6-5b4267084510}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=YKxdm092YYus&ptnrS=YKxdm092YYus&si=466156&ptb=24E82E16-33B3-4E42-BAC4-6CECE9F43A68&psa=&ind=2013012011&st=sb&n=77fc202b&searchfor={searchTerms}
IE - HKU\S-1-5-21-2025429265-484061587-682003330-1014\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://safe.v9.com/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG
FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=winamp-ff&s_qt=sb&tb_uuid=20130502133455591&tb_oid=03-05-2013&tb_mrud=04-05-2013&query="
FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&s_qt=ab&s_it=winamp-ff&tb_uuid=20130502133455591&tb_oid=03-05-2013&tb_mrud=04-05-2013&q="
FF - prefs.js..browser.startup.homepage: "http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3250410AS_9RY1SMLGXXXX9RY1SMLG&ts=1377200223"
FF - prefs.js..browser.search.defaultenginename: "delta-homes"
FF - prefs.js..browser.search.order.1: "delta-homes"
FF - prefs.js..browser.search.selectedEngine: "delta-homes"
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
[2013-05-02 19:35:18 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\Mozilla\Firefox\Profiles\gt1cuane.default\extensions\{8b9fe9be-f7dd-451e-ac96-0e568e0ecc10}
[2013-04-24 12:14:38 | 000,000,000 | ---D | M] (Browwse2siAvee) -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\Mozilla\Firefox\Profiles\gt1cuane.default\extensions\[email protected]
[2013-08-12 23:28:52 | 000,002,533 | ---- | M] () -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\Mozilla\Firefox\Profiles\gt1cuane.default\searchplugins\aol-search.xml
[2013-07-23 19:16:26 | 000,001,294 | ---- | M] () -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\Mozilla\Firefox\Profiles\gt1cuane.default\searchplugins\delta.xml
[2013-05-04 13:48:53 | 000,002,154 | ---- | M] () -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\Mozilla\Firefox\Profiles\gt1cuane.default\searchplugins\wyszukiwarka-aol.xml
[2013-08-22 21:37:04 | 000,000,783 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\delta-homes.xml
O2 - BHO: (Search Assistant BHO) - {df22384f-cf68-4d19-969f-10423715528b} - C:\Program Files\TotalRecipeSearch_14\bar\1.bin\14SrcAs.dll (MindSpark)
O2 - BHO: (Toolbar BHO) - {ab56dfde-0c14-45b3-9df6-7b0eba617870} - C:\Program Files\TotalRecipeSearch_14\bar\1.bin\14bar.dll (MindSpark)
O3 - HKLM\..\Toolbar: (TotalRecipeSearch) - {a0154e07-2b48-475c-a82a-80efd84ea33e} - C:\Program Files\TotalRecipeSearch_14\bar\1.bin\14bar.dll (MindSpark)
O3 - HKLM\..\Toolbar: (no name) - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - No CLSID value found.
O3 - HKU\S-1-5-21-2025429265-484061587-682003330-1008\..\Toolbar\WebBrowser: (TotalRecipeSearch) - {A0154E07-2B48-475C-A82A-80EFD84EA33E} - C:\Program Files\TotalRecipeSearch_14\bar\1.bin\14bar.dll (MindSpark)
O4 - HKLM..\Run: [TotalRecipeSearch Search Scope Monitor] C:\Program Files\TotalRecipeSearch_14\bar\1.bin\14SrchMn.exe (MindSpark)
O4 - HKLM..\Run: [TotalRecipeSearch_14 Browser Plugin Loader] C:\Program Files\TotalRecipeSearch_14\bar\1.bin\14brmon.exe (VER_COMPANY_NAME)
O4 - HKU\S-1-5-21-2025429265-484061587-682003330-1008..\Run: [Clownfish] File not found
O4 - HKU\S-1-5-21-2025429265-484061587-682003330-1008..\RunOnce: [InstallShieldSetup] "C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -reboot"C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\reboot.ini" File not found
O8 - Extra context menu item: &Search - http://tbedits.totalrecipesearch.com/one-toolbaredits/menusearch.jhtml?s=100000459&p=YKxdm092YYus&si=466156&a=24E82E16-33B3-4E42-BAC4-6CECE9F43A68&n=2013012011&cv=2 File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Reg Error: Key error.)
[2013-08-22 21:36:30 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinZipper
[2013-08-22 21:36:28 | 000,000,000 | ---D | C] -- C:\Program Files\WinZipper
[2013-08-22 21:36:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\WinZipper
[2013-07-27 21:09:15 | 000,000,286 | ---- | C] () -- C:\WINDOWS\tasks\EPUpdater.job
[2013-08-22 21:36:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\eSafe
[2012-07-09 17:14:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\Blekko
[2013-07-15 10:35:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\iSafe

:Files
C:\Program Files\TotalRecipeSearch_14
C:\Program Files\iSafe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"PHIME2002A"=-
"PHIME2002ASync"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Facebook Update"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt i podajesz log z usuwania.

3. Użyj AdwCleaner -> http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p139531 z opcji Clean i podaj utworzony log.
4. Podaj nowe logi z OTL.

Kolejność jak podałem.


Autor postu otrzymał pochwałę
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Trojan

Postprzez Luqass[PL] » 23 Sie 2013, 00:53

PostUA: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.57 Safari/537.36

Po czyszczeniu: http://www.wklej.eu/index.php?id=141d8e9fd1
Wycinek z Adw: http://www.wklej.eu/index.php?id=8fb0c7083e
OLT: http://www.wklej.eu/index.php?id=8f5b0fb204
Extras: http://www.wklej.eu/index.php?id=598922b641
Luqass[PL]
Forumowicz
Forumowicz
 
Posty: 64
Dołączenie: 04 Sie 2012, 01:53
Góra

Re: Trojan

Postprzez mateo8898 » 23 Sie 2013, 11:05

PostUA: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0

W AdwCleaner -> Uninstall

Wklej w OTL:
:OTL
SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\TotalRecipeSearch_14\bar\1.bin\14barsvc.exe -- (TotalRecipeSearch_14Service)
O3 - HKU\S-1-5-21-2025429265-484061587-682003330-1008\..\Toolbar\WebBrowser: (no name) - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - No CLSID value found.
[2013-07-28 00:38:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Ustawienia lokalne\Dane aplikacji\Lollipop
[2013-08-22 22:32:08 | 000,001,032 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-2025429265-484061587-682003330-1008UA.job
[2013-08-22 22:32:04 | 000,001,010 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-2025429265-484061587-682003330-1008Core.job
[2011-12-10 19:09:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\Babylon
[2012-10-20 16:00:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Łukasz.KOMPUTEREKXD\Dane aplikacji\TotalRecipeSearch_14

Klikasz Wykonaj skrypt, następnie Sprzątanie

Przeczyść dysk oraz rejestr CCleaner
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Trojan

Postprzez Luqass[PL] » 24 Sie 2013, 11:52

PostUA: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.57 Safari/537.36

Ok temat do zamknięcia ^^ dzięki.
Luqass[PL]
Forumowicz
Forumowicz
 
Posty: 64
Dołączenie: 04 Sie 2012, 01:53
Góra
Wyślij odpowiedź

Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Bing [Bot]

Switch to mobile style
Technologię dostarcza phpBB® Forum Software © phpBB Group
Profesjonalne polskie tłumaczenie phpBB3
Korzystanie z forum oznacza akceptację polityki prywatności