zerbatin
-
Postów
4 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez zerbatin
-
-
Wymagane pliki poniżej. Zmieniłem rozszerzenie "gmer_log" na txt, bo uploader nie chciał przyjąć *.log.
*2 Wszystko co napisałem wziąłem z analizy poprzednich OTL i skryptów które pisałaś. Nigdy nie napisałem żadnego skryptu, ten był pierwszy.
Dlatego jest w nim tak wiele błędów i niedociągnięć. Za jakiś czas odezwę się i pokaże Ci jeden skrypt do jakichś logów. Znajdę ciekawy przypadek na forum.
Jeżeli będziesz miała chwilę czasu to może rzucisz na niego okiem i napiszesz mi co robię źle, lub czego nie zauważam.
Jak dla mnie FSS nie wykazuje zniszczeń przez ZeroAccess - dobrze widzę? Chyba, że powinien wypisać wszystko?
=======================================
-Firewall Disabled Policy:
-System Restore:
-System Restore Disabled Policy:
-Security Center:
-Windows Update:
-Windows Autoupdate Disabled Policy:
=======================================
-
Tak, praktycznie nie zrobiłem nic. W OTL jak byk jest napisane XP SP 3, nie wiem jak mogłem przeoczyć. Napisałem to co jest poniżej, jak widzę nic dobrego bym "tym" nie zdziałał.
Przeczytałem tylko to co Ty tworzysz i chciałem zobaczyć, czy cokolwiek umiem wywnioskować. Nikomu nie podesłałem moich "wypocin". Pracę i pomoc pozostawiam profesjonalistom, ja tylko przekazuję dalej mówiąc kto pomógł.
Chcę się dowiedzieć więcej między innymi na temat pisania skryptów i rozpoznawania zagrożeń w systemach, tak by za jakiś czas (powiedzmy dwa, trzy lata) móc pomagać podobnie jak Wy.
PS Twoje rady przekazałem dalej, do poszkodowanego. Z.
:Files
C:\Documents and Settings\Konto\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\Konto\Dane aplikacji\Toolbar4
:OTL
IE - HKLM\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=ac4069d6-0f08-11e2-9986-00262202f554&q={searchTerms}"
IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=ac4069d6-0f08-11e2-9986-00262202f554&q={searchTerms}"
IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{18412F94-CF8F-42AD-AD9B-F9D7D7F8E851}: "URL" = "http://www.bigseekpro.com/search/browser/acala3gp/{74FE4918-2B1A-44A2-9600-7DF2FEC1366E}?q={searchTerms}"
IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60346"
IE - HKU\S-1-5-21-1645522239-412668190-1417001333-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"ShopperReports@ShopperReports.com"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Default_Search_URL"=-
"Search Bar"=-
"SearchPage"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
:Commands
[emptytemp]
Do wszystkich którzy tu zajrzą zanim usunę część tego posta - ten "skrypt" to TYLKO moje wypociny - nie kopiować, nie udostępniać!
-
Komputer znajomego, z logów - chyba XP.
Napisałem skrypt, ale nie jestem pewien, czy dobrze i czy znalazłem wszystkie problemy.
Wolę zapytać Was - zdecydowanie bardziej obeznanych z tematem.
Z góry dziękuję za analizę i pomoc.
Weelsof - prośba podzielnie się wiedzą.
w Dział pomocy doraźnej
Opublikowano
Wszystko zrobione.
OTL_3.Txt
FSS_2.txt