hjkr Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 dobry, uzylem combofixa, zanim trafilem tutaj, załączam log z niego, wlasnie udalo mi sie odpalic otl'a zara z niego logi, nie dziala mi wiekszosc stron, siedze na swoim serwerze przez nx'a i tu mi dziala, kopiuje sobie na ftpa pliki i przesylam na pc (otl'e i inne). edit: logi otl dolaczone p.s jesli podam link ... to bedziecie wstanie stwierdzic czy mozliwa byla infekcja z wlasnie tego linku? nie byl to link dopobierania czegokolwiek tylko do strony dodam jeszcze ze przy okazji odswiezania jednej ze stron, sposrod tych ktore sie nei wczytuja, zobaczylem .... komunikat w ktorym po angielsku pisalo zebym nie wchodzil na ta strone bezposrednio tylko wlasnie z serwera, pozniej strona sie juz nie wczytala, tatez wczytala sie tylko raz, pozniej musialem z serwera, tu nie dostalem komunikatu. No i tak jak mwoie dziala mi tylko kilka stron ComboFix.txtPobieranie informacji ... AdwCleanerR1.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found IE - HKLM\..\SearchScopes\{CA561BEC-652D-4DB7-9304-5CE068A65547}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=385e4735-ede9-11e0-9f79-001d926eb706&q={searchTerms}" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=385e4735-ede9-11e0-9f79-001d926eb706" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8a2062c5-c62c-11e1-b7b4-001d926eb706&q={searchTerms}" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{1924F587-5D68-437F-8C9B-1AD095C82E3A}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=b4eaa390000000000000001d926eb706" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" ="http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{CA561BEC-652D-4DB7-9304-5CE068A65547}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113346&babsrc=SP_def&mntrId=b4eaa390000000000000001d926eb706" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb" [2012-05-27 17:00:46 | 000,000,000 | ---D | M] (СпŃтник @Mail.Ru) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2012-07-17 09:31:34 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-04-23 08:53:45 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2012-06-13 12:33:58 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-06-14 16:34:46 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\ffxtlbr@babylon.com [2011-10-28 19:11:23 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\ffxtlbr@Facemoods.com [2012-02-20 09:11:46 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\welcome@toolmin.com [2012-06-14 16:32:41 | 000,002,314 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011-10-28 19:11:24 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml [2012-02-20 09:11:46 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - Startup: C:\Users\Volendam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fliptoast.lnk = File not found :Files C:\ProgramData\ysndnlpaizaxpvv C:\Users\Volendam\AppData\Roaming\toolplugin :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: LiveVDO plugin 1.3 / uTorrentControl2 Toolbar / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
hjkr Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 prosze OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Przejdź do finalizacji tematu: 1. Wciśnij kombinację klawisza z flagą Windows + R wklej i wywołaj polecenie "C:\Users\Volendam\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj Jave do najnowszej wersji: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
hjkr Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 dalej jest jakos dziwnie zamulony, pracesy zabieraja cala pamiec i/lub procesor zaraz log kolejny Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Nie dawaj mi żadnych logów, nie prosiłem cie o to. "Zamulenie" musi być widocznie z innych powodów, nieinfekcyjnych. Sprawdź jak się zachowuje system na czystym rozruchu: KLIK Odnośnik do komentarza
hjkr Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 przezorny zawsze ubezpieczony, moze cos jeszcze zostalo, p.s dora robote tu robicie p.s2 nx sie nie odpala, wlaczam mnozy sie w procesach i zabiera calosc procka OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Nic nie zostało. Mam w tym na tyle wprawy, że uwierz nic nie przegapiłem. Log jest czysty. Tak jak wspominam czysty rozruch do wykonania. Odnośnik do komentarza
Rekomendowane odpowiedzi