Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Dldr.Kara.AN.2

Tyszek

Przez Tyszek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Tyszek

Tyszek

Opublikowano
Opublikowano

Witam.

 

Sytuacja:

 

niechcący wbiłem się w jakąś stronkę; zaatakowało jave; Avira-kwarantanna; cache usunełem ręcznie.

 

Sprzęt:

 

staruszek

Windows XP HE

SP3

 

Wygląda to tak:

 

 

LOG Avira

 

wklej.org/id/876099/

 

ponowny skan: czysto

 

LOG MBAM

 

wklej.org/id/876100/

 

Skan pełny, znalazł 3 "zagrożenia", wiem co to jest, są to zablokowane aktualizacje i powiadomienia o nich z panelu sterowania.

 

stan: czysto

 

LOG OTL (OTL.Txt)

 

http://wklej.org/id/876101/

 

LOG OTL (Extras.Txt)

 

http://wklej.org/id/876102/

 

Dodatkowo:

 

Spy-Bot 2: coś poznajdywał, coś pousuwał, ale nie do końca, chyba nic groźnego. Jakaś haotyczna i nie stabilna ta nowa wersja tego programu. Aż szkoda tej starej wersji. Mam logi:

 

http://wklej.org/id/876304/ (RootAlyzer Quick Scan Results)

 

http://wklej.org/id/876303/ (SDCleaner)

 

ponowny skan: czysto

 

ESET Online Sccaner wykrył i usunął win32/elex coś takiego, ale czemu nie stworzył loga to nie wiem.

 

ponowny skan: czysto

 

Pytania:

 

Co dalej? Jak to wygląda?

Komputer bezpieczny?

 

 

z góry dzięki i pozdrawiam,

Tyszek

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Tyszek, proszę nie tworzyć idiotycznych postów "bump" tylko przeczytać zasady działu na temat cierpliwości i zakazu nie czego innego a właśnie "bumpów": KLIK. My tu nie siedzimy 24/7 i mamy dużo do roboty. Wszystko widzimy, a odpowiadamy gdy możemy. Mnie nie trzeba przypominać co jest w dziale, bo ja to wiem i nic mi nie "umyka". I jeszcze pisałeś ten idiotyzm w momencie gdy Ci odpowiadałam. Kasuję tego śmiecia.

 

 

W logach OTL brak oznak infekcji, zabrakło obowiązkowego raportu z GMER. Wyniki Avira: w cache Java. Wyniki MBAM: PUM.Disabled.SecurityCenter to nie infekcja tylko oznaczenie, że wyłączone zostały powiadomienia Centrum zabezpieczeń (mógł to zrobić użytkownik ręcznie, MBAM nie rozpozna źródła, bo to niemożliwe). A na Spybot - Search & Destroy 2 to bym nie liczyła, program jest w tyle, lata świetności za sobą i nie jest zbyt użyteczny w dzisiejszych warunkach. Prędzej deinstalacja niż pokładanie wiary.

 

Przeprowadź następujące działania:

 

1. Usunięcie wpisów szczątkowych (po pasku Ask i AVG) oraz czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q="
IE - HKU\S-1-5-21-1844237615-73586283-839522115-1004\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - SOFTWARE\Classes\CLSID\{C94E154B-1459-4A47-966B-4B843BEFC7DB}\InprocServer32 File not found
O4 - HKLM..\Run: []  File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\Kubus\Ustawienia lokalne\Dane aplikacji\MFAData
C:\Documents and Settings\Kubus\Ustawienia lokalne\Dane aplikacji\Avg2013
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. Otworzy się log z wynikami usuwania.

 

2. Do oceny wystarczy tylko ów log z usuwania. Nowy skan OTL zbędny.

 

 

 

.

Odnośnik do komentarza
Tyszek

Tyszek

Opublikowano
  • Autor
Opublikowano

Przepraszam za bumbika. Po prostu myślałem, że jak już napąmknołem mój temat "umknał" ;P, ponieważ w miedzyczasie od jego powstania, zostały utworzone inne tematy które dostały już po kilka odpowiedzi, a mój szedł na dno. Czasem coś może się zawieruszyć, nawetm mistrzom się zdarza. ;) Chyba jest to mała istotna sprawa. W przyszłości się nie powtórzy z mojej strony.

 

Do rzeczy:

 

1. zaległy LOG GMER

2. nowy LOG OTL

 

i czy to moge wywalić? Chyba kopia zapasowa zostaje utworzona.

 

2. Dodatkowo zostało przeczyszczone CCleanerem. (rejestr+pliki)

3. Co z tym ESET Online Sccaner i win32/elex? (usunięte)

4. Co do Aviry czy to było coś groźnego?

5. Czy już komputer jest bezpieczny? Czy to wszystko?

 

Dziękuje bardzo Ci za pomoc.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt OTL pomyślnie wykonany. W GMER nic niepokojącego. Kończ:

 

1. W OTL uruchom Sprzątanie, które usuwanie OTL i jego kwarantannę.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na liście zainstalowanych widać:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"Gadu-Gadu" = Gadu-Gadu 7.7

 

- Zaktualizuj systemowy IE (to istotne mimo, że go nie uruchamiasz, Windows i zewnętrzne aplikacje i tak sięgają do tego silnika), zainstaluj SP3 dla Office 2003: KLIK.

- Gadu-Gadu 7.7 nie bez powodu tutaj wyliczam. Wersja kaleka i bardzo słabo zabezpieczona (brak szyfrowanych poołączeń). Zainteresuj się alternatywnym nowoczesnym WTW (ma dobrą obsługę Gadu, lepszą niż stare GG7, bo wspiera cechy nowego protokołu). Pełny opis komunikatora: KLIK.

 

 

Co do Aviry czy to było coś groźnego?

 

Wynik w cache Java, więc można stwierdzić tylko tyle: uruchomiona strona ze szkodliwym apletem Java i wg danych ograniczyły się tu "szkody" tylko do zanieczyszczenia cache. Nie ma oznak, że coś dodatkowego się zainstalowało z tej strony. Chyba, że było to usuwane ESETem:

 

 

Co z tym ESET Online Sccaner i win32/elex? (usunięte)

 

Tego nie można ocenić, bo nie ma danych w czym zostało to wykryte (ścieżka dostępu najważniejsza, nazwa zagrożenia nie identyfikuje problemu w sposób jednoznaczny).

 

 

w miedzyczasie od jego powstania, zostały utworzone inne tematy które dostały już po kilka odpowiedzi, a mój szedł na dno

 

Pewne tematy mają priorytet niezależnie od liniowości czasowej. Ktoś kto ma zablokowany przez trojana system i nic nie może wykonać lub ma ciężkiego rootkita ma pierwszeństwo przed kimś kto ma działający Windows i tylko się upewnia. To musisz zrozumieć, to nie są takie same stany zagrożenia.

 

 

 

.

Odnośnik do komentarza
Tyszek

Tyszek

Opublikowano
  • Autor
Opublikowano

Skrypt OTL pomyślnie wykonany. W GMER nic niepokojącego. Kończ:

 

1. W OTL uruchom Sprzątanie, które usuwanie OTL i jego kwarantannę.

 

Zrobione.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

Zrobione.

 

3. Na liście zainstalowanych widać:

 

Internet Explorer (Version = 6.0.2900.5512)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"Gadu-Gadu" = Gadu-Gadu 7.7

 

- Zaktualizuj systemowy IE (to istotne mimo, że go nie uruchamiasz, Windows i zewnętrzne aplikacje i tak sięgają do tego silnika), zainstaluj SP3 dla Office 2003: KLIK.

- Gadu-Gadu 7.7 nie bez powodu tutaj wyliczam. Wersja kaleka i bardzo słabo zabezpieczona (brak szyfrowanych poołączeń). Zainteresuj się alternatywnym nowoczesnym WTW (ma dobrą obsługę Gadu, lepszą niż stare GG7, bo wspiera cechy nowego protokołu). Pełny opis komunikatora: KLIK.

 

Tak IE zaktualizuje, GG odpuszczam z racji tego, że praktycznie go nie używam, a 7.7 jest "leciutka". Ten (stary już) komputer slłuży do kilku rzeczy jak widać po logach. ;)

 

Wynik w cache Java, więc można stwierdzić tylko tyle: uruchomiona strona ze szkodliwym apletem Java i wg danych ograniczyły się tu "szkody" tylko do zanieczyszczenia cache. Nie ma oznak, że coś dodatkowego się zainstalowało z tej strony. Chyba, że było to usuwane ESETem:

 

Avira złapała to z Javy, co znalazł ESET to przypadek przy pracy.

 

 

Tego nie można ocenić, bo nie ma danych w czym zostało to wykryte (ścieżka dostępu najważniejsza, nazwa zagrożenia nie identyfikuje problemu w sposób jednoznaczny).

 

Rozumiem.

 

Pewne tematy mają priorytet niezależnie od liniowości czasowej. Ktoś kto ma zablokowany przez trojana system i nic nie może wykonać lub ma ciężkiego rootkita ma pierwszeństwo przed kimś kto ma działający Windows i tylko się upewnia. To musisz zrozumieć, to nie są takie same stany zagrożenia.

 

 

Jasna sprawa. :)

-----------------------------------------------------

 

 

Zakładam, że wszystko jest w normie. ;)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...