Aeny Opublikowano 10 Grudnia 2012 Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 Witam Mam do czynienia z kompem, na ktorym jest dobrze juz znany Wam syf. Kumpel twierdzi, ze komp dziala OK, ale jak uruchamia IE to pojawia mu sie blokada. Ja na pierwszy rzut oka nie widze, wiec proszę o analize loga. Skan z OTL zrobiony. Poniżej logi Pozdrawiam Aeny Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2012 Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 W systemie działa też adware Browser Manager / v9. W kwestii: Kumpel twierdzi, ze komp dziala OK, ale jak uruchamia IE to pojawia mu sie blokada.Ja na pierwszy rzut oka nie widze, wiec proszę o analize loga. W logu widoczny tylko plik dsgsdgdsgdsgw.pad infekcji. Ale nie sądzę, że log jest zrobiony z poziomu właściwego konta. Zalogowane konto: Computer Name: NGW-PLWALTOS1 | User Name: 501805673 | Logged in as Administrator. Foldery konta 501805673 są oznaczone jako co dopiero zrzucone na dysk. Na dysku istnieją foldery drugiego konta o nazwie 108003109. Konta mają inne rejestry i foldery, a jeśli infekcja działa po stronie konkretnego konta nie jest widzialna z poziomu innego konta. Logi z OTL muszą być zrobione z poziomu konta na którym jest problem. . Odnośnik do komentarza
Aeny Opublikowano 11 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2012 oczekiwany update Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 (edytowane) Logi z pierwszego posta widzę usunięte. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3214568" IE - HKU\S-1-5-21-2134593322-311254797-883519231-132049\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=117023&tt=261112_set2_4812_3&babsrc=SP_ss&mntrId=d4847c6b00000000000000ff10e04004" IE - HKU\S-1-5-21-2134593322-311254797-883519231-132049\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2134593322-311254797-883519231-132049\..\SearchScopes\{6AA605FE-7BE2-41E7-9F5E-5358C1B08061}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_NL&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^NL&apn_uid=af49a12f-0ebb-4249-8a11-2ca1774f2285&apn_sauid=A7761406-A01F-4997-B212-54522CE70BAE" IE - HKU\S-1-5-21-2134593322-311254797-883519231-132049\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3214568" O3 - HKU\S-1-5-21-2134593322-311254797-883519231-132049\..\Toolbar\WebBrowser: (no name) - {ADCA5064-9E30-43FE-9856-58B07A3149FE} - No CLSID value found. O3 - HKU\S-1-5-21-2134593322-311254797-883519231-132049\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-2134593322-311254797-883519231-132049..\Run: [] File not found O4 - HKU\S-1-5-21-2134593322-311254797-883519231-132049..\Run: [Pesueh] C:\Users\108003109\AppData\Roaming\Akqus\kodou.exe () O7 - HKU\S-1-5-21-2134593322-311254797-883519231-132049\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\ProgramData\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2012-12-07 10:58:03 | 000,000,000 | ---D | M] :Files C:\Users\108003109\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\108003109\AppData\Roaming\09D849B6-32D3-4a40-85EE-6B84BA29E35B C:\Users\108003109\AppData\Roaming\Wadihy C:\Users\108003109\AppData\Roaming\Uwly C:\Users\108003109\AppData\Roaming\Akqus C:\Users\108003109\AppData\Roaming\Babylon C:\Users\108003109\AppData\Roaming\OpenCandy C:\Windows\SysWow64\searchplugins C:\Windows\SysWow64\Extensions :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przez Panel sterowania odinstaluj adware Browser Manager, V9 Homepage Uninstaller. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi