Skocz do zawartości

delete


mandarynek

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat przenoszę do działu Windows. Oznak infekcji brak. Nie za bardzo jest też czym się zajmować w rozumieniu "potężnych porządków".

 

 

1. Drobne odpadkowe / puste wpisy do usunięcia, czyli "kosmetyka":

 

----> Uruchom Menedżer urządzeń, w menu Widok włącz pokazywanie ukrytych urządzeń. Sprawdź czy są jakieś odpadki po Paragonie (możliwe nazwy: Universal Image Mounter, UIM Direct Device Image Plugin) oraz HostSpotShield (Anchorfree HSS VPN Adapter). Znalezione odinstaluj.

 

----> Panel sterowania > Połączenia sieciowe > z prawokliku na każde po kolei Właściwości > w karcie Ogólne sprawdź czy widnieje coś związanego z Anchorfree / HostspotShield. Znalezione odinstaluj.

 

----> Pozostałe szczątki:

 

 

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
DisableService: sptd
R0 494A3F4A; C:\Windows\System32\drivers\494A3F4A.sys [457824 2015-05-26] (Kaspersky Lab ZAO)
S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42184 2014-05-17] (Anchorfree Inc.)
S1 UimBus; C:\Windows\System32\DRIVERS\uimx64.sys [90960 2012-10-31] (Windows ® 2000 DDK provider)
S1 Uim_IM; C:\Windows\System32\Drivers\Uim_IMx64.sys [633552 2012-10-31] (Paragon)
S1 Uim_VIM; C:\Windows\System32\Drivers\uim_vimx64.sys [390224 2012-10-31] (Paragon)
U3 ahqmynf6; No ImagePath
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S3 rpcapd; "%ProgramFiles(x86)%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles(x86)%\WinPcap\rpcapd.ini" [X]
S3 vserial; System32\DRIVERS\vserial.sys [X]
S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X]
S3 X6va016; \??\C:\Windows\SysWOW64\Drivers\X6va016 [X]
S3 X6va017; \??\C:\Windows\SysWOW64\Drivers\X6va017 [X]
S3 X6va026; \??\C:\Windows\SysWOW64\Drivers\X6va026 [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\494A3F4A.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\494A3F4A.sys => ""="Driver"
Task: {1AB285A5-E3DB-48D4-AE12-6C74E1FB73A0} - System32\Tasks\{373ADE1C-791D-4D67-9C10-E4931317E367} => pcalua.exe -a "C:\Users\OEM\Downloads\CS1.6_Portable - by -=Lukasz=-.exe" -d C:\Users\OEM\Downloads
Task: {31D40D21-2CEF-4820-9EF1-7B0B9045FD38} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1927556544-1589452521-2681370001-1000Core => C:\Users\OEM\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {62A83E95-55F5-453E-8A43-DE41E66D9D4B} - System32\Tasks\{F13EE487-37D1-49CD-BCC2-C9DA3A21F953} => C:\Users\OEM\Desktop\CS_1.6\CS1.6_Portable - by -=Lukasz=-.exe
Task: {8CC3F81D-015E-4411-BFF2-30A48F61448E} - System32\Tasks\{55432120-DC12-4DE2-BFAF-AB698A6FC985} => pcalua.exe -a "E:\PROGRAMY\DAEMON Tools Lite\uninst.exe" -d "E:\PROGRAMY\DAEMON Tools Lite"
Task: {A10B4428-588B-4F0A-A2E7-AFBA9C99AE5D} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1927556544-1589452521-2681370001-1000UA => C:\Users\OEM\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {C8DAEAE8-D3B6-4DAF-87D4-95768AF087DE} - System32\Tasks\{D68CC3C1-CFDA-4FB1-AC03-72AA38B539B8} => C:\Users\OEM\Desktop\CS_1.6\Counter-Strike 1.6 v32\Counter-Strike 1.6.exe
Task: {FBC97102-B776-46E6-8AF6-646CAADF3904} - System32\Tasks\{79787F66-59D9-41E5-A753-99366A78D61E} => pcalua.exe -a C:\Users\OEM\Downloads\Free-File-Splitter-v5.0.1189.exe -d C:\Users\OEM\Downloads
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1927556544-1589452521-2681370001-1000Core.job => C:\Users\OEM\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1927556544-1589452521-2681370001-1000UA.job => C:\Users\OEM\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKU\S-1-5-21-1927556544-1589452521-2681370001-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\OEM\Desktop\PIXELC~1.SCR
CHR HKU\S-1-5-21-1927556544-1589452521-2681370001-1000\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1927556544-1589452521-2681370001-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKU\S-1-5-21-1927556544-1589452521-2681370001-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKU\S-1-5-21-1927556544-1589452521-2681370001-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iffblmdgkoepeanliogglcaifnmfmgod] - C:\Users\OEM\AppData\Local\CRE\iffblmdgkoepeanliogglcaifnmfmgod.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [iffblmdgkoepeanliogglcaifnmfmgod] - C:\Users\OEM\AppData\Local\CRE\iffblmdgkoepeanliogglcaifnmfmgod.crx [Not Found]
C:\ProgramData\fjymbsnu.vta
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\GameExplorer\{28B6923B-4B54-4B30-874A-661449CF41ED}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader*.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GNU Privacy Guard
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HyperTerminal Private Edition
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I-Doser Premium
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy Finder Enterprise
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Red Gate
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinPcap
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XChat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Z8Games
C:\Users\OEM\AppData\Local\{D433927E-C777-486E-8984-13283F12DECD}
C:\Users\OEM\AppData\Local\70149b02515b3bb20dd492.47983420
C:\Users\OEM\AppData\Local\atidt64.dll
C:\Users\OEM\AppData\Local\Mozilla
C:\Users\OEM\AppData\Roaming\Mozilla
C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DC Universe Online PSG.lnk
C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\mobileEx 3.4.lnk
C:\Windows\pss\Facebook Messenger.lnk.Startup
C:\Windows\pss\Registration Assassin's Creed.LNK.Startup
C:\Windows\pss\svchost.exe.vbs.Startup
C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.*
C:\Windows\system32\*.tmp
C:\Windows\System32\drivers\494A3F4A.sys
C:\Windows\System32\DRIVERS\taphss6.sys
C:\Windows\System32\DRIVERS\uimx64.sys
C:\Windows\System32\Drivers\Uim_IMx64.sys
C:\Windows\System32\Drivers\uim_vimx64.sys
CMD: netsh advfirewall reset
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^OEM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Facebook Messenger.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^OEM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Registration Assassin's Creed.LNK" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^OEM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^svchost.exe.vbs" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

 

 

 

2. Błędy z Dziennika:

 

System errors:

=============

Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu:

%%-2140993535

 

Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: )

Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd:

%%-2140993535

 

Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu:

%%-2140993535

 

Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: )

Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd:

%%-2140993535

 

Error: (07/14/2015 10:02:09 PM) (Source: PNRPSvc) (EventID: 102) (User: )

Description: 0x80630801

 

Error: (07/14/2015 10:02:09 PM) (Source: PNRPSvc) (EventID: 102) (User: )

Description: 0x80630801

 

Ten zestaw powinno rozwiązać skasowanie plików C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* załączone w Fixlist w spoilerze.

 

 

Application errors:

==================

Error: (07/14/2015 10:33:43 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

 

Ten błąd nie ma żadnego znaczenia, ale można go dla "czystości dziennika" zlikwidować, posiłkując się instrukcjami z KB2545227.

 

 

3. Jest problem z wolnym miejscem na dysku - zbyt mało, postaraj się poszerzyć przestrzeń:

 

==================== Drives ================================

 

Drive c: () (Fixed) (Total:111.79 GB) (Free:4.99 GB) NTFS

 

 

4. Po wszystkim zrób nowy log FRST z opcji Scan - dla pozycji Services + Drivers odznacz pola Whitelist, ponadto zaznacz pole Addition. Dołącz też Fixlog.txt ze spoilera.

 

 

 

Btw. - skąd mógłbym dowiedzieć się więcej o eliminacji zagrożeń na podstawie logów? Jako niedaleki, przyszły technik informatyk, chciałbym sam nauczyć się diagnozować problemy z ich wykorzystaniem.

Zacytuję swoją wypowiedź na podobne pytanie:

 

Do analizy raportów nie ma poradników, bo tego nie da się nauczyć w oparciu o "opis". Jest po prostu wymagana określona wiedza o systemie operacyjnym oraz infekcjach, potrzebne też lata praktyki, by prawidłowo definiować szkodliwość wpisów. Temat był dyskutowany np. tu: KLIK, KLIK (post Naathim).

Jedyne co istnieje, to tutoriale obsługi narzędzi (np. ten linkowany FRST), ale to inny gatunek: to tylko opis możliwości programu, ten tutorial koncentruje się na tym co umie FRST a nie użytkownik i już zakłada że wiele rzeczy delikwent wie i nie objaśnia określonych aspektów które już należy wiedzieć przystępując do pracy z FRST (np. budowa rejestru i kont, sekwencja startowa systemu, metody ładowania, zestaw domyślnych usług Windows, budowa przeglądarek, uprawnienia, linki symboliczne, etc, etc.).

I nie należy się uczyć "pod narzędzie", bo co gdy FRST zostanie zastąpiony czymś innym. Narzędzia się zmieniają, pewna wiedza musi być stała, by móc analizować niezależnie od formatowania narzędzi.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...