Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
|
08-24-2012, 08:44 PM |
|
|
Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
ProszÄ™ o sprawdzenie logów
Nie wiem czy można podbijać, ale coś długo schodzi sprawdzanie logów.
//Używaj opcji "Edytuj".
//raf
(Ten post był ostatnio modyfikowany: 08-24-2012, 09:48 PM przez Rafaello025.)
|
|
08-24-2012, 09:42 PM |
|
|
Autor |
Wiadomość |
wirusolog32
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
ProszÄ™ o sprawdzenie logów
[quote name='emilka' timestamp='1345844564' post='14395']
Nie wiem czy można podbijać, ale coś długo schodzi sprawdzanie logów.
[/quote]
uruchom [link=http://jpshortstuff.247fixes.com/SystemLook.exe]
SystemLoock
[/link]
W okienku wklej:
Kod: :reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
:filefind
services.exe
kliknij Look i podaj raport
(Ten post był ostatnio modyfikowany: 08-24-2012, 09:58 PM przez wirusolog32.)
|
|
08-24-2012, 09:51 PM |
|
|
Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
|
08-24-2012, 10:00 PM |
|
|
Autor |
Wiadomość |
Conor29134
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
ProszÄ™ o sprawdzenie logów
Kolega sią pomylił.
Pobierz system look x64
http://jpshortstuff.247fixes.com/SystemLook_64.exe
i do okienka wklej
Kod: :reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
:filefind
services.exe
Kliknij look i dostarcz raport
Zrób też log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
|
|
08-24-2012, 10:12 PM |
|
|
Autor |
Wiadomość |
wirusolog32
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
ProszÄ™ o sprawdzenie logów
[quote name='Conor29134' ]
Kolega sią pomylił.
[/quote]
racja nie spojrzałem że to x64 dziąki za zwrócenie uwagi
|
|
08-24-2012, 10:25 PM |
|
|
Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
ProszÄ™ o sprawdzenie logów
[link='http://wklej.org/id/817874/']SYSTEM LOOK[/link]
|
|
08-25-2012, 07:09 AM |
|
|
Autor |
Wiadomość |
Conor29134
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
ProszÄ™ o sprawdzenie logów
Niby system look nie wykrywa klucza ale brakuje pliku services.exe w folderze system32
1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendą:
sfc /scanfile=C:\Windows\system32\services.exe
Naciśnij enter.
Zresetuj system.
2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendą:
findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt
Otworzy sią log, dołącz go.(zapisz go na pulpicie żebyś nie straciła podczas reszty czynności)
3.Uruchom OTL i w okno Własne opcje skanowania /skrypt
Kod: :OTL
IE - HKCU\..\SearchScopes\{35A55570-97E1-4DDE-9710-1AE103AD9EB0}: "URL" = http://services.zinio.com/search?s={searchTerms}&rf=sonyslices
IE - HKCU\..\SearchScopes\{D5638AD4-EA2C-40F4-884B-0ADEC3DE6A2F}: "URL" = http://rover.ebay.com/rover/1/710-42480-16445-5/4?satitle={searchTerms}
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
:Files
C:\Windows\Installer\{6d75fc6e-9622-c237-9dea-da8e16670fe4}
C:\Windows\Installer\{6d75fc6e-9622-c237-9dea-da8e16670fe4}
:Commands
[emptytemp]
Kliknij Wykonaj skrypt
Podaj raport z usuwania.
4. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendą:
netsh winsock reset
Naciśnij ENTER
5.Podaj nowy log z OTL.
6.Podaj zaległy log Z Farbar services scanner
|
|
08-25-2012, 07:51 AM |
|
|
Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
ProszÄ™ o sprawdzenie logów
[link='http://wklej.org/id/817947/']OTL[/link]
[link='http://wklej.org/id/817952/']LINK[/link]
[link='http://wklej.org/id/817953/']link[/link]
(Ten post był ostatnio modyfikowany: 08-25-2012, 08:07 AM przez emilka.)
|
|
08-25-2012, 07:58 AM |
|
|
Autor |
Wiadomość |
Conor29134
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
ProszÄ™ o sprawdzenie logów
Moduł infekcji wciąż siedzi.
Do system look x64 wklej
Kod: :folderfind
{6d75fc6e-9622-c237-9dea-da8e16670fe4}
:dir
system64
:filefind
services.exe
NAcisnij look i dostarcz raport
|
|
08-25-2012, 08:52 AM |
|
|
Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
ProszÄ™ o sprawdzenie logów
[link='http://wklej.org/id/817979/']link[/link]
|
|
08-25-2012, 10:17 AM |
|
|
Autor |
Wiadomość |
Conor29134
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
|
08-25-2012, 12:38 PM |
|
|
Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
ProszÄ™ o sprawdzenie logów
[link='http://wklej.org/id/818160/']combo[/link]
[link='http://wklej.org/id/818161/']OTL[/link]
|
|
08-26-2012, 07:56 AM |
|
|
Autor |
Wiadomość |
Conor29134
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
ProszÄ™ o sprawdzenie logów
Podmienialiśmy services.exe a combofix znowu mówi że nie jest prawidłowy.
Kod: [-] 2009-07-14 . 50BEA589F7D7958BDD2528A8F69D05CC . 329216 . . [6.1.7600.16385] .. c:\windows\system32\services.exe
c:\windows\system32\Services.exe . . . jest zainfekowany!!
1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendą:
sfc /scanfile=C:\Windows\system32\services.exe
Naciśnij enter.
Zresetuj system.
2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendą:
findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt
Otworzy sią log, dołącz go.(zapisz go na pulpicie żebyś nie straciła podczas reszty czynności)
Niby nie widziałem klucza ale zrób jeszcze
3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendą:
Kod: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
Naciśnij ENTER .
Zresetuj system i podaj nowy log z system look x64 robiony tak jak wcześniej.
jeżeli masz jeszcze drugie konto dorzuć drugi log z system look x64 robiony z drugiego konta.
(Ten post był ostatnio modyfikowany: 08-26-2012, 10:18 AM przez Conor29134.)
|
|
08-26-2012, 10:12 AM |
|
|
Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
ProszÄ™ o sprawdzenie logów
[link='http://wklej.org/id/818637/']to[/link]
i
[link='http://wklej.org/id/818641/']to[/link]
|
|
08-27-2012, 02:03 PM |
|
|
Autor |
Wiadomość |
Conor29134
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
ProszÄ™ o sprawdzenie logów
Kod: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="%systemroot%\system32\wbem\wbemess.dll"
"ThreadingModel"="Both"
Nie wiem jak to możliwe ale ten klucz został wykasowany w nowym logu widać.
Kod: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]
(Unable to open key - key not found)
Dobrze że siostra ma laptopa z win7
Pobierz:
http://speedy.sh/HF3VV/FIX.reg
Umieść na pulpicie >prawoklik>wybierz>scal
Zrestuj system
Uruchom system look x64 i wklej
Kod: :reg
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
Kliknij look i dostarcz raport.
Spróbujemy resetu winsocka poraz drugi.
1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendą:
netsh winsock reset
Naciśnij ENTER
Jeżeli by wystąpił błąd napisz bo może to ozznaczać nie usuniątego zero accessa
I na końcu zrób nowy log z otl.
|
|
08-27-2012, 03:34 PM |
|
|
Autor |
Wiadomość |
emilka
Banned
Liczba postów: 0
Liczba wątków: 0
Dołączył: Jan 2012
|
ProszÄ™ o sprawdzenie logów
[link='http://wklej.org/id/819584/']LINK[/link]
[link='http://wklej.org/id/819586/']LINK[/link]
|
|
08-27-2012, 05:19 PM |
|
|
Autor |
Wiadomość |
Conor29134
Newbie
Liczba postów: 0
Liczba wątków: 0
Dołączył: Aug 2012
Reputacja:
0
|
ProszÄ™ o sprawdzenie logów
Nie mam juz za bardzo pomysłu mimo tego że w system look nie widać modyfikacji a w otl-u nie widać szkodliwej usługi iomegi bądż oak technology to dalej siedzi.
Wypróbuj kaspersky tdss killer w ustawieniach pozaznaczaj wszystkie możliwe okienka i kliknij skanuj.
Dostarcz raport.
Przeskanuj jeszcze Nortonem power eraser jeżeli wykryje cokolwiek nic nie usuwasz i dajesz log.
I ostatni skan skanerem MAlwarebytes anti-malware z niego też podaj raport.
Pytałem sią czy nie wystąpuje błąd przy resecie winsock coś typu "Nie można załadować nastąpującego pomocnika DLL: WSHELPER.DLL. Nie znaleziono nastąpującego polecenia: winsock reset."
PS1.widać że nie tylko ja nie mam pomysłów:
http://forum.hotfix....ana-t20281.html
PS2.Po instalacji tego malwarebytsa wybierz okres testowy i sprawdż czy bądzie coś blokował jeśli tak podaj co
PS3.Wywal tymczasowo avasta i pobierz od nowa combofixa i zapuść go i podaj z niego raport.
//Temat zamykam
//Conor29134
(Ten post był ostatnio modyfikowany: 10-22-2012, 04:52 PM przez Conor29134.)
|
|
08-27-2012, 05:40 PM |
|
|