Kontrola okresowa logów i jedno pytanie

[Madzialena]

Mam prośbę, mógł by się ktoś wypowiedzieć na temat tych logów? Z Gmer'a niestety nie mam tylko dla tego że po zakończeniu skanu chciałam wlkeić ten log, sęk w tym że go nie było w schowku, a po restarcie PC windows miał lekkie problemy z tym żeby się w ogóle włączyć (dopiero opcja z ostatnią dobrą konfiguracją zadziałała). Ogółem rzecz biorąc to od soboty internet i PC lekko przycinają... co do internetu to głównie YT

Aktualizacje wykonuję kiedy mogę

Log z SecurityCheck.

 

Results of screen317's Security Check version 0.99.73
Windows XP Service Pack 3 x86
Internet Explorer 6 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Microsoft Security Essentials
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
CCleaner
Java 7 Update 25
Java SE Development Kit 7 Update 25
Adobe Flash Player 11.8.800.94
Adobe Reader 10.1.0 Adobe Reader out of Date!
Mozilla Firefox (23.0.1)
````````Process Check: objlist.exe by Laurent````````
Microsoft Security Essentials MSMpEng.exe
Microsoft Security Essentials msseces.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

 

 

A co do samego pytania to, na PC koleżanki chyba władował się jakiś szajs który blokuje dostęp do stron z antywirusami. Czy jeśli bym go jej wgrała za pomocą instalki z pendrive'a to mogła bym go jakoś usunąć?

OTL.Txt

Extras.Txt

[picasso]

W logach nic podejrzanego. Usuń tylko puste wpisy sterowników (w Autoruns w karcie Drivers):

 

DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)

DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\dbfdyzsz.sys -- (dbfdyzsz)

 

I zaktualizuj co należy: KLIK.

 

 

Z Gmer'a niestety nie mam tylko dla tego że po zakończeniu skanu chciałam wlkeić ten log, sęk w tym że go nie było w schowku, a po restarcie PC windows miał lekkie problemy z tym żeby się w ogóle włączyć (dopiero opcja z ostatnią dobrą konfiguracją zadziałała).

1. Po pierwsze, nie został usunięty DAEMON Tools przed próbą uruchomienia GMER:

 

DRV - [2013-08-17 19:47:06 | 000,243,128 | ---- | M] (Disc Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

 

2. Ze względu na fakt uruchamiania GMER, zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP) (KLIK).

 

 

A co do samego pytania to, na PC koleżanki chyba władował się jakiś szajs który blokuje dostęp do stron z antywirusami. Czy jeśli bym go jej wgrała za pomocą instalki z pendrive'a to mogła bym go jakoś usunąć?

Nie wiadomo co jest w systemie, w ciemno nie jestem w stanie nic powiedzieć. Wgraj na pendrive narzędzia OTL, FRST i GMER. Zrób logi.

 

 

 

.

[Madzialena]

Logi z PC koleżanki.

OTL.Txt

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

[picasso]

W tym systemie działa usługa infekcji. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

S2 zveylomly; C:\WINDOWS\system32\zprhd.dll [167324 2009-03-21] ()
NETSVC: zveylomly -> C:\WINDOWS\system32\zprhd.dll ()
R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [424104 2013-08-23] (Taiwan Shui Mu Chih Ching Technology Limited.)
R2 WsysSvc; C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\eSafe\eGdpSvc.exe [303680 2013-08-22] (Wsys Co., Ltd.)
HKLM\...\Command Processor: 
HKCU\...\Run: [lollipop_08271140] - c:\documents and settings\slawk\ustawienia lokalne\dane aplikacji\lollipop\lollipop_08271140.exe [2582528 2013-08-27] ()
MountPoints2: {1fe642a9-535f-11e2-9320-000d9d9b940e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
MountPoints2: {2d4c7520-d89f-11e0-9062-000d9d9b940e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
MountPoints2: {e9c8ca9c-3ae9-11e0-af99-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
MountPoints2: {febf090e-0a4e-11e3-944d-000d9d9b940e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1376912840
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1376912840
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1376912840
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650
C:\WINDOWS\system32\zprhd.dll
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\eSafe
C:\Documents and Settings\Slawk\Dane aplikacji\eIntaller
C:\autorun.inf
D:\autorun.inf
F:\autorun.inf
CMD: netsh firewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj Bundled software uninstaller, Lollipop, WinZipper

 

3. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowe logi: skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt oraz log z AdwCleaner.

 

 

 

 

.

[Madzialena]

Już.

UsbFix Listing 1 SLAWEK.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane. Jeszcze prewencyjnie skasowanie Koszy na wszystkich dyskach. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
CMD: rd /s /q C:\RECYCLER
CMD: rd /s /q D:\RECYCLER
CMD: rd /s /q F:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw ten plik.

 

 

 

.

[Madzialena]

Już.

Fixlog.txt

[picasso]

W Koszach C i D jest zablokowane malware. Kolejne podejście. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\RECYCLER
Unlock: D:\RECYCLER
CMD: rd /s /q C:\RECYCLER
CMD: rd /s /q D:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw ten plik.

 

 

 

.

[Madzialena]

Już.

Fixlog.txt

[picasso]

Zadanie pomyślnie wykonane. Przejdź do tej części:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zrób pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[Madzialena]

Wykazało 3 obiekty.Jak by coś to wzięłam opcję usuń zagrożenia, czy coś w tym stylu.

MBAM-log-2013-08-28 (16-24-24).txt

[picasso]

1. Komentując wyniki MBAM:

- PUM.Hijack.System.Hidden: wpis uniemożliwiający włączenie ukrytych plików, pozostałość po infekcji.

- PUP.Optional.OpenCandy: instalator DAEMON Tools określony jako adware, co jest zgodne z prawdą.

- PUM.Disabled.SecurityCenter: wyłączone powiadomienia o aktualizacjach w Centrum zabezpieczeń. Źródło ustawienia może być różne (infekcja lub celowa ręczna akcja użytkownika).

 

2. Na zakończenie zaktualizuj poniżej wymienione programy: KLIK.

 

==================== Installed Programs =======================
 

Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) ----> wtyczka dla IE

Java™ 6 Update 22 (Version: 6.0.220)

Microsoft Office Professional Edition 2003 (Version: 11.0.7969.0)

 

I zaopatrz system w oprogramowanie ochronne.

 

 

 

.