Gdzie podać log wygenerowany przez combofix

[Damianid]

Wygenerowałem ten log i nie wiem co dalej. Proszę o pomoc.

[picasso]

Temat założony w złym dziale Tutoriali, przenoszę do działu diagnostyki infekcji. Rozpocznij od zasad działu: KLIK. Czyli proszę:

- Opisać porządnie problem o co w ogóle chodzi i po co uruchamiasz takie inwazyjne narzędzie ComboFix.

- Dostarczyć obowiązkowe raporty z nieinwazyjnych narzędzi FRST i GMER.

[Damianid]

Czy mogę tu pisać odpowiedź? Czy muszę szukać wskazanego działu? Oglądałem strony erotyczne, wyskoczył mi komunikat "Policja. UWAGA Pańska przeglądarka została zablokowana ze względów bezpieczeństwa z wskazanych niżej przyczyn. [...] jest oskarżony/a o dokonanie przestępstwa, przewidzianego Artykułem161 Kodeksu Kryminalnego Rzeczpospolitej Poolskiej". Od razu mi coś nie grało, bo nie złamałem prawa i wyszukałem na telefonie, że to wirus i można go zlikwidować przez combofix. Dlatego go zastosowałem. Jestem laikiem i nie wiem jak zrobić te raporty z myślnika drugiego.

[picasso]

Oczywiście tu już odpisujesz, temat już został przeniesiony i jest w stosownym dziale. Log z ComboFix proszę dostarcz, ale także obowiązkowe logi z FRST i GMER. Kliknij na te niebieskie nazwy w moim poście, to linki, które przenoszą do instrukcji robienia raportów.

[Damianid]

Więc jak? Pomoże mi ktoś jakoś łopatologicznie? Proszę.

 

Oczywiście tu już odpisujesz, temat już został przeniesiony i jest w stosownym dziale. Log z ComboFix proszę dostarcz, ale także obowiązkowe logi z FRST i GMER. Kliknij na te niebieskie nazwy w moim poście, to linki, które przenoszą do instrukcji robienia raportów.

Ok, postaram się zrobić te raporty.

[picasso]

Damianid, proszę Cię skup się, masz wszystko podane. Nie miałeś problemu, by pobrać i uruchomić ComboFix, co jest zadaniem trudniejszym niż to o co proszę. Cytuję ponownie:

 

- Dostarczyć obowiązkowe raporty z nieinwazyjnych narzędzi FRST i GMER.

Kliknij w te niebieskie napisy. To otwiera instrukcje obrazkowe robienia raportów, krok po kroku. Wszystko opisane pod kątem użytkowników początkujących.

 

 

 

.

[Damianid]

Nie mam żadnych wyników z GMERu po pełnym skanowaniu.  

Zapomniałem dodać, że przed uruchomieniem combofix przywróciłem system do stanu z dnia wczorajszego. Atak wirusa miał miejsce dziś około godziny 10 coś.

[picasso]

Skoro GMER nic nie pokazuje, to nie ma co kopiować i tego raportu nie pokazujesz. Natomiast nadal czekam na ten log utworzony przez ComboFix (by wiedzieć co robił) oraz raporty z FRST.

[Damianid]

  Jak przesłać ten log z combofixa? Bo mam ten plik na dysku C ale nie wiem jak go tu przesłać. Mam otworzyć i przekopiować czy co?

[picasso]

Gdy piszesz post, w polu szybkiej odpowiedzi na spodzie tematu "Więcej opcji" i otworzy się edytor umożliwiający wstawienie plikowych załączników. Przypominam, że masz wstawić 4 logi: ComboFix.txt oraz trzy od FRST (FRST.txt, Addition.txt, Shortcut.txt).

[Damianid]

Mam już raporty.

 

 

I jak z tymi logami? Długo może potrwać ich interpretacja?

ComboFix.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Damianid, proszę nie pisz posta po postem. Posty sklejam. Przypominanie się nie ma sensu. Przetwarzam temat, gdy mogę i jestem obecna. Analiza i napisanie odpowiedzi to nie jest 5 minut roboty.

 

 

Zapomniałem dodać, że przed uruchomieniem combofix przywróciłem system do stanu z dnia wczorajszego. Atak wirusa miał miejsce dziś około godziny 10 coś.

No cóż, użycie ComboFix było tu zupełnie niepotrzebne. Przywracanie systemu to bardzo silny proces i to było wystarczające (choć podejrzewam, że to również nie było potrzebne i usunięcie infekcji było łatwiejsze). ComboFix nie usuwał żadnych infekcji, skasował za to Asusowe pliki które nie wyglądają na infekcje. Nic się nie stało, ale na przyszłość proszę przeczytaj dlaczego używanie ComboFix na własną rękę nie jest pożądane: KLIK.

 

 

Jeśli chodzi o podane logi, brak w nich oznak czynnej infekcji. Ale załaduj poprawki na szczątki adware i wpisy puste:

 

1. Na początek odinstaluj niebezpieczne stare wersje: Java™ 6 Update 22, Java 7 Update 51, Mozilla Firefox 8.0. To m.in. luki Java są przyczyną tego rodzaju infekcji. Ponadto, sugeruję się pozbyć firmowego programu ASUS WebStorage, by uniknąć tego rodzaju problemów: KLIK.

 

2. Następnie otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Run: [setwallpaper] => c:\programdata\SetWallpaper.cmd
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=NG1V5&o=101787&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=N0&apn_dtid=YYYYYYYYPL&apn_uid=CDA74BC7-91D8-447A-9602-18DEFD03B5E4&apn_sauid=B0FF95AB-88F8-4B8E-BBD9-65A0FCB6454A
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=NG1V5&o=101787&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=N0&apn_dtid=YYYYYYYYPL&apn_uid=CDA74BC7-91D8-447A-9602-18DEFD03B5E4&apn_sauid=B0FF95AB-88F8-4B8E-BBD9-65A0FCB6454A
SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Task: {33232835-86B2-483E-AB78-3C6F0A7B30C1} - System32\Tasks\{8C7A0C0D-3AB0-470B-8579-5C1AC36526AD} => C:\Games\Worms Armageddon - New Edition\WA.exe
Task: {34BF9932-5814-49E5-BEDF-F367F697EDC0} - System32\Tasks\{98D3D13F-ABBA-45BD-90E5-13E09D6A60B0} => C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AcroRd32.exe
Task: {4AFE0ABD-F26E-42B5-807E-A4BDFDFCB7A9} - System32\Tasks\{CFDADA79-E4F6-4BAE-BC04-CAE1A4C14BD4} => C:\Program Files (x86)\Tomb Raider Legenda\trl.exe
Task: {52B03227-92EB-4D13-97D1-B975A9C2CB64} - System32\Tasks\{E9D99713-D258-4D81-850A-F4113A8BF7F1} => C:\Program Files (x86)\Microsoft Office\Office\EXCEL.EXE
Task: {59DABAEE-8DE3-4B71-9032-BBA43C3DDD3C} - System32\Tasks\{1AE060DD-D5D2-4DCE-8FED-94D603790A6B} => C:\Games\Worms Armageddon - New Edition\WA.exe
Task: {BF7E09D3-3176-401A-A517-B5581B2DCC38} - System32\Tasks\{4EC7FF1E-24E8-4EDC-99A1-F677C772674E} => C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AcroRd32.exe
Task: {C3CD3756-46D7-489D-B7E4-F2EA32AB0876} - System32\Tasks\{829CD741-D8EE-4377-AF7E-7CC4143E49EB} => C:\Games\Worms Armageddon - New Edition\WA.exe
U3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 RtlWlanu; system32\DRIVERS\rtwlanu.sys [X]
S2 Sentinel; \SystemRoot\System32\Drivers\SENTINEL.SYS [X]
U3 tmlwf; No ImagePath
U3 tmwfp; No ImagePath
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Temp
C:\Users\user\AppData\Roaming\Mozilla
C:\Windows\SysWow64\sho*.tmp
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[Damianid]

Dobra, nie odinstalowałem tych Java bo nie mogę. To dwa logi, z instrukcji.

 

Dziękuję, ze mi pomagasz, czekam na dalsze instrukcje, ale na razie muszę lecieć.

Fixlog.txt

FRST.txt

[picasso]

Skrypt wykonany, kolejne działania:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:
CMD: C:\Users\user\Desktop\ComboFix.exe /uninstall

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix, czekaj cierpliwie aż się ukończy. Powstanie kolejny plik fixlog.txt.

 

2. Zastosuj firmowe narzędzie usuwające stare wersje Java: Java Uninstall Tool.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Pokaż też fixlog.txt.

 

Nową odpowiedź już umieść w nowym poście, nie zastępuj poprzednich postów. Mnie tylko chodziło, byś nie pisał dwóch postów pod rząd.

 

 

 

.

[Damianid]

Oto trzy logi, wg instrukcji:

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Akcje pomyślnie wykonane. Finalizujemy temat:

 

1. Jakoś pominęłam deinstalację śmiecia Bundled software uninstaller.

 

2. Usuń używane narzędzia za pomocą DelFix.

 

3. Proponuję też zaopatrzyć się w darmową wersję Malwarebytes Anti-Exploit. To ochrona przeglądarek oraz Java przed eksploitami / atakami, czyli m.in. infekcjami "policyjnymi".

 

4. Cały system do aktualizacji z Windows Update: KLIK. Stan obecny, brak SP1, IE11 i reszty łatek:

 

Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska)

Internet Explorer Version 8

 

 

 

.

[Damianid]

Ad. 1. nie mogę tego odinstalować.

Ad. 4. reszta łatek: Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 - co mam z tym zrobić?

[picasso]

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z prawokliku skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller

 

Po tej operacji pozycja szczątkowa "Bundled software uninstaller" zniknie z listy zainstalowanych.

 

2. A ten cytat to obrazował w jakim stanie jest obecny system, czyli jest to goły 64-bitowy Windows 7, bez SP1 i mający zintegrowany stary Internet Explorer 8. Masz uruchomić Windows Update i uzupełnić wszystkie brakujące łaty. Szukanie aktualizacji należy powtarzać tyle razy, aż otrzymasz zwrot "zero znalezionych".

 

 

 

.

[Damianid]

Ogromne dzięki za pomoc. Jesteś nieoceniona!