Skocz do zawartości

Sprawdzenie po wyłączeniu xe0305.exe


Rekomendowane odpowiedzi

Od pewnego czasu w procesach menedżera zadań pojawiał się pewien proces xe0305.exe, którego wcześniej nigdy nie widziałem. Po wygooglowaniu go dowiedziałem się, że może to być keylogger więc postanowiłem zrobić to co polecali na innym forum - wyłączyć w autostarcie ten proces i spróbować go usunąć ręcznie, ale że nie dało się go wykryć na żadnym dysku użyłem combofixa ( również zalecali to na forum ). Combofix usunął inny problem, czyli niewyświetlajaca się tapeta ale obawiam się, że ów proces xe0305.exe jeszcze gdzieś istnieje. Potem znalazłem to forum i zastosowałem się do wskazówek.

 

Log z combofixa przed znalezieniem fixitpc i zastosowaniem się do niezbędnych kroków : http://wklej.org/id/446772/

OTL: http://wklej.org/id/446700/

Extras : http://wklej.org/id/446701/

Gmer : http://wklej.org/id/446775/ (te pliki/procesy znalazł w 5 minut i od dłuższego czasu już nic nowego nie pokazuję, jak skończy się pełne skanowanie i znajdzie coś jeszcze to wrzucę)

 

Proszę o sprawdzenie tych logów czy nie posiadają jakiegoś błędu/keyloggera

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRAKEN~1.FRO\USTAWI~1\Temp\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRAKEN~1.FRO\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
IE - HKU\S-1-5-21-1708537768-1844823847-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678"
FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}"
[2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\BearShareWebSearch.xml
[2010-12-20 20:36:02 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\conduit.xml
[2010-02-26 23:08:51 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Kraken.FROKS\Dane aplikacji\Mozilla\Firefox\Profiles\aum97s0e.default\searchplugins\daemon-search.xml
[2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
[2009-09-21 11:24:16 | 000,001,329 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
O3 - HKU\S-1-5-21-1708537768-1844823847-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
 
:Files
RECYCLER /alldrives
C:\WINDOWS\System32\kernel32Q.dll
 
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Kraken.FROKS^Menu Start^Programy^Autostart^xe0305.exe]
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza

Wszystko pomyślnie usunięte. Wykonaj na koniec poniższe punkty.

 

1. Użyj opcji Sprzątanie z OTL

 

2. Wyzeruj stan przywracania systemu: KLIK

 

3. Wykonaj obowiązkowe aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17

"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.2 - Polish

Szczegóły w tym temacie: INSTRUKCJE.

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...