mandarynek Opublikowano 14 Lipca 2015 Zgłoś Udostępnij Opublikowano 14 Lipca 2015 delete Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2015 Zgłoś Udostępnij Opublikowano 15 Lipca 2015 Temat przenoszę do działu Windows. Oznak infekcji brak. Nie za bardzo jest też czym się zajmować w rozumieniu "potężnych porządków". 1. Drobne odpadkowe / puste wpisy do usunięcia, czyli "kosmetyka": ----> Uruchom Menedżer urządzeń, w menu Widok włącz pokazywanie ukrytych urządzeń. Sprawdź czy są jakieś odpadki po Paragonie (możliwe nazwy: Universal Image Mounter, UIM Direct Device Image Plugin) oraz HostSpotShield (Anchorfree HSS VPN Adapter). Znalezione odinstaluj. ----> Panel sterowania > Połączenia sieciowe > z prawokliku na każde po kolei Właściwości > w karcie Ogólne sprawdź czy widnieje coś związanego z Anchorfree / HostspotShield. Znalezione odinstaluj. ----> Pozostałe szczątki: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd R0 494A3F4A; C:\Windows\System32\drivers\494A3F4A.sys [457824 2015-05-26] (Kaspersky Lab ZAO) S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42184 2014-05-17] (Anchorfree Inc.) S1 UimBus; C:\Windows\System32\DRIVERS\uimx64.sys [90960 2012-10-31] (Windows ® 2000 DDK provider) S1 Uim_IM; C:\Windows\System32\Drivers\Uim_IMx64.sys [633552 2012-10-31] (Paragon) S1 Uim_VIM; C:\Windows\System32\Drivers\uim_vimx64.sys [390224 2012-10-31] (Paragon) U3 ahqmynf6; No ImagePath S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] S3 rpcapd; "%ProgramFiles(x86)%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles(x86)%\WinPcap\rpcapd.ini" [X] S3 vserial; System32\DRIVERS\vserial.sys [X] S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X] S3 X6va016; \??\C:\Windows\SysWOW64\Drivers\X6va016 [X] S3 X6va017; \??\C:\Windows\SysWOW64\Drivers\X6va017 [X] S3 X6va026; \??\C:\Windows\SysWOW64\Drivers\X6va026 [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\494A3F4A.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\494A3F4A.sys => ""="Driver" Task: {1AB285A5-E3DB-48D4-AE12-6C74E1FB73A0} - System32\Tasks\{373ADE1C-791D-4D67-9C10-E4931317E367} => pcalua.exe -a "C:\Users\OEM\Downloads\CS1.6_Portable - by -=Lukasz=-.exe" -d C:\Users\OEM\Downloads Task: {31D40D21-2CEF-4820-9EF1-7B0B9045FD38} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1927556544-1589452521-2681370001-1000Core => C:\Users\OEM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {62A83E95-55F5-453E-8A43-DE41E66D9D4B} - System32\Tasks\{F13EE487-37D1-49CD-BCC2-C9DA3A21F953} => C:\Users\OEM\Desktop\CS_1.6\CS1.6_Portable - by -=Lukasz=-.exe Task: {8CC3F81D-015E-4411-BFF2-30A48F61448E} - System32\Tasks\{55432120-DC12-4DE2-BFAF-AB698A6FC985} => pcalua.exe -a "E:\PROGRAMY\DAEMON Tools Lite\uninst.exe" -d "E:\PROGRAMY\DAEMON Tools Lite" Task: {A10B4428-588B-4F0A-A2E7-AFBA9C99AE5D} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1927556544-1589452521-2681370001-1000UA => C:\Users\OEM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {C8DAEAE8-D3B6-4DAF-87D4-95768AF087DE} - System32\Tasks\{D68CC3C1-CFDA-4FB1-AC03-72AA38B539B8} => C:\Users\OEM\Desktop\CS_1.6\Counter-Strike 1.6 v32\Counter-Strike 1.6.exe Task: {FBC97102-B776-46E6-8AF6-646CAADF3904} - System32\Tasks\{79787F66-59D9-41E5-A753-99366A78D61E} => pcalua.exe -a C:\Users\OEM\Downloads\Free-File-Splitter-v5.0.1189.exe -d C:\Users\OEM\Downloads Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1927556544-1589452521-2681370001-1000Core.job => C:\Users\OEM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1927556544-1589452521-2681370001-1000UA.job => C:\Users\OEM\AppData\Local\Facebook\Update\FacebookUpdate.exe HKU\S-1-5-21-1927556544-1589452521-2681370001-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\OEM\Desktop\PIXELC~1.SCR CHR HKU\S-1-5-21-1927556544-1589452521-2681370001-1000\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1927556544-1589452521-2681370001-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKU\S-1-5-21-1927556544-1589452521-2681370001-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKU\S-1-5-21-1927556544-1589452521-2681370001-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iffblmdgkoepeanliogglcaifnmfmgod] - C:\Users\OEM\AppData\Local\CRE\iffblmdgkoepeanliogglcaifnmfmgod.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [iffblmdgkoepeanliogglcaifnmfmgod] - C:\Users\OEM\AppData\Local\CRE\iffblmdgkoepeanliogglcaifnmfmgod.crx [Not Found] C:\ProgramData\fjymbsnu.vta C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{28B6923B-4B54-4B30-874A-661449CF41ED} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GNU Privacy Guard C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HyperTerminal Private Edition C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I-Doser Premium C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy Finder Enterprise C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Red Gate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinPcap C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XChat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Z8Games C:\Users\OEM\AppData\Local\{D433927E-C777-486E-8984-13283F12DECD} C:\Users\OEM\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\OEM\AppData\Local\atidt64.dll C:\Users\OEM\AppData\Local\Mozilla C:\Users\OEM\AppData\Roaming\Mozilla C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DC Universe Online PSG.lnk C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\mobileEx 3.4.lnk C:\Windows\pss\Facebook Messenger.lnk.Startup C:\Windows\pss\Registration Assassin's Creed.LNK.Startup C:\Windows\pss\svchost.exe.vbs.Startup C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* C:\Windows\system32\*.tmp C:\Windows\System32\drivers\494A3F4A.sys C:\Windows\System32\DRIVERS\taphss6.sys C:\Windows\System32\DRIVERS\uimx64.sys C:\Windows\System32\Drivers\Uim_IMx64.sys C:\Windows\System32\Drivers\uim_vimx64.sys CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^OEM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Facebook Messenger.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^OEM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Registration Assassin's Creed.LNK" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^OEM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^svchost.exe.vbs" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Błędy z Dziennika: System errors: ============= Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/14/2015 10:02:09 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Error: (07/14/2015 10:02:09 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Ten zestaw powinno rozwiązać skasowanie plików C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* załączone w Fixlist w spoilerze. Application errors: ================== Error: (07/14/2015 10:33:43 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Ten błąd nie ma żadnego znaczenia, ale można go dla "czystości dziennika" zlikwidować, posiłkując się instrukcjami z KB2545227. 3. Jest problem z wolnym miejscem na dysku - zbyt mało, postaraj się poszerzyć przestrzeń: ==================== Drives ================================ Drive c: () (Fixed) (Total:111.79 GB) (Free:4.99 GB) NTFS 4. Po wszystkim zrób nowy log FRST z opcji Scan - dla pozycji Services + Drivers odznacz pola Whitelist, ponadto zaznacz pole Addition. Dołącz też Fixlog.txt ze spoilera. Btw. - skąd mógłbym dowiedzieć się więcej o eliminacji zagrożeń na podstawie logów? Jako niedaleki, przyszły technik informatyk, chciałbym sam nauczyć się diagnozować problemy z ich wykorzystaniem. Zacytuję swoją wypowiedź na podobne pytanie: Do analizy raportów nie ma poradników, bo tego nie da się nauczyć w oparciu o "opis". Jest po prostu wymagana określona wiedza o systemie operacyjnym oraz infekcjach, potrzebne też lata praktyki, by prawidłowo definiować szkodliwość wpisów. Temat był dyskutowany np. tu: KLIK, KLIK (post Naathim). Jedyne co istnieje, to tutoriale obsługi narzędzi (np. ten linkowany FRST), ale to inny gatunek: to tylko opis możliwości programu, ten tutorial koncentruje się na tym co umie FRST a nie użytkownik i już zakłada że wiele rzeczy delikwent wie i nie objaśnia określonych aspektów które już należy wiedzieć przystępując do pracy z FRST (np. budowa rejestru i kont, sekwencja startowa systemu, metody ładowania, zestaw domyślnych usług Windows, budowa przeglądarek, uprawnienia, linki symboliczne, etc, etc.). I nie należy się uczyć "pod narzędzie", bo co gdy FRST zostanie zastąpiony czymś innym. Narzędzia się zmieniają, pewna wiedza musi być stała, by móc analizować niezależnie od formatowania narzędzi. Odnośnik do komentarza
mandarynek Opublikowano 15 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2015 delete Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się