Komunikat ESET

[Mysza]

Witam,

 

mam prośbę o profilaktyczne sprawdzenie logów w związku "okienkiem", które wczoraj wyskoczyło w ESET :

 

wcześniej nie sprawdzałam dziennika ESET, nie zauważyłam ostrzeżenia, ale te podejrzane pliki zostały zidentyfikowane już w lutym z informacją o przerwaniu połączenia lub usunięciu,

 

w załączeniu to co jest w dzienniku ESET , OTL , GMER

Edytowane 15 Marca 2011 przez mycha69

[Landuss]

W logach brak śladu aktywnej infekcji. Wykonaj skrypt kosmetyczny do OTL:

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
[2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\pc.XXX\Dane aplikacji\Mozilla\Firefox\Profiles\df4qbiim.default\searchplugins\BearShareWebSearch.xml
[2010-10-19 20:27:22 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\pc.XXX\Dane aplikacji\Mozilla\Firefox\Profiles\df4qbiim.default\searchplugins\conduit.xml
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Panel sterowania > dodaj/usuń programy i odinstaluj - MediaBar / Conduit Engine / Softonic-Eng7 Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[Mysza]

ad 1 i 2 - zrobione

 

ad 3 - logi w załączeniu + ten, po wykonaniu skryptu

 

Dziękuję za szybką i fachową pomoc.

[Landuss]

To by było na tyle i teraz parę rzeczy na koniec.

 

1. Wklej do OTL ostatni drobny skrypt:

 

FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
IE - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found
O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found
[2010-11-13 16:50:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc.XXX\Dane aplikacji\OpenCandy
[2011-03-16 00:32:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc.XXX\Dane aplikacji\PriceGong

 

Logów żadnych już nie pokazujesz.

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Wyzeruj stan przywracania systemu: KLIK

 

 

[Mysza]

2. Użyj opcji Sprzątanie z OTL.

3. Wyzeruj stan przywracania systemu: KLIK

 

Drobnostka i pewnie głupie pytanie, ale nasunęła mi się mała wątpliwość co do kolejności

 

Mianowicie - po zakończeniu "sprzątania" OTL daje informację o konieczności Restartu, zrobiłam OK, a wyzerowanie przywracania systemu dopiero po ponownym uruchomieniu.

Moja wątpliwość jest taka - czy przypadkiem nie powinnam na pytanie "czy wykonać restart" dać w tym momencie ANULUJ , wyzerować stan przywracania i dopiero wtedy RESTART, bo czy przypadkiem to co "posprzątałam" nie zostało przywrócone wraz z ponownym uruchomieniem zanim wyzerowałam informacje o "śmieciach" w punkcie przywracania ?

[picasso]

mycha69 zadana kolejność jest prawidłowa i obliczona na reakcję użytkownika zgodnie z tym co widzi na ekranie. Czyli jeśli Sprzątanie prosi o restart, należy to wykonać i nie gdybać, a po restarcie przejść do czyszczenia Przywracania. Restart jest potrzebny, by ukończyć procedurę "deleteself" samej aplikacji i już w tym momencie (nawet jeśli anulujesz restart) w rejestrze jest zapis oczekiwania na wdrożenie procesu.

 

 

czy przypadkiem to co "posprzątałam" nie zostało przywrócone wraz z ponownym uruchomieniem zanim wyzerowałam informacje o "śmieciach" w punkcie przywracania ?

 

Punkt Przywracania nie ma żadnego znaczenia dla "przywrócenia śmieci" po restarcie. Punkty są izolowane, ich zawartość odgrywa rolę tylko, gdy zostanie wywołany proces Przywracania systemu (czyli cofania go do poprzedniej daty) = to wtedy pliki z punktu wracają.

Tu jest dokładnie na odwrót. To zawartość dysku ma znaczenie dla tego co jest w punkcie Przywracania. Jeśli system zrobi przy restarcie punkt (co może się zdarzyć zależnie od konfiguracji użytkownika / oczekujących procesów aktualizacji), może w tym punkcie uwzględnić śmieci walające się w lokalizacjach objętych monitorem Przywracania. Dlatego zawsze najpierw usuwamy odpadki, na końcu dopiero czyścimy Przywracanie.

 

 

 

.

[Mysza]

Punkty są izolowane, ich zawartość odgrywa rolę tylko, gdy zostanie wywołany proces Przywracania systemu (czyli cofania go do poprzedniej daty) = to wtedy pliki z punktu wracają.

 

Dzięki @Picasso, (trochę się obawiałam zapytać patrząc na groźną minę @Landussa )

moje gdybanie wzięło się z mojego myślenia jako analogii do wirusów/trojanów itp... , które nawet usunięte mogą mieć swoje wpisy w punktach przywracania, i jeśli dobrze zrozumiałam zasadę - mogą się uaktywniać niezależnie od tego, czy wywoła się proces Przywracania systemu, ale przez sam fakt, że są gdziekolwiek w systemie.

 

Dziękuję za wyjaśnienie tych elementarnych zasad i tym samym temat do zamknięcia.