Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zainfekowany explorer.exe chyba

EpicElion

Przez EpicElion
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
przejdę od razu do sedna sprawy przeskanowałem komputer ComboFixem gdyż wydawało mi sie ze nie pracuje tak jak trzeba

 

Ja również do sedna, zasady działu: KLIK. Dokładny opis problemu to podstawa dla niesienia efektywnej pomocy (cóż to oznacza "nie pracuje tak jak trzeba"), obowiązkowy log dla systemu 64-bit to log z OTL, a ComboFix to nie jest narzędzie domowego użytku i "skaner" i nigdy się go nie uruchamia bez weryfikacji systemu w sposób nieinwazyjny: KLIK. Z uruchomienia go nic nie wynika, jego raport jest też specyficzny i filtrowany (bo też to raport pod określoną tematykę a nie raport do diagnostyki ogólnej kondycji komputera).

 

 

okazało sie ze mam zainfekowany explorer.exe może coś jeszcze

 

Skoro już się podejmujesz interpretacji, to zwróć uwagę na opis tego ustępu:

 

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

 

Te wpisy to nie jest potwierdzenie infekcji, tylko znak że plik nie odpowiada parametrom oczekiwanym (brak sygnatury może być np. konsekwencją modyfikacji / używania tweakerów wyglądu etc.). To dopiero należy zdiagnozować, skąd rozbieżność. I są tu mniejsze szanse na infekcję tego szczególnego pliku = masz 64-bitowy system, a tu jest podany natywnie 64-bitowy plik.

 

Póki co, żadnych śladów infekcji, jedynie w IE strona startowa jest przejęta przez startsear.ch (prawdopodobnie konsekwencje instalacji wątpliwej wtyczki vShare).

 

 

Co robić panowie

 

Błąd założeń, tu masz do czynienia z płcią przeciwną.

 

 

 

.

Odnośnik do komentarza
EpicElion

EpicElion

Opublikowano
  • Autor
Opublikowano

Jak się człowiek spieszy to się diabeł cieszy :) Dobrze więc wyciągłem pochopne wnioski raz ze błędnie zinterpretowałem log z ComboFixa i uznałem go za potwierdzenie infekcji dwa założyłem ze odpowie mi facet nie wiem dlaczego bez podtekstów, cóż zdarza sie ale tym razem zastosowałem sie do twoich rad i oto poniżej log z OTL.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Nadal nie odpowiedziałeś mi na pytanie: "cóż to oznacza "nie pracuje tak jak trzeba"". Opisz dokładnie co Cię tak niepokoi, co źle działa.

 

 

1. Na temat explorer.exe, owszem notuję tu jego odświeżenie:

 

[2011-11-24 23:48:34 | 002,614,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\explorer.exe

 

W związku z tym, że nie widzę żadnych jawnych tweaków, a Ty sam się nic nie wypowiadasz na ten temat, uruchom komendę sfc /scannow i przefiltruj CBS.LOG do wystąpień znaczników [sR]: KLIK.

 

2. Przy okazji, kosmetyczne usuwanie pobocznych szczątków po Facemoods i vShare / wpisów typu "not found" (a wpisy FlashGet w IE są podwójnie, usuwam tylko te "not found"). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
@Alternate Data Stream - 24 bytes -> C:\Windows:24F7451C6A5D4A6B
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1"
[2011-05-03 18:18:34 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
O2 - BHO: (FGCatchUrl) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files (x86)\FlashGet\jccatch.dll File not found
O2 - BHO: (FlashGet GetFlash Class) - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files (x86)\FlashGet\getflash.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O8:64bit: - Extra context menu item: &Download All with FlashGet - C:\Program Files (x86)\FlashGet\jc_all.htm File not found
O8:64bit: - Extra context menu item: &Download with FlashGet - C:\Program Files (x86)\FlashGet\jc_link.htm File not found
O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files (x86)\FlashGet\jc_all.htm File not found
O8 - Extra context menu item: &Download with FlashGet - C:\Program Files (x86)\FlashGet\jc_link.htm File not found

 

Klik w Wykonaj skrypt.

 

 

 

.

Edytowane przez picasso
7.01.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...