Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Analiza logów OTL - wirus z clipconverter.cc

lordmarshall 26 Lip 2015 21:26 3102 12
  • #1 26 Lip 2015 21:26
    lordmarshall
    Poziom 5  

    Dzień Dobry, jak w temacie byłbym wdzięczny za anlizę loga z OTL, powodem jest możliwa infekcja, ale po kolei. Jakiś tydzień temu skorzystałem ze strony clipconverter.cc aby pobrać wideo z youtube i przerobić je na mp3. Niby wszystko było ok ale mam wrażenie że po tej operacji system nieco zwolnił, strony internetowe "doczytują się" itp. Parę godzin po pobraniu tego pliku z clipconverter.cc zrobiłem: przywracanie systemu, następnie pełen skan Kasperskim, skan adwcleanerem oraz malwerbytes.(W czasie pobierania pliku Kaspersky nic nie wykrył) Żaden z programów nic nie znalazł. Wykonałem więc sprawdzanie systemu komendą sfc scannow, dostałem taki komunikat:
    Analiza logów OTL - wirus z clipconverter.cc .
    Wykonałem jeszcze na koniec skan combofixem, który wykrył i usunął 3 pliki: mazuki.dll, pkunzip.pif i jeszcze jeden o podobnej nazwie jak ten pkunzip ( niestety nie zapisałem jego nazwy ). Na koniec skan OTL z takimi ustawieniami
    Analiza logów OTL - wirus z clipconverter.cc
    i dostałem taki log: ( załącznik)

    Chcialbym dodatkowo zaznaczyć, że krótko po pobraniu tego feralnego pliku z clipconvertera mój Windows 7 pobrał klilka "aktualizacji systemu windows 7 dla komputerów z procesorami x64" co mogło coś pokićkać w systemie ? :/ Ponadto nie wiem czy to ważne ale od jakegoś czasu na pasku zadań strzaszy aktualizacja pt: "Uzyskaj system windows 10" - czy może ona powodwać błędy podczas sprawdzania systemu przez sfc scannow? :/

    Będę niezmiernie wdzięczny za pomoc w sprawdzeniu loga z OTL oraz co może powodować błąd podczas skanu sfc.

    0 12
  • Pomocny post
    #2 26 Lip 2015 22:32
    sPeRaCz.PL
    Poziom 42  

    ComboFix'a nigdy nie polecamy, nieobeznanemu użytkownikowi narobi więcej szkód jak pożytku.

    OTL jest już nierozwijany zatem również go nie polecamy.

    Na początek wykonaj:
    1. Wykonaj skanowanie MBAM'em po aktualizacji bazy danych i usuń wykryte zagrożenia
    http://www.malwarebytes.org/
    2. Wykonaj skanowanie AdwCleaner - opcja "szukaj" następnie "usuń"
    http://www.bleepingcomputer.com/download/adwcleaner/
    3. Załącz oba logi z FRST (jako załącznik)
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Profilaktycznie:
    Pokaż screen zakładek "Przegląd" oraz "SMART" z Hard Disk Sentinel
    http://www.harddisksentinel.com/license/hdsentinel_pro_topwaresale_440.zip

    [P.S. nikt Ci nie pomoże jak będziesz żądał punkty za pobranie załącznika, jak w przypadku loga z OTL]

    1
  • #3 27 Lip 2015 14:53
    lordmarshall
    Poziom 5  

    Wykonałem wszystko według instrukcji, po kolei:

    adwcleaner - początkowo wykonałem skan starszą wersją programu, którą miałem na dysku i nic nie znalazło. Następnie skan wersją 4.208 z linku i ta wersja faktycznie znalazła parenaście plików w folderze chrome. Usunąłem je , zrobiłem restart, następnie ponowny skan i za 2 razem program już nic nie znalazł. Co ciekawe po restarcie komputera wyskoczyła mi aktualizacja adobe flesh playera, którą to wykonałem.

    malwerebytes - zaktualizowałem bazę danych i zrobiłem skan przed i po skanowaniu adwcleanerem. W obu przypadkach malwerebytes nie wykrył żadnych zagrożeń.

    FRST - wykonałem skan z takimi ustawieniami:
    Analiza logów OTL - wirus z clipconverter.cc
    (logi są w załączniku)

    Hard Disk Sentinel - screeny:
    Analiza logów OTL - wirus z clipconverter.cc

    Analiza logów OTL - wirus z clipconverter.cc

    Analiza logów OTL - wirus z clipconverter.cc

    0
  • Pomocny post
    #4 27 Lip 2015 14:59
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    HKU\S-1-5-21-2192366564-2304487932-2076644052-1000\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\ppp\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 411c5757346c47d0bee00d47e7a00124-027e47766d527a63ea180d6a7460ef4958a6e0a2 --CMPID 0913b
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CHR HKU\S-1-5-21-2192366564-2304487932-2076644052-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-2192366564-2304487932-2076644052-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll No File
    BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
    Toolbar: HKLM - avast! Online Security - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll No File
    Toolbar: HKU\S-1-5-21-2192366564-2304487932-2076644052-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
    S3 DAUpdaterSvc; D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\bin_ship\DAUpdaterSvc.Service.exe [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    2015-07-25 12:16 - 2015-07-25 12:16 - 00029399 _____ C:\ComboFix.txt
    2015-07-25 11:54 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
    2015-07-25 11:54 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
    2015-07-25 11:54 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2015-07-25 11:54 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2015-07-25 11:54 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
    2015-07-25 11:54 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
    2015-07-25 11:54 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
    2015-07-24 15:58 - 2015-07-27 12:13 - 00000952 _____ C:\Windows\setupact.log
    2015-07-24 15:58 - 2015-07-24 15:58 - 00000000 _____ C:\Windows\setuperr.log
    2015-07-24 12:13 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2015-07-24 12:12 - 2015-07-25 12:17 - 00000000 ____D C:\Qoobox
    2015-07-27 12:26 - 2013-12-25 10:23 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    W FRST wybierz Fix.

    1
  • Pomocny post
    #5 27 Lip 2015 15:06
    sPeRaCz.PL
    Poziom 42  

    Co do screena z HDS dysk wydaje się być sprawny. Monitoruj atrybut BF (191) jest wysoki! Tj. niedopuszczalne uderzenia / wstrząsy / "efekt gumy".

    1
  • #6 27 Lip 2015 15:27
    lordmarshall
    Poziom 5  

    Tzn. nie chcę nic zepsuć więc wolę dopytać: utworzyłem nowy folder i wrzuciełem do niego plik frst.exe oraz nowy plik tekstowy nazwany fixlist.txt , do którego wkleiłem zawartość podaną przez Kolobosa. Czyli teraz mam tylko uruchomić frst i wciśnąć fix? Frst sam odnajdzie plik fixlist.txt czy mam mu go wskazać?

    0
  • Pomocny post
    #7 27 Lip 2015 15:30
    Kolobos
    Spec od komputerów

    FRST sam wykona podany fixlist.txt, pod warunkiem, ze bedzie w tym samym katalogu co frst.

    1
  • Pomocny post
    #8 27 Lip 2015 15:30
    sPeRaCz.PL
    Poziom 42  

    lordmarshall napisał:
    Czyli teraz mam tylko uruchomić frst i wciśnąć fix?


    Tak. Jak fixlist.txt znajduje się w tym samym folderze co frst.exe to jest ok.

    1
  • #9 27 Lip 2015 16:00
    lordmarshall
    Poziom 5  

    Wykonałem naprawę FRST ale nadal podczas skanu sfc/scannow wyskakuje mi komunikat o uszkodzonych plikach, których nie można naprawić :/

    0
  • Pomocny post
    #10 27 Lip 2015 16:20
    Kolobos
    Spec od komputerów

    Jezeli wszystko dziala to nie ma to znaczenia.

    0
  • #11 27 Lip 2015 16:29
    lordmarshall
    Poziom 5  

    W zasadzie wszystko wydaje się być ok. czyli tak jak przed zawirusowaniem. Tylko że ten sfc scannow wykonuję średnio raz w miesiącu i to "uszkodzenie plików" mnie trochę niepokoi. Czy jest sposób żeby sprawdzić o jakie pliki chodzi? Podobno po skanie w folderze windows tworzone są logi ale jak je rozczytać i gdzie ich szukać nie mam pojęcia. Będę wdzięczny za radę.

    0
  • #13 18 Cze 2016 06:53
    lordmarshall
    Poziom 5  

    Zamykam temat.

    0