Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Safefinder, logi FRST i prośba o fixlist.

trekkers 21 Sty 2016 16:46 597 3
  • Pomocny post
    #2 21 Sty 2016 16:53
    Kolobos
    Spec od komputerów

    Nie uzywaj combofix!

    Fixlist.txt dla FRST:
    () C:\Documents and Settings\All Users\Dane aplikacji\Lightzap\Lightzap.exe
    () C:\Documents and Settings\All Users\Dane aplikacji\Lightzap\Lightzap.exe
    HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
    HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ]
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-515967899-1757981266-1177238915-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...F0Co8r4wM9Lwv6Fry_kwu0pMmV5kRV_NSNdLOWeJErw,,,,
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...9oWsmltuA9XPhJFA9ZOWgZQaV2RC0cJ9u31Q,,&q={searchTerms}
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...9oWsmltuA9XPhJFA9ZOWgZQaV2RC0cJ9u31Q,,&q={searchTerms}
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...9oWsmltuA9XPhJFA9ZOWgZQaV2RC0cJ9u31Q,,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...F0Co8r4wM9Lwv6Fry_kwu0pMmV5kRV_NSNdLOWeJErw,,,,




    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...9oWsmltuA9XPhJFA9ZOWgZQaV2RC0cJ9u31Q,,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...9oWsmltuA9XPhJFA9ZOWgZQaV2RC0cJ9u31Q,,&q={searchTerms}
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...9oWsmltuA9XPhJFA9ZOWgZQaV2RC0cJ9u31Q,,&q={searchTerms}
    HKU\S-1-5-21-515967899-1757981266-1177238915-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\S-1-5-21-515967899-1757981266-1177238915-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...F0Co8r4wM9Lwv6Fry_kwu0pMmV5kRV_NSNdLOWeJErw,,,,
    HKU\S-1-5-21-515967899-1757981266-1177238915-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://searchsimple-a.akamaihd.net/?m=tab&affID=mt-is" <======= UWAGA
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...9oWsmltuA9XPhJFA9ZOWgZQaV2RC0cJ9u31Q,,&q={searchTerms}
    SearchScopes: HKU\S-1-5-19 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...9oWsmltuA9XPhJFA9ZOWgZQaV2RC0cJ9u31Q,,&q={searchTerms}
    FF Extension: Hold Page 1.0.1 - C:\Documents and Settings\xx\Dane aplikacji\Mozilla\Firefox\Profiles\x88lzyju.default\extensions\{a16a1775-5ab3-4034-ac52-de0795db97f0}.xpi [2014-12-13] [Brak podpisu cyfrowego]
    CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com"
    CHR StartupUrls: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com"
    CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...fkhfVSZgTV5CLRfJFSSgujrnFycWx4aD-iqw,,&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
    CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
    CHR Extension: (Hold Page) - C:\Documents and Settings\xx\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\akdomdklbmcfgmhdgcdifhmfiacffmhc [2014-11-30] [UpdateUrl: hxxp://wwwholdingmypage-a.akamaihd.net/update/chrome] <==== UWAGA
    R2 Lightzap; C:\Documents and Settings\All Users\Dane aplikacji\\Lightzap\\Lightzap.exe [538112 2016-01-07] () [Brak podpisu cyfrowego]
    S3 catchme; \??\C:\DOCUME~1\xx\USTAWI~1\Temp\catchme.sys [X]
    S1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gt; system32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gt.sys [X]
    S1 {27899312-155f-40f3-8661-fb6675d82b4b}Gt; system32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gt.sys [X]
    S1 {2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gt; system32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gt.sys [X]
    S1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gt; system32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gt.sys [X]
    S1 {507a9b68-2b48-4a22-b662-e674fb6a16f7}Gt; system32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gt.sys [X]
    S1 {8299d9bc-4fe2-4889-9adf-025a0769d461}Gt; system32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gt.sys [X]
    S1 {84edc66f-0e16-4519-bd1a-cead01f243ac}Gt; system32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gt.sys [X]
    S1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}Gt; system32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gt.sys [X]
    S1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gt; system32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gt.sys [X]
    S1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gt; system32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gt.sys [X]
    S1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gt; system32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gt.sys [X]
    S1 {f2f2c4d5-f6ac-4c21-8cea-257783669e49}Gt; system32\drivers\{f2f2c4d5-f6ac-4c21-8cea-257783669e49}Gt.sys [X]
    S1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gt; system32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gt.sys [X]
    U3 mbr; \??\C:\DOCUME~1\xx\USTAWI~1\Temp\mbr.sys [X]
    2016-01-20 18:00 - 2016-01-20 18:08 - 00000000 ____D C:\ComboFix
    2016-01-20 18:00 - 2016-01-20 18:05 - 00000000 ____D C:\Qoobox
    2016-01-20 18:00 - 2011-06-26 07:45 - 00256000 _____ C:\WINDOWS\PEV.exe
    2016-01-20 18:00 - 2010-11-07 18:20 - 00208896 _____ C:\WINDOWS\MBR.exe
    2016-01-20 18:00 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
    2016-01-20 18:00 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
    2016-01-20 18:00 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
    2016-01-20 18:00 - 2000-08-31 01:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
    2016-01-20 18:00 - 2000-08-31 01:00 - 00098816 _____ C:\WINDOWS\sed.exe
    2016-01-20 18:00 - 2000-08-31 01:00 - 00080412 _____ C:\WINDOWS\grep.exe
    2016-01-20 18:00 - 2000-08-31 01:00 - 00068096 _____ C:\WINDOWS\zip.exe
    2016-01-16 17:14 - 2016-01-16 17:15 - 00000000 ____D C:\AdwCleaner
    2016-01-07 17:42 - 2016-01-07 17:42 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Lightzaps
    2016-01-07 17:41 - 2016-01-20 18:07 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Lightzap
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #3 21 Sty 2016 21:45
    trekkers
    Poziom 10  

    @Kolobos

    Dzięki. Problem ustąpił, chociaż safefinder jest dalej w zainstalowanych programach.

    Mam natomiast jeszcze jeden problem, na innym kompie tym razem ze starym wirusem policja, czyli ukashem. Mógłbyś zerknąć na logi?

    0
  • Pomocny post
    #4 21 Sty 2016 22:39
    Kolobos
    Spec od komputerów

    SafeFinder to tylko pusty wpis, jezeli nie da sie usunac z poziomu programow i funkcji to mozna uzyc regedit i usunac wpis z galezi uninstall.

    W logach nie widac infekcji.

    Wykonaj fixlist.txt:
    HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
    HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
    HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
    2016-01-18 11:21 - 2016-01-18 11:44 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Zrob pelny skan przy pomocy http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/ i usun to co wykryje.

    0