Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Sprawdzenie logów FRST'a - szukam winnego przejęcia konta (part 4)

marek003 06 Kwi 2016 22:15 450 2
  • #1 06 Kwi 2016 22:15
    marek003
    Poziom 40  

    Witam
    Okazało się że (chodzi o czas uzyskania danych) w próbie przejęcia mógł uczestniczyć jeszcze jeden komputer.

    W załączeniu logi programów.
    NOD32 nic nie wykrył
    DrWeb dwa zagrożenia (log zmieniony na txt0
    Malawarebytes nic nie wykrył
    adwclean znalazł parę śmieci. (dwa logi)
    logi frst'a w załączeniu

    Mi to nie wygląda na szpiegów ale proszę znawców o "zerknięcie' i ewentualne sugestie i info do stworzenia pliku fixlist dla frst'a

    0 2
  • Pomocny post
    #2 07 Kwi 2016 07:58
    krzychupar
    Poziom 40  

    Odinstaluj:
    McAfee Security Scan Plus
    Java 7 Update 11 i Java(TM) 6 Update 29 a zainstaluj https://ninite.com/java8/

    Otwórz notatnik systemowy i wklej:
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.5\psuser.dll (dane wartości zawierają 13 znaków więcej).
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.27.5\psuser.dll (dane wartości zawierają 13 znaków więcej).
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.28.1\psuser.dll (dane wartości zawierają 13 znaków więcej).
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.28.13\psuser.dll (dane wartości zawierają 14 znaków więcej).
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.24.15\psuser.dll (dane wartości zawierają 14 znaków więcej).
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.26.9\psuser.dll (dane wartości zawierają 13 znaków więcej).
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.29.1\psuser.dll (dane wartości zawierają 13 znaków więcej).




    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.25.11\psuser.dll (dane wartości zawierają 14 znaków więcej).
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.28.15\psuser.dll (dane wartości zawierają 14 znaków więcej).
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-1960408961-1770027372-682003330-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.24.7\psuser.dll (dane wartości zawierają 13 znaków więcej).
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    Shortcut: C:\Documents and Settings\admin\Pulpit\Ariel.lnk -> K:\ariel\ARIEL32W.BAT (Brak pliku)
    Shortcut: C:\Documents and Settings\admin\Pulpit\Skrót do Sbutil.bat.lnk -> K:\ariel\Sbutil.bat (Brak pliku)
    Shortcut: C:\Documents and Settings\admin\Pulpit\Rzeczy taty\Elza.lnk -> K:\elza\rungtwin.bat (Brak pliku)
    HKU\S-1-5-21-1960408961-1770027372-682003330-1003\...\MountPoints2: {8d73b2da-cd22-11df-9bfa-1c4bd659ca10} - F:\LaunchU3.exe -a
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
    BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.130\McAfeeMSS_IE.dll => Brak pliku
    CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\35.0.1916.153\PepperFlash\pepflashplayer.dll => Brak pliku
    CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\49.0.2623.110\ppGoogleNaClPluginChrome.dll => Brak pliku
    CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\49.0.2623.110\pdf.dll => Brak pliku
    CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll => Brak pliku
    CHR Plugin: (Silverlight Plug-In) - C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll => Brak pliku
    CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll => Brak pliku
    S3 adusbser; system32\DRIVERS\adusbser.sys [X]
    S3 BTMCOM; System32\Drivers\btmcom.sys [X]
    U2 CertPropSvc; Brak ImagePath
    S4 IntelIde; Brak ImagePath
    S3 RTHDMIAzAudService; system32\drivers\RtKHDMI.sys [X]
    U1 WS2IFSL; Brak ImagePath
    2016-04-06 20:53 - 2015-10-17 11:36 - 00000000 ____D C:\AdwCleaner
    C:\Documents and Settings\admin\jagex_runescape_preferences.dat
    C:\Documents and Settings\admin\jagex_runescape_preferences2.dat
    C:\Documents and Settings\admin\jagex__preferences3.dat
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 11 Kwi 2016 19:48
    marek003
    Poziom 40  

    Dzięki za sprawdzenie loga.

    0