Sprawdzanie log?w komputera

[Grzechu]

Witam wszystkich u?ytkownik?w Tnet!

Wielu z Was pewnie nie mo?e si? upora? z "syfem" kt?ry si? utworzy? na komputerze, lub nie mo?e sobie poradzi? z wirusami.
Oferuj? sprawdzanie log?w ca?ego komputera pod kontem wirus?w jak i pod kontem usuwania zb?dnych ?mieci, kt?re nie s? widoczne na pierwszy rzut oka! Czasami wydaje Ci si?, ?e wszystko jest dobrze, ale mo?e by? ca?kiem inaczej!
Aby da? sw?j log do sprawdzenia wystarczy tylko przestrzega? tych kilku punkt?w:




1. Wklejanie log?w; nale?y je wykona? od razu przynajmniej z dw?ch narz?dzi:

You do not have permission to view link please Log in or Register

oraz z

You do not have permission to view link please Log in or Register

2. OTL nale?y ustawi? wed?ug tego screena:

You do not have permission to view link please Log in or Register

3. Wszelkie logi prosz? publikowa? na stronie

You do not have permission to view link please Log in or Register

a w po?cie wkleja? tylko link.
4. Nie mo?na skra? log?w, nale?y wklei? ca?y - od pocz?tku, do ko?ca.
5. Nie mo?na podczepia? si? pod posty innych u?ytkownik?w.
6. Osoby nie posiadaj?ce odpowiedniej wiedzy, nie powinny sprawdza? log?w, poniewa? grozi to powa?nym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Nale?y dok?adnie opisa? problem, wyst?puj?ce objawy oraz wszelkie podj?te wcze?niejsze dzia?ania.
8. Ka?dy skrypt jest unikatowy, napisany dla ka?dego przypadku z osobna, wi?c nie mo?e by? stosowany przez innych!
9. W przypadku umieszczania zrzut?w ekranu, nale?y umieszcza? zdj?cia na hosting

You do not have permission to view link please Log in or Register

10. Tylko dwie osoby jednocze?nie mog? zg?osi? si? do sprawdzenia logu, kolejne osoby musz? czeka? a? poprzednie logi zostan? sprawdzone.
11. Regulamin mo?e ulec zmianie.

Notka moderatorska:

Temat przyklejam

 

[Czarek]

Odp: Sprawdzanie log?w komputera

You do not have permission to view link please Log in or Register

 

[Grzechu]

Odp: Sprawdzanie log?w komputera

Powinien by? jeszcze jeden plik extras.txt
Odinstaluj HyperCam Toolbar
a nast?pnie:

uruchom OTL -> w oknie W?asne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 
O18:[b]64bit:[/b] - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found 
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found 
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:15024E60
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:B88E99C8
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:A724744F 
:Files
C:\Program Files (x86)\HyperCam Toolbar\tbhelper.dll
C:\Users\Czarro\AppData\Local\Temp*.html
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AQQ"=-
"EA Core"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EeeStorageBackup"=-
"Boingo Wi-Fi"=-
"Setwallpaper"=-
"UpdateLBPShortCut"=-
:Commands
[clearallrestorepoints]
[emptytemp]

Wykonujesz i dajesz log z usuwania + nowe logi

 

[Czarek]

Odp: Sprawdzanie log?w komputera

You do not have permission to view link please Log in or Register

 

[Grzechu]

Odp: Sprawdzanie log?w komputera

Podaj jeszcze nowe logi ?eby zobaczy? czy jeszcze co? zosta?o.

 

[Czarek]

Odp: Sprawdzanie log?w komputera

You do not have permission to view link please Log in or Register

 

[Grzechu]

Odp: Sprawdzanie log?w komputera

Ok, reszt? infekcji ju? usun??o
Wklej jeszcze tylko

:OTL

IE - HKCU\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} -  File not found 
O33 - MountPoints2\{b776e8b1-6ff8-11df-ab81-e0cb4e2d90d0}\Shell - "" = AutoRun 
:Commands
[clearallrestorepoints]
[emptytemp]

Wykonaj ten skrypt i daj w OTL sprz?tanie.
Przeczy?? rejestr Ccleaner a nast?pnie wykonaj skanowanie programem Malwarebytes' Anti-Malware, je?li co? Ci znajdzie to daj log.


1000 post

 

[Xemorin]

Odp: Sprawdzanie log?w komputera

Zobaczymy co z tego wyjdzie
Daj? tylko z otl:
otl.txt -

You do not have permission to view link please Log in or Register

extras.txt -

You do not have permission to view link please Log in or Register

 

[DevLord]

Odp: Sprawdzanie log?w komputera

otl.exe -

You do not have permission to view link please Log in or Register

extras.txt -

You do not have permission to view link please Log in or Register

 

[Grzechu]

Odp: Sprawdzanie log?w komputera

@Xemorin
Odinstaluj star? wersj?

Java(TM) 6 Update 24

I zainstaluj najnowsz? -->

You do not have permission to view link please Log in or Register

uruchom OTL -> w oknie W?asne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin]  File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin]  File not found 
O18:[b]64bit:[/b] - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found 
O20:[b]64bit:[/b] - HKLM Winlogon: VMApplet - (/pagefile) -  File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found 
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. 

:Files
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-575350112-1511477599-4067235789-1001UA.job 
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-575350112-1511477599-4067235789-1001Core.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-575350112-1511477599-4067235789-1001UA.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-575350112-1511477599-4067235789-1001Core.job 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=-
"mctadmin"=-

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

 

[Grzechu]

Odp: Sprawdzanie log?w komputera

@DevLord
Odinstaluj dodatek DAEMON Tools Toolbar,GoogleToolBar

Odinstaluj

Java(TM) 6 Update 24

I zainstaluj najnowasz? wersj?

You do not have permission to view link please Log in or Register

uruchom OTL -> w oknie W?asne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm 
IE - HKU\S-1-5-21-1796864937-2404368892-1937905336-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=16621&l=dis&gct=hp
O20:[b]64bit:[/b] - HKLM Winlogon: VMApplet - (/pagefile) -  File not found 

:Files
C:\Users\Pjotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk
C:\Users\Pjotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoogleToolBar.lnk 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

 

[Xemorin]

Odp: Sprawdzanie log?w komputera

To tak:
log z usuwania:

You do not have permission to view link please Log in or Register

otl.txt:

You do not have permission to view link please Log in or Register

extras.txt:

You do not have permission to view link please Log in or Register

 

[ErMex]

Odp: Sprawdzanie log?w komputera

Skoro DevLord ju? raczej zako?czy? swoj? misje to moja kolej.

You do not have permission to view link please Log in or Register

You do not have permission to view link please Log in or Register

Skanowanie programem GMER ( nie ca?o?? bo za d?ugo to trwa?o):

You do not have permission to view link please Log in or Register

 

[Grzechu]

Odp: Sprawdzanie log?w komputera

@Xemorin
Jest ju? dobrze (usun??o Ci 1,7GB ?mieci)
Ale:
Przeczy?? dysk oraz rejestr

You do not have permission to view link please Log in or Register

oraz wykonaj pe?ne skanowanie

You do not have permission to view link please Log in or Register

- je?li co? znajdzie usu? i daj raport.

@ErMex
Masz infekcje.
1. HiJackThis nie u?ywaj bo ten program nadaje si? do muzeum.
2.
Odinstaluj

Java(TM) 6 Update 24

I zainstaluj najnowasz? wersj?

You do not have permission to view link please Log in or Register

uruchom OTL -> w oknie W?asne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
O3 - HKU\S-1-5-21-1229272821-1326574676-839522115-1005\..\Toolbar\WebBrowser: (SHOUTcast Radio Toolbar) - {0457331D-8CA6-4F97-9C26-6A9EF2B2DBA8} - C:\Program Files\SHOUTcast Radio Toolbar\shoutcasttb.dll (AOL LLC)
O3 - HKU\S-1-5-21-1229272821-1326574676-839522115-1005\..\Toolbar\WebBrowser: (&Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll (Yahoo! Inc.)
[2011-04-15 13:05:02 | 000,000,000 | ---D | C] -- C:\3c2ba3ba5871a290b61d407714

:Files
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1229272821-1326574676-839522115-1005UA.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1229272821-1326574676-839522115-1004UA.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1229272821-1326574676-839522115-1004Core.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1229272821-1326574676-839522115-1005Core.job


:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

 

[DevLord]

Odp: Sprawdzanie log?w komputera

wynik:

You do not have permission to view link please Log in or Register

otl.txt:

You do not have permission to view link please Log in or Register

extras.txt:

You do not have permission to view link please Log in or Register

jeszcze dodam log z gmer:

You do not have permission to view link please Log in or Register

 

[Grzechu]

Odp: Sprawdzanie log?w komputera

@DevLord
Jeszcze nie wszystko usun??o
uruchom OTL -> w oknie W?asne opcje skanowania/skrypt wklej:

:OTL

O3:[b]64bit:[/b] - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3:[b]64bit:[/b] - HKU\S-1-5-21-1796864937-2404368892-1937905336-1001\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found 
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin]  File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin]  File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. 

:Commands
[emptytemp]

Klikasz w OTL sprz?tanie a nast?pnie przeczy?? dysk oraz rejestr

You do not have permission to view link please Log in or Register

oraz wykonaj pe?ne skanowanie

You do not have permission to view link please Log in or Register

- je?li co? znajdzie usu? i daj raport.

 

[Xemorin]

Odp: Sprawdzanie log?w komputera

@Xemorin
Jest ju? dobrze (usun??o Ci 1,7GB ?mieci)
Ale:
Przeczy?? dysk oraz rejestr

You do not have permission to view link please Log in or Register

oraz wykonaj pe?ne skanowanie

You do not have permission to view link please Log in or Register

- je?li co? znajdzie usu? i daj raport.

Jedno dziadostwo ;p

Zainfekowanych plik?w:
c:\Users\Xemorin\downloads\ventrilo-2.1.4-windows-i386.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Dzi?ki za pomoc i proponuj? usun?? moje posty (usuwa? wszystkie rozwi?zane posty, ?eby by? porz?dek w temacie )

Notka moderatorska:

Co jaki? czas b?d? czy?ci? temat

 

[Dtp]

Odp: Sprawdzanie log?w komputera

You do not have permission to view link please Log in or Register

You do not have permission to view link please Log in or Register

 

[Grzechu]

Odp: Sprawdzanie log?w komputera

@Xemorin
Mo?esz oczy?ci? kwarantann?.

@Dtp
Jest infekcja i to dosy? nie ciekawa. Ale damy rad?
Odinstaluj pierwsze co to:

Ask Toolbar,Skype Toolbars

Nast?pnie uruchom OTL -> w oknie W?asne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
O20 - Winlogon\Notify\LogonInit: DllName - logonInit.dll - C:\Program Files\Common Files\logonInit.dll () 
[2011-04-15 22:09:11 | 000,000,228 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job 
[2011-05-08 14:05:25 | 000,002,437 | ---- | C] () -- C:\Documents and Settings\AS\Pulpit\HiJackThis.lnk
[2011-05-08 14:05:07 | 001,402,880 | ---- | C] () -- C:\Documents and Settings\AS\Pulpit\HiJackThis.msi 

:Files
C:\Program Files\LOLReplay\LOLRecorder.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"WinampAgent"=-

:Commands
[emptytemp]
[clearallrestorepoints]
[resethosts]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Dodatkowo ?ci?gnij ten program:

You do not have permission to view link please Log in or Register

wykonaj skanowanie i daj logi z niego po skanowaniu.

 

[Dtp]

Odp: Sprawdzanie log?w komputera

You do not have permission to view link please Log in or Register

jak da? logi z tego ostatniego skanowania?