Znajoma poprosiła mnie o sprawdzenie komputera, który często gubi połączenie z internetem. W załączeniu logi OTL, proszę o ich analizę.
OTL-txt. http://wklej.to/lzreV
Extras. http://wklej.to/yd0pU
Komputer miał kilku użytkowników.
Nie podobają mi się np wpisy:
[2012-07-17 19:10:27 | 000,439,326 | ---- | M] () – C:\WINDOWS\System32\perfh015.dat [2012-07-17 19:10:27 | 000,383,254 | ---- | M] () – C:\WINDOWS\System32\perfh009.dat [2012-07-17 19:10:27 | 000,068,334 | ---- | M] () – C:\WINDOWS\System32\perfc015.dat [2012-07-17 19:10:27 | 000,053,608 | ---- | M] () – C:\WINDOWS\System32\perfc009.dat
Atis
17 Lipiec 2012 20:18
#2
System tworzy takie pliki i nie są szkodliwe.
W logu widać pozostałość po innej infekcji:
Odinstaluj DAEMON Tools Toolbar.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – C:\WINDOWS\system32\sshnas21.dll – (SSHNAS) IE - HKU\S-1-5-21-507921405-1275210071-1801674531-1003…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search?q={searchTerms} O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKU\S-1-5-21-507921405-1275210071-1801674531-1003…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-507921405-1275210071-1801674531-1003…\Run: [] File not found O4 - HKU\S-1-5-21-507921405-1275210071-1801674531-1003…\Run: [ALLUpdate] “E:\ALLPlayer\ALLUpdate.exe” “sleep” File not found O4 - HKU.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found [2012-07-17 19:42:00 | 000,000,282 | -H-- | M] () – C:\WINDOWS\tasks{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
Dziękuję za pomoc. Do tematu powrócę jutro. Raporty wysłałem z innego komputera.
– Dodane 19.07.2012 (Cz) 9:03 –
Raport z usuwania - http://wklej.to/QO3hq
Nowy raport OTL - http://wklej.to/0CVMP
Raport po poleceniu
netsvcs
%systemroot%\Tasks*.job
Komputer pracuje stabilnie. Kobieta zrobiła dodatkowo skan mbam. Wiem że wskazał jej na obecność trojan downloadera. Nie zapisała raportów. Kwarantanna przy mbam pusta.
– Dodane 19.07.2012 (Cz) 11:38 –
Raporty po czyszczeniu i pozostałe w zalznikach
– Dodane 19.07.2012 (Cz) 11:38 –
powinno być w załącznikach