dexterix
23 Kwiecień 2013 19:41
#1
Witam,
no i dopadło mnie, takiego ostrożnego, (nie)rozgarniętego.
Historia:
W skrócie: na maila dostałem fajny załącznik i chciałem zobaczyć, co to jest
Do rzeczy logi z OTL:
http://www.wklej.org/id/1020782/ OTL.txt
http://wklej.org/id/1020783/ Extras.txt
Atis
23 Kwiecień 2013 19:53
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\vNICdrv.sys – (vNICdrv) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP3\WNt500x86\Sandra.sys – (SANDRA) DRV - File not found [Kernel | On_Demand | Unknown] – C:\ComboFix\mbr.sys – (mbr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lgvmodem.sys – (LGVMODEM) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lgbtbus.sys – (lgbusenum) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lgbtport.sys – (LgBttPort) DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\IT9135BDA.sys – (IT9135BDA) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\ftser2k.sys – (FTSER2K) DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\ftdibus.sys – (FTDIBUS) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\D820\USTAWI~1\Temp\cpuz130\cpuz_x32.sys – (cpuz130) DRV - File not found [Kernel | On_Demand | Unknown] – C:\TEMP\catchme.sys – (catchme) IE - HKLM…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.helperbar.com/?publisher=OP … c=lnkry&q={searchTerms} [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O4 - HKU\S-1-5-21-776561741-413027322-515967899-1003…\Run: [{418FEC60-9D17-CA31-FFB3-EDBD43AAA978}] “C:\Documents and Settings\D820\Dane aplikacji\Oxxav\obqovex.exe” File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 50736 = c:\docume~1\alluse~1\dxsbunwmo.exe () :Files C:\Documents and Settings\D820\Dane aplikacji\Okkytiu C:\Documents and Settings\All Users\dxsbunwmo.exe C:\Documents and Settings\D820\Dane aplikacji\Oxxav :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
dexterix
23 Kwiecień 2013 20:58
#3
Raport: http://www.wklej.org/id/1020845/
skan: http://www.wklej.org/id/1020898/
Dobra, w nocy pogrzebałem trochę w trybie awaryjnym, ale w końcu poszedłem spać.
Robię właśnie kolejny skan OTL i zobaczymy co podziałałem.
Atis
23 Kwiecień 2013 22:08
#4
Pobierz i uruchom The Avenger
Do okna programu wklej:
Kliknij w Execute i zatwierdź restart.
Pokaż raport z usuwania i nowy log z OTL.
dexterix
24 Kwiecień 2013 08:29
#5
Tak jak napisałem w poprzednim poście (albowiem, nie zauważyłem odpowiedzi): w nocy pogrzebałem trochę w trybie awaryjnym.
Skutki moich działań:
http://www.wklej.org/id/1021075/ OTL.log
PS. Są jakieś parsery tych logów, czy linijka po linijce trzeba analizować samemu?
@Atis : A Ty kiedykolwiek śpisz?
Atis
24 Kwiecień 2013 08:56
#6
Nadal masz szkodliwy plik w autostarcie.
dexterix
24 Kwiecień 2013 09:24
#7
Usunąłem go ręcznie, zobaczymy wieczorem, czy powróci.
Możesz udzielić mi odpowiedzi na pytanie z poprzedniego postu na temat analizy logów?
I tak dla Ciebie Atis:
Dziękuję za udzieloną pomoc.
i jestem pod wrażeniem Twojej wiedzy.
Pozdrawiam
Atis
24 Kwiecień 2013 10:06
#8
dexterix
24 Kwiecień 2013 11:29
#9
Dziękuję. Wątek chwilowo wyczerpany, żadnych komunikatów na temat niebezpiecznych działań.
Można zamknąć.
(myśląc, że skoro na stacjonarce mam Avasta i jest tam sandbox, to na laptopie jak mam też Avasta nic mi nie grozi). Niestety okazało się, że sandobox na stacjonarce niestety jest tylko w CIS, którego na laptopie nie mam 