proszę o sprawdzenie loga

IP: *.kolornet.pl 28.03.08, 23:13
Cześć,
Avast znalazł i zablokował trojany, win32:small-DQT, win32DNSCharger-
KR, win32Obfuscated-EHL, win32Agent-QOV, które usunałem je w trybie
awaryjnym oraz spybotem zmiany rejestru od coolWWWsearchLeftovers i
win32Agent.bid rownież w awaryjnym.
Teraz te programy juz nic nie znajdują ale komputer jakoś niemrawo
chodzi i nie wiem czy aby wszystko jest już ok
log z dss wklej.org/id/16357e098b
Pozdrawiam
    • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 29.03.08, 15:50
      Daj log z SDFix zrobiony w trybie awaryjnym, nastepnie uzyj combofix i tez daj log.
      • Gość: Jurek Re: proszę o sprawdzenie loga IP: *.kolornet.pl 29.03.08, 21:15
        trochę to trwało ale już mam te logi
        sdfix - wklej.org/id/3e94634b48
        combofix - wklej.org/id/d5d6129c70
        dzieki za zainteresowanie :)
        • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 30.03.08, 03:23
          Utworz na pulpicie plik CFScript.txt i wklej do niego:

          File::
          C:\WINDOWS\system32\winservcs64.dll
          C:\WINDOWS\system32\mmax_goog.ini
          C:\WINDOWS\system32\sappwqrr.tmp
          C:\WINDOWS\system32\cisvc.exe.tmp

          Driver::
          Kor70
          MsBrowseSrv4

          Registry::
          [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Kor70.sys]
          [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Twa13.sys]

          Zapisz i przeciagnij go na ikone combofix.exe, po uzyciu daj log.
          Nie zaszkodzi tez skan przy pomocy SuperAntiSpyware.

          • Gość: Jurek Re: proszę o sprawdzenie loga IP: *.kolornet.pl 30.03.08, 12:26
            Zrobiłem zgodnie z podaną instrukcją :)
            oto nowy log z combofix www.wklej.org/id/d008ea424c
            przeskanowałem również SUPERAntiSpyware i znalazł "tylko" cookie
            które usunąłem.
            Pozdrawiam
            • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 30.03.08, 16:19
              Wpisz w uruchom:
              sc stop MsBrowseSrv4
              oraz:
              sc delete MsBrowseSrv4

              Nastepnie zobacz czy z nowego log'a z combofix zniknela ta linijka:
              HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
              MsBrowseSrv4
              • Gość: Jurek Re: proszę o sprawdzenie loga IP: *.kolornet.pl 30.03.08, 21:03
                zrobiłem jak mówiłeś ale niestety nie znikneła ta linijka z rejestru
                załączam aktualny log z combofix - www.wklej.org/id/1b98479519
                Pozdrawiam
                • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 30.03.08, 21:33
                  Uruchom regedit, przejdz do: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost\NetSvcs, odszukaj tam: MsBrowseSrv4 i usun.
                  Jak nie bedzie to uzyj szukaj w rejestrze i znajdz wpisy z MsBrowseSrv4 i podaj co znalazlo.
                  • Gość: Jurek Re: proszę o sprawdzenie loga IP: *.kolornet.pl 30.03.08, 23:52
                    w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
                    NT\CurrentVersion\Svchost\NetSvcs nie znalazłem żadnego wpisu
                    MsBrowseSrv4 - co prawda jest nieco inna nazwa klucza rejestru,
                    różnica to pisownia SvcHost oraz netsvcs, ale i tak nie ma
                    MsBrowseSrv4 natomiast przy netsvcs jest taki wpis:
                    6to4 AppMgmt AudioSrv Browser CryptSvc DM Server DHCP ERSvc
                    EventSystem FastUserSwitchingCompability HidServ Ias Iprip Irmon
                    LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWor...

                    Z funkcji szukaj w rejestrze MsBrowseSrv4 komputer znajduje właśnie
                    ten wpis który wyżej napisałem, z tym że to jest jedna pozycja z 9,
                    tak więc nie wiem co jeszcze mógłbym dodać :(
                    Pozdrawiam
                    • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 31.03.08, 07:36
                      Klikasz dwa razy na netsvcs, otworzy sie lista tych 9 uslug. Usuwasz tam MsBrowseSrv4 i to wszystko.
                      Wczesniej zrob kopie rejestru ;-)
                      • Gość: Jurek Re: proszę o sprawdzenie loga IP: *.kolornet.pl 01.04.08, 00:29
                        Otóż to chyba nie tak będzie :(
                        bo jak rozwijasz drzewko rejestru i klikniesz na plus przy SvcHost
                        to rozwinie sie lista 6 folderów i jednym z nich jest netsvcs, jak
                        go kliknę to pokazują się 3 pozycje ale w nich nie ma MsBrowseSrv4
                        Natomiast jak klikniesz na folder SvcHost to wówczas pokazuje się
                        lista 9 pozycji wśród których ponownie jest netsvcs a jako jego dane
                        występuje ta długa nazwa przytoczona wcześniej w poprzednim poście i
                        tam nie ma MsBroweSrv4 - ale korzystając z funkcji -znajdź- to
                        właśnie na ten wiersz pokazuje komputer

                        A żeby jeszcze bardziej to skomplikować (sorry) to dzisiaj
                        spojrzałem do firmowego komputera i regedit itd. i jego rejestr
                        wygląda identycznie jak w moim komputerze. Nie mogę zrobić logu
                        combofix w firmowym kompie bo nie mam uprawnień admina.
                        Ale musze przyznać że całkowicie zgłupiałem, nic nie usunąłem ze
                        swojego rejestru, zrobiłem log combofix i nadal występuje ten wpis w
                        rejestrze
                        a oto ten log - www.wklej.org/id/45b532921c
                        Pozdrawiam

                        • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 01.04.08, 09:11
                          W takim razie mozesz to zostawic, uslugi i tak juz nie ma.
                          Nie jest to usluga systemowa, a i google takiej nie zna, wiec nie wyglada na "dobra".
                          • Gość: Jurek Re: proszę o sprawdzenie loga IP: *.kolornet.pl 01.04.08, 19:11
                            Ok, dziękuje za pomoc i poświęcony czas :))
                            i w takim razie jeszcze jedno pytanie, do tej pory korzystałem z
                            Avasta i nie narzekam oraz Spybota,
                            natomiast Ty zaleciłeś mi czyszczenie SDFixem i ComboFixem a także
                            skanowanie SUPERAntiSpyware.
                            W związku z tym moje pytanie, którego programu używać do spywarów?
                            Pozdrawiam
                            • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 01.04.08, 20:08
                              Zostaw avast + spybot + superantispyware tylko do skanowania co jakis czas.
                              • Gość: Jurek Re: proszę o sprawdzenie loga IP: *.kolornet.pl 01.04.08, 21:11
                                Ok, raz jeszcze dziękuje za pomoc i cenne rady :))
                                Pozdrawiam Jurek
    • Gość: Karolina Re: proszę o sprawdzenie loga IP: 212.87.241.* 19.05.08, 21:23
      Bardzo prosze o sprawdzenie loga.

      up.wklej.org/download.php?id=7a9e5de95f737b31cb6dfe05b616e644
      • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 19.05.08, 21:44
        Podlacz zainfekowany pendrive I:
        Utworz na pulpicie plik CFScript.txt i wklej do niego:

        File::
        E:\Autorun.inf
        E:\vy.cmd
        F:\Autorun.inf
        F:\vy.cmd
        G:\vy.cmd
        G:\Autorun.inf
        I:\vy.cmd
        I:\autorun.inf

        Registry::
        [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}]
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81a399c8-c070-11dc-9225-001e8c5db306}]
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8a51926e-af36-11dc-920a-001e8c42df75}]
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d27a4e20-b254-11dc-920f-001e8c42df75}]

        Zapisz i przeciagnij go na ikone combofix.exe
        Zabezpiecz sie tez na przyszlosc:
        www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html
        Uzyj Flash Disinfector oraz zablokuj dostep do mountpoints2 (opis masz na samym dole podanej strony).
Pełna wersja