Mam podejrzenie infekcji na jednym ze sprzętów z Win 7. Problemy z Outllokiem i drukarką.
Nie mam do niego bezpośredniego dostępu, łączę się zdalnie.
Co zrobiłem
- eset online scanner livecd - ok
- malwarebytes antimalware, zostawiłem do rana ale użytkownik powiedział, że komputer musiał uruchomić ponownie (nie brak zasilania, bsod itp sprawy) więc nie wiem jaki mógł być wynik, sprawdzę czy zostały jakieś logi
- logi OTL'a
Logi zbyt długawe więc w formie załączników do obejrzenia
[
attachment=5123]
[
attachment=5124]
Witam
W "OTL" wklej:
Cytat::OTL
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [] File not found
O4 - HKCU..\Run: [MobileDocuments] C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe File not found
O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O30 - LSA: Authentication Packages - (wvauth) - File not found
:Commands
[emptytemp]
Wykonaj skrypt,pokaż raport z usuwania.Użyj tez darmowego "ADWCleaner" w opcji "Delete".Raport z tego też pokaż.
Co do łączności to masz błąd:
Kod:
[ System Events ]
Error - 2012-11-20 11: 49: 39 | Computer Name = Al-Win7.ALBOKT.al-bo.com.pl | Source = NETLOGON | ID = 5719
Description = Ten komputer nie może skonfigurować zabezpieczonej sesji z kontrolerem
domeny
w domenie ALBOKT z następującego powodu: %%1311 To może powodować problemy z uwierzytelnianiem.
Upewnij się, że ten komputer jest podłączony do sieci. Jeżeli problem się nie rozwiąże,
skontaktuj
się z administratorem domeny. INFORMACJE DODATKOWE Jeżeli ten komputer jest kontrolerem
domeny dla określonej domeny, konfiguruje zabezpieczoną sesję z emulatorem podstawowego
kontrolera domeny w określonej domenie. W przeciwnym przypadku komputer może skonfigurować
zabezpieczoną sesję z dowolnym kontrolerem domeny w określonej domenie.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Error - 2012-11-21 02: 39: 00 | Computer Name = Al-Win7.ALBOKT.al-bo.com.pl | Source = Microsoft-Windows-GroupPolicy | ID = 1058
Description = Przetwarzanie zasad grupy nie powiodło się. System Windows usiłował
odczytać plik \\ALBOKT.al-bo.com.pl\sysvol\ALBOKT.al-bo.com.pl\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini
z kontrolera domeny, ale operacja ta nie powiodła się. Ustawienia zasad grupy nie
będą stosowane do czasu rozwiązania tego problemu. Ten problem może być przejściowy
i mógł zostać spowodowany wystąpieniem co najmniej jednej z następujących przyczyn:
a)
Problem z rozpoznawaniem nazw lub z łącznością sieciową z bieżącym kontrolerem
domeny. b) Opóźnienie usługi replikacji plików (plik utworzony na innym kontrolerze
domeny nie został jeszcze zreplikowany w bieżącym kontrolerze domeny). c) Klient
rozproszonego systemu plików (DFS) jest wyłączony.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
[ OSession Events ]
Error - 2011-11-30 17: 49: 47 | Computer Name = Al-Win7.ALBOKT.al-bo.com.pl | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
12.0.6607.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 43
seconds with 0 seconds of active time. This session ended with a crash.
Także problem nie koniecznie leży po stronie infekcji,ale zobaczymy.Odszukaj w usługach usługę ""Menedżer kont zabezpieczeń" i spróbuj ustawić na "automatyczny".może pomoże