Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety •
Proszę o sprawdzenie logu - Wersja do druku

+- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl)
+-- Dział: Pomoc i wsparcie, Windows 7 (/pomoc-i-wsparcie-windows-7-26-f)
+--- Dział: Bezpieczeństwo Windows 7 (/bezpieczenstwo-windows-7-15-f)
+---- Dział: Logi (/logi-54-f)
+---- Wątek: Proszę o sprawdzenie logu (/prosze-o-sprawdzenie-logu-45431-t)

Proszę o sprawdzenie logu - kyuba - 21.05.2015 09:50

Witam, czy mógłbym prosić o sprawdzenie logów z OTL-a, ESET wykrył trojana w pamięci operacyjnej w pliku "verclsid.exe", trojan nazywa się TIBIAN.BI i prawdopodobnie dostał się do systemu poprzez otwarcie meila od Oranege z rachunkiem (takie mam podejrzenie). Przeskanowałem AdwClener-em, MBAM-em, Microsoft Safety Scaner-em niestety totalnie nic nie wykryły. Podczas ponownego rozruchu Trojan tworzy kolejne konto użytkownika o nazwie np. "vykiwr", można je oczywiście bez problemu usunąć przez panel sterowania ale niestety przy kolejnym rozruchu powstaje nowe. Dodatkowo osoba, która korzysta z tego laptopa ma za każdym razem blokowane konto w banku jeżeli tylko próbuje zalogować się na swoje konto z tego sprzętu.

OTL
EXTRAS

RE: Proszę o sprawdzenie logu - LadyInBlue - 21.05.2015 10:15

Eh, nie chcę być niegrzeczna, ale logowanie się do banku z komputera zainfekowanego trojanem nie jest zbyt inteligentnym pomysłem.
Spróbuj przeskanować komputer MBAM w Trybie awaryjnym. Co ESET zrobił z tym trojanem poza wykryciem go?

RE: Proszę o sprawdzenie logu - kyuba - 21.05.2015 10:42

(21.05.2015 10:15)LadyInBlue napisał(a):  Eh, nie chcę być niegrzeczna, ale logowanie się do banku z komputera zainfekowanego trojanem nie jest zbyt inteligentnym pomysłem.
Spróbuj przeskanować komputer MBAM w Trybie awaryjnym. Co ESET zrobił z tym trojanem poza wykryciem go?

Tak wiem że jest to bardzo głupi pomysł, ta osoba na razie nie będzie się logować z tego sprzętu. Z tego co pamiętam ESET "wyleczył przez usunięcie". Przy następnym skanowaniu już go niby nie wykryło. Spróbuje tak zrobić, AdwCleanera użyłem w awaryjnym i nic się nie zmieniło, ale MBAM-em nie skanowałem. Sprawdzę to.

Niestety nic to nie dało, nie wykryło nic w awaryjnym, niechciane konto znów się pojawiło.

Tutaj zrzut dziennika po pierwszym skanowaniu kiedy go wykryło...Dziennik

RE: Proszę o sprawdzenie logu - Illidan - 22.05.2015 00:49

Otwórz "OTL" i wklej do niego w pole "Własne opcje skanowania/Skrypt":
Cytat::OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3063278546-238571592-3901492956-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

:Commands
[emptytemp]
Wykonaj skrypt i po restarcie pokaz raport z usuwania.pokaż tez log z skanu MBAM i dodatkowo przeskanuj system "RK".pokaż log.
Java i Skype do aktualizacji.

RE: Proszę o sprawdzenie logu - kyuba - 24.05.2015 18:11

Raport z usuwania OTL: OTL

Log MBAM-a: MBAM

Log RK: Log RK

Z RK nic nie usunąłem. Czekam za informacją od Ciebie.

RE: Proszę o sprawdzenie logu - Illidan - 24.05.2015 22:15

Ok,W "OTL" dobrze,W "RK" wszystko usuń i pokaż raport z usuwania.potem oceń jak działa system.