Komputer zainfekowany Confickerem

[Jokeyy]

Witam!

Zostałem przekierowany tutaj z innego forum na którym po pewnym czasie odmówiono mi pomocy, powodem było wystąpienie informacji o keygenie z w jednej z linijek log-u. Pewien użytkownik poprzedniego forum polecił mi tą stronę.

Wkleję pierwszy post z wcześniejszego forum aby wprowadzić was w temat, więc tak:

 

 

 

 

Mam wielką prośbę do wprawionych użytkowników tego forum. Mam problem tego typu, że parę dni temu przeinstalowałem cały system, powodem była wolna praca PC-ka, ale dzisiaj mój ojciec podłączył telefon do komputera na którym prawdopodobnie były jakiś program szpiegujący. Myślę tak dlatego że nie mogę ustawić opcji "Pokaż ukryte pliki i foldery" w ustawieniach folderów oraz pojawiły się dziwne elementy startowe w narzędziu konfiguracji systemy.

Czytałem trochę o tym i mam podejrzenia do takich plików jak:

- ctfmon.exe

- hkcmd.exe

- igfxtray.exe

- oodtray.exe

- igfxpres.exe

 

Wszystkie te pliki znajdują się w folderze C:\WINDOWS\system32\ co będzie widoczne w logach które udostępnię.

 

Chciałbym również zaznaczyć że korzystam z serwerów umożliwiających grę online i najbardziej obawiam się programów szpiegujących które w jakiś sposób mogłyby podkraść moje hasła.

 

Do skanowania użyłem programu poleconego przez moderatora tego forum, czyli OTL.

 

Oto moje logi.

 

-OTL.txt LOG - http://www.wklej.org/id/792820/

-Extras.Txt LOG - http://www.wklej.org/id/792836/

 

Prosiłbym o pomoc w prostym języku bo wcześniej mało interesowałem się tego typu rzeczami.

Z góry dziękuję.

 

 

 

W tej chwili chciałbym tylko i wyłącznie się dowiedzieć czy posiadam tak zwane "keyloggery" które ukradły by mi hasło do różnych serwerów np: gier. Jeżeli nie, to nie oczekuje na dalszego leczenie komputera, lecz w innym wypadku prosiłbym o pełną pomoc.

 

Oto moje logi:

 

Gamer-Log http://wklej.org/id/793378/

OTL-Log http://wklej.org/id/793379/

Extras-Log http://wklej.org/id/793382/

 

Zzz programu SecurityCheck.exe nie mogę podać log-a bo wyrzuca mi pewnego rodzaju błąd w konsoli i tak szybko wyłącza się program, że nie jestem w stanie przeczytać błedu.

[Landuss]

Wyjaśnienie w kwestii tego:

 

Czytałem trochę o tym i mam podejrzenia do takich plików jak:

- ctfmon.exe

- hkcmd.exe

- igfxtray.exe

- oodtray.exe

- igfxpres.exe

 

Wszystkie te pliki znajdują się w folderze C:\WINDOWS\system32\ co będzie widoczne w logach które udostępnię.

 

To wszystko nie są szkodliwe obiekty

 

hkcmd.exe + igfxtray.exe + igfxpres.exe = procesy Intela

ctfmon.exe = zaawansowane ustawienia językowe

oodtray.exe = proces od O&O Defrag

 

 

Jesli chodzi o logi to rzeczywiście jest tutaj Conficker w stanie aktywnym.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - [2008-01-28 23:19:09 | 000,170,182 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\aunbdic.dll -- (hkmfnyny)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Jokeyy]

Dziękuję, na poprzednim forum już mnie powiadomiono, że obiekty te nie są szkodliwe.

 

Mam pewien problem, program OTL prawdopodobnie nie może wykonać skryptu. Wcześniej udawało mu się w przeciągu 30 sekund a teraz pozostawiłem komputer włączony przez 20 minut i nic. Jakaś propozycja ?

[Landuss]

Sprawdź w trybie awaryjnym.

[Jokeyy]

Wykonanie skryptu w trybie awaryjnym przebiegło pomyślnie.

 

Log OTL (Skrypt) - http://wklej.org/id/793719/

 

Log AdwCleaner - http://wklej.org/id/793717/

 

Log OTL (Skan) - http://wklej.org/id/793716/

[Landuss]

Skrypt poprawnie wykonany a infekcja wydaje się być usunięta. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

Internet Explorer (Version = 7.0.5730.13)"

{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java 6 Update 4

"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

"Mozilla Thunderbird (2.0.0.9)" = Mozilla Thunderbird (2.0.0.9)

 

Szczegóły aktualizacyjne: KLIK

 

4. Wykonaj skan za pomocą Malwarebytes Anti-Malware. Jeśli coś znajdzie daj znać.

[Jokeyy]

Wszystkie czynności wykonane prawidłowo, programy zaktualizowane, Service Pack 3 wgrany.

 

Log z Malwarebytes Anti-Malware (Skan) http://wklej.org/id/794076/

 

Nie jestem pewny czy te 3 wykryte elementy są szkodliwe, czy też nie.

[Landuss]

To nie jest szkodliwe. Temat jako rozwiązany zamykam.