exik Opublikowano 29 Stycznia 2013 Zgłoś Udostępnij Opublikowano 29 Stycznia 2013 Czołem Panowie, witam Panie! "Avka" notorycznie co kilka dni automatycznie uruchamia jakiś skan i wyświetla komunikat o jakimś ukrytym procesie w pamięci, który coś... może modyfikować system lub być wirusem - Coś w tym stylu. Gdzieś zapodziałem screena niestety ale mam log. Sytuacja ma miejsce na systemie xp, na 7 też jest co jakiś czas auto-skan ale nie ma żadnych alertów. Prosze o pomoc bo już nie wiem co z tym zrobić. Cały czas niby prosi o restart w celu chyba usunięcia ale na nic... Myslałem też że błędnie odczytuje definicje MBAMa ale po jego usunięciu problem się powtarzał... Przejdźmy do sedna - Logi avira "auto-skan" http://wklej.org/id/940607/ + screen http://www.fotosik.pl/pokaz_obrazek/pel ... 7f538.html otl.txt http://wklej.org/id/940608/ extras.txt http://wklej.org/id/940610/ gmer - log http://wklej.org/id/940614/ PS. Jeszcze tu kiedyś po aktualizacji "windy" zastałem dziwny monit: http://www.fotosik.p...4026deaba6.html Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2013 Zgłoś Udostępnij Opublikowano 29 Stycznia 2013 W logach nie notuję infekcji. Avka" notorycznie co kilka dni automatycznie uruchamia jakiś skan i wyświetla komunikat o jakimś ukrytym procesie w pamięci Hidden driver [NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts. Może to aktywność sterownika zabezpieczenia StarForce: DRV - [2005-12-12 20:12:01 | 000,049,664 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfsync04.sys -- (sfsync04) Zrób test: uruchom Autoruns, w karcie Drivers odptaszkuj uruchamianie sfsync04 i zresetuj system. Obserwuj czy komunikat o ukrytym sterowniku nadal jest zgłaszany. . Odnośnik do komentarza
exik Opublikowano 29 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2013 Dobrze pobiorę autoruns'a, odhaczę sfsync04 i dam za niedługo znać czy problem ustąpił. Niemniej chcę zgłosić drugą kwestię związaną z infekcją w roli głównej. A mianowicie hitman pro wykrył u mnie wirusa i nie wiem czy usunąć czy uznać za FP, dlatego proszę cię o wgląd w Raport: http://wklej.org/id/941278/ Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2013 Zgłoś Udostępnij Opublikowano 29 Stycznia 2013 Hitman wykrył kolejny plik StarForce, a konkretnie deinstalator tego zabezpieczenia. To nie wygląda na malware tylko fałszywy alarm, nie ruszaj tego Hitmanem. Natomiast jak mówię: główny sterownik StarForce jest specyficzny (to zabezpieczenie gier), ma charakterystykę "para-rootkit" i podejrzewam, że to jego aktywność notuje Avira, więc na początek robimy test z Autoruns. Jeśli test udowodni winę tego sterownika, będą do wyboru dwie akcje: - Jeśli StarForce jest używany przez jakiś program, zostawić jak jest i zignorować odczyty skanerów. - Jeśli StarForce to odpadki, użyjesz deinstalator zabezpieczenia StarForce. . Odnośnik do komentarza
exik Opublikowano 29 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2013 Ok, to do następnego usłyszenia. Odnośnik do komentarza
exik Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Witam uprzejmie. Dnia dzisiaj przeprowadzony został oczekiwany przez avirę auto-skan i co? Wydaję mi się iż problem chyba ustąpił. Bynajmniej tak podpowiada log w porównaniu z poprzednim Dzisiejszy log: http://wklej.org/id/944685/ + screen http://www.fotosik.pl/pokaz_obrazek/pelny/1b0922a698731adf.html W związku z tym jakie kroki powinienem podjąć? Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 To stan po wyłączeniu sterownika StarForce? Jeśli tak, to już mówiłam co: Jeśli test udowodni winę tego sterownika, będą do wyboru dwie akcje: - Jeśli StarForce jest używany przez jakiś program, zostawić jak jest i zignorować odczyty skanerów. - Jeśli StarForce to odpadki, użyjesz deinstalator zabezpieczenia StarForce. Deinstalator: C:\WINDOWS\system32\sfdrvrem.exe. . Odnośnik do komentarza
exik Opublikowano 1 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Tak tak, odhaczyhłem wtedy ten sterownik i dzisiaj załączyłem log z rezultami po auto-skan'ie w dniu dzisiejszym. Okej, czyli wyszukac wymieniona przez cb ścieżkę to raz. A natomiast co z otlem i hitmanem? W otlu jeśli można użyłbym już sprzatanie Natomiast hitmana teaz jeśli się z tym zgodzisz byłbym skory już usunąc jak ów skaner nic nie wykaze po odinstalowaniu przeze mnie sfdrvrem.exe. Autoruns'a też chybabym się mógł pozbyć na koncu, hmm? EDIT: Przy próbie uruchomienia sfdrvrem.exe. w celu dezinstalacji wyskakuje http://www.fotosik.pl/pokaz_obrazek/pelny/57297707a6fd2d0a.html ;/ Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2013 Zgłoś Udostępnij Opublikowano 1 Lutego 2013 Przy próbie uruchomienia sfdrvrem.exe. w celu dezinstalacji wyskakuje Może dlatego, że sterownik nieczynny. W takim układzie w Autoruns w karcie Drivers skasuj pozycję sfsync04, a po tym przez SHIFT+DEL z dysku wywal pliki: C:\WINDOWS\system32\drivers\sfsync04.sys C:\WINDOWS\system32\sfdrvrem.exe A natomiast co z otlem i hitmanem? W otlu jeśli można użyłbym już sprzatanieNatomiast hitmana teaz jeśli się z tym zgodzisz byłbym skory już usunąc jak ów skaner nic nie wykaze po odinstalowaniu przeze mnie sfdrvrem.exe. 1. W OTL załaduj drobną korektę wyszukiwarek IE po kiedyś używanym AdwCleaner + usuwanie skrótu po deinstalacji McAfee Site Advisor. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Files C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\$McRebootA5E6DEAA56$.lnk Klik w Wykonaj skrypt. Po tym owszem Sprzątanie. 2. To od Ciebie zależy czy chcesz się pozbyć Hitmana. Autoruns'a też chybabym się mógł pozbyć na koncu, hmm? Pozbyć się możesz. Aczkolwiek ja bym to zostawiła do zarządzania startem. Pokazowa akcja ze sterownikiem StarForce mówi sama za siebie. . Odnośnik do komentarza
exik Opublikowano 3 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2013 Pliki związane z starforce usunięte. Skrypt otl wykonany - log/usuwanie: http://wklej.org/id/946421/ , użyte równiez sprzątanie. Hitman nie wykrywa już infekcji a autorunsa mimo wszystko jeśli można to usunę z tego względu, że po jego rozpakowaniu w folderze z pobranymi plikami mam troszke brudu. Także jeśli log usuwania otl jest w porządku to chyba było by na tyle jeśli się nie mylę. Także dziękuję za pomoc ślicznie Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2013 Zgłoś Udostępnij Opublikowano 3 Lutego 2013 Hitman nie wykrywa już infekcji Ale tu jej nie było. To były fałszywe alarmy na specyficznych obiektach. a autorunsa mimo wszystko jeśli można to usunę z tego względu, że po jego rozpakowaniu w folderze z pobranymi plikami mam troszke brudu No tego nie rozumiem. Autoruns to tylko kilka plików, wystarczy sobie je przenieść do jednego folderu np. o nazwie Autoruns i tyle. Ale rób jak uważasz. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi