Podejrzenie infekcji

[shadow20]

Witam,

 

Mam podejrzenia co do obecności wirusa na komputerze.
Nie za bardzo orientuję się w temacie, także proszę o sprawdzenie logów i ewentualną podpowiedź przy usuwaniu zagrożenia. 

Z góry dziękuję.

[picasso]

Brakuje obowiązkowego raportu z GMER. W raportach OTL żadnych oznak infekcji. Opisz skąd podejrzenie infekcji, co się w ogóle dzieje, że takie teorie tworzysz.

 

PS. Skasuj te rzeczy z dysku:

 

[2013-04-30 14:20:52 | 000,000,300 | ---- | M] () -- C:\Windows\tasks\iMeshNAG.job

[2011-06-18 18:07:22 | 000,087,287 | ---- | C] () -- C:\Users\Dominik\AppData\Local\tmpSCREENSHOT-129.2

[2011-06-18 18:07:19 | 000,087,287 | ---- | C] () -- C:\Users\Dominik\AppData\Local\tmpSCREENSHOT-129.1

[2011-06-18 18:07:18 | 000,501,662 | ---- | C] () -- C:\Users\Dominik\AppData\Local\tmpSCREENSHOT-129.0

[2011-06-18 18:07:18 | 000,087,277 | ---- | C] () -- C:\Users\Dominik\AppData\Local\tmpSCREENSHOT-129.JPG

[2011-06-18 18:07:12 | 000,008,584 | ---- | C] () -- C:\Users\Dominik\AppData\Local\tmpSCREENSHOT-129_navi.JPG

[2011-06-11 22:22:20 | 000,590,080 | ---- | C] () -- C:\Users\Dominik\AppData\Local\tmpDSC00243.0

[2011-06-11 22:22:20 | 000,232,052 | ---- | C] () -- C:\Users\Dominik\AppData\Local\tmpDSC00243.JPG

[2010-10-10 20:12:07 | 000,093,551 | ---- | C] () -- C:\Users\Dominik\AppData\Local\tmpRIVERVIEW.JPG

[2013-01-22 01:07:03 | 000,000,000 | ---D | M] -- C:\Users\Dominik\AppData\Roaming\GoforFiles

[2013-04-30 00:11:01 | 000,000,000 | ---D | M] -- C:\Users\Dominik\AppData\Roaming\_MDLogs

 

 

 

.

[shadow20]

Podejrzenie infekcji z tego, że zainstalowany antywirus wykazał błąd. Skanowałem komputer dodatkową aplikacją, która wykryła zainfekowane pliki. Co prawda usunąłem je, ale wciąż się boję się, że komputer jest czymś zagrożony (wiem, jestem panikarzem).

 

PS. Rzeczy mogę skasować ręcznie, czy muszę to zrobić poprzez określony program?

 

Poniżej zamieszczam raport z GMER-a.

 

 

[picasso]

W GMER nic ciekawego.

 

 

Podejrzenie infekcji z tego, że zainstalowany antywirus wykazał błąd.

 

Jaki?

 

 

Skanowałem komputer dodatkową aplikacją, która wykryła zainfekowane pliki.

 

Pokaż wyniki z tego skanu, przecież nie wiadomo co to było, ani czy istotne (mógł być fałszywy alarm).

 

 

PS. Rzeczy mogę skasować ręcznie, czy muszę to zrobić poprzez określony program?

 

Ręcznie.

 

 

.

[shadow20]

Błąd 3048,3 Nortona. Początkowo myślałem, że to nic takiego, jednak program przekierował mnie do strony, na której poproszono mnie o wykonanie po kolei dwóch kroków, tzn. pobranie aplikacji aktualizującej Norton Intelligent Updater + zaktualizowanie nią definicji wirusów, a następnie pobranie aplikacji Norton Power Eraser do wykonania skanu. Wykonałem wszystko, skan ostatnim programem wykrył kilka zagrożeń. Zostały usunięte tylko 2 z nich, choć wydawało mnie się, że widziałem ich około 6. Kolejny skan nie wykazał jednak żadnych infekcji.

 

Dziennik z aplikacji Norton Power Eraser:

 

 

 

 <Infections_Detected><DRIVERS Count="0"/><SERVICES Count="0"/><PROCESSES Count="0"/><LAYERED_SERVICE_PROVIDERS Count="0"/><DESKTOP_SHORTCUTS Count="0"/><AUTORUN_FILES Count="0"/><STARTUP_ITEMS Count="0"/><BROWSER_HELPER_OBJECTS Count="0"/><BROWSER_TOOLBARS Count="0"/><BROWSER_PLUGINS Count="0"/><SHELL_EXTENSIONS Count="0"/><EXPLORER_PLUGINS Count="0"/><DIRECTORIES Count="0"/><FILES Count="2"><File ID="1"><File_Information><Path>c:\users\dominik\appdata\local\temp\ead1dfb.exe</Path><FileVersion>7.1.3.3</FileVersion><ProductVersion/><ProductName>EADM</ProductName><Company>Electronic Arts, Inc.</Company><Copyrights>Electronic Arts, Inc © 2010</Copyrights><MD5>52EC1487034AE9C34DEF3FA3FB5560E1</MD5><SHA256>278B4A176C328A1367D4F0A83991A74D77C88CCCD4468FBF230840A185FFCC8C</SHA256><FileSize>16951996</FileSize></File_Information><SideEffects Count="2"><File>C:\Users\Dominik\AppData\Local\Temp\EAD1DFB.exe</File><Directory>c:\users\dominik\appdata\local\temp</Directory></SideEffects></File><File ID="2"><File_Information><Path>c:\users\dominik\appdata\local\temp\ead59b.exe</Path><FileVersion><></FileVersion><ProductVersion><></ProductVersion><ProductName><></ProductName><Company><></Company><Copyrights><></Copyrights><MD5>842333E6CAA3B4A02FB17E19051D7C31</MD5><SHA256>5ED02597D949305092B1D26E434F48BA223E2E5F5AF036027330ACE0D7508EE0</SHA256><FileSize>7848</FileSize></File_Information><SideEffects Count="2"><File>C:\Users\Dominik\AppData\Local\Temp\EAD59B.exe</File><Directory>c:\users\dominik\appdata\local\temp</Directory></SideEffects></File></FILES><SYSTEM_SETTINGS Count="0"/></Infections_Detected><Suspicious_Items><DRIVERS Count="0"/><SERVICES Count="0"/><PROCESSES Count="0"/><LAYERED_SERVICE_PROVIDERS Count="0"/><DESKTOP_SHORTCUTS Count="0"/><AUTORUN_FILES Count="0"/><STARTUP_ITEMS Count="0"/><BROWSER_HELPER_OBJECTS Count="0"/><BROWSER_TOOLBARS Count="0"/><BROWSER_PLUGINS Count="0"/><SHELL_EXTENSIONS Count="0"/><EXPLORER_PLUGINS Count="0"/><DIRECTORIES Count="0"/><FILES Count="0"/><SYSTEM_SETTINGS Count="0"/></Suspicious_Items></Analyze><RemoteScan DateAndTime="Monday, 29 April 2013 Time: 23:10"><Infections_Detected_By_Remote_Scan><DRIVERS Count="0"/><SERVICES Count="0"/><PROCESSES Count="0"/><LAYERED_SERVICE_PROVIDERS Count="0"/><DESKTOP_SHORTCUTS Count="0"/><AUTORUN_FILES Count="0"/><STARTUP_ITEMS Count="0"/><BROWSER_HELPER_OBJECTS Count="0"/><BROWSER_TOOLBARS Count="0"/><BROWSER_PLUGINS Count="0"/><SHELL_EXTENSIONS Count="0"/><EXPLORER_PLUGINS Count="0"/><DIRECTORIES Count="0"/><FILES Count="0"/><SYSTEM_SETTINGS Count="0"/></Infections_Detected_By_Remote_Scan></RemoteScan><Remediate DateAndTime="Monday, 29 April 2013 Time: 23:20"><Infections_Selected_For_Remediation><DRIVERS Count="0"/><SERVICES Count="0"/><PROCESSES Count="0"/><LAYERED_SERVICE_PROVIDERS Count="0"/><DESKTOP_SHORTCUTS Count="0"/><AUTORUN_FILES Count="0"/><STARTUP_ITEMS Count="0"/><BROWSER_HELPER_OBJECTS Count="0"/><BROWSER_TOOLBARS Count="0"/><BROWSER_PLUGINS Count="0"/><SHELL_EXTENSIONS Count="0"/><EXPLORER_PLUGINS Count="0"/><DIRECTORIES Count="0"/><FILES Count="2"><File ID="1"><File_Information><Path>c:\users\dominik\appdata\local\temp\ead1dfb.exe</Path><FileVersion>7.1.3.3</FileVersion><ProductVersion/><ProductName>EADM</ProductName><Company>Electronic Arts, Inc.</Company><Copyrights>Electronic Arts, Inc © 2010</Copyrights><MD5>52EC1487034AE9C34DEF3FA3FB5560E1</MD5><SHA256>278B4A176C328A1367D4F0A83991A74D77C88CCCD4468FBF230840A185FFCC8C</SHA256><FileSize>16951996</FileSize></File_Information><SideEffects Count="2"><File>C:\Users\Dominik\AppData\Local\Temp\EAD1DFB.exe</File><Directory>c:\users\dominik\appdata\local\temp</Directory></SideEffects></File><File ID="2"><File_Information><Path>c:\users\dominik\appdata\local\temp\ead59b.exe</Path><FileVersion><></FileVersion><ProductVersion><></ProductVersion><ProductName><></ProductName><Company><></Company><Copyrights><></Copyrights><MD5>842333E6CAA3B4A02FB17E19051D7C31</MD5><SHA256>5ED02597D949305092B1D26E434F48BA223E2E5F5AF036027330ACE0D7508EE0</SHA256><FileSize>7848</FileSize></File_Information><SideEffects Count="2"><File>C:\Users\Dominik\AppData\Local\Temp\EAD59B.exe</File><Directory>c:\users\dominik\appdata\local\temp</Directory></SideEffects></File></FILES><SYSTEM_SETTINGS Count="0"/></Infections_Selected_For_Remediation></Remediate><RemediationStatusPostReboot DateAndTime="Monday, 29 April 2013 Time: 23:24"><Infections_Remediated><DRIVERS Count="0"/><SERVICES Count="0"/><PROCESSES Count="0"/><LAYERED_SERVICE_PROVIDERS Count="0"/><DESKTOP_SHORTCUTS Count="0"/><AUTORUN_FILES Count="0"/><STARTUP_ITEMS Count="0"/><BROWSER_HELPER_OBJECTS Count="0"/><BROWSER_TOOLBARS Count="0"/><BROWSER_PLUGINS Count="0"/><SHELL_EXTENSIONS Count="0"/><EXPLORER_PLUGINS Count="0"/><DIRECTORIES Count="0"/><FILES Count="2"><File ID="1"><File_Information><Path>c:\users\dominik\appdata\local\temp\ead1dfb.exe</Path><FileVersion><></FileVersion><ProductVersion><></ProductVersion><ProductName><></ProductName><Company><></Company><Copyrights><></Copyrights><MD5>52EC1487034AE9C34DEF3FA3FB5560E1</MD5><SHA256>278B4A176C328A1367D4F0A83991A74D77C88CCCD4468FBF230840A185FFCC8C</SHA256><FileSize><></FileSize></File_Information><SideEffects Count="1" Status="Remediate_Success"><File>C:\Users\Dominik\AppData\Local\Temp\EAD1DFB.exe</File></SideEffects></File><File ID="2"><File_Information><Path>c:\users\dominik\appdata\local\temp\ead59b.exe</Path><FileVersion><></FileVersion><ProductVersion><></ProductVersion><ProductName><></ProductName><Company><></Company><Copyrights><></Copyrights><MD5>842333E6CAA3B4A02FB17E19051D7C31</MD5><SHA256>5ED02597D949305092B1D26E434F48BA223E2E5F5AF036027330ACE0D7508EE0</SHA256><FileSize><></FileSize></File_Information><SideEffects Count="1" Status="Remediate_Success"><File>C:\Users\Dominik\AppData\Local\Temp\EAD59B.exe</File></SideEffects></File></FILES><SYSTEM_SETTINGS Count="0"/></Infections_Remediated></RemediationStatusPostReboot></Session0></Norton_Power_Eraser_Information>

 

 

 

 

PS. Nie widzę pozycji iMeshNAG.job w folderze C:\Windows\tasks.

[picasso]

Wykonałem wszystko, skan ostatnim programem wykrył kilka zagrożeń. Zostały usunięte tylko 2 z nich, choć wydawało mnie się, że widziałem ich około 6. Kolejny skan nie wykazał jednak żadnych infekcji.

 

Strasznie ciężko czyta się ten dostarczony plik dziennika Nortona, 99% bezużytecznych informacji, a przebicie przez te sklejone treści to miazga. Wycięłam z pliku tylko zasadniczy fragment z i wkleiłam do spoilera. Wg tego fragmentu owe dwa to były pliki w Temp:

 

<Infections_Detected>
<FILES Count="2">

<File ID="1"><File_Information>
<Path>c:\users\dominik\appdata\local\temp\ead1dfb.exe</Path>
<FileVersion>7.1.3.3</FileVersion><ProductVersion/><ProductName>EADM</ProductName><Company>Electronic Arts, Inc.</Company><Copyrights>Electronic Arts, Inc © 2010</Copyrights>
<MD5>52EC1487034AE9C34DEF3FA3FB5560E1</MD5><SHA256>278B4A176C328A1367D4F0A83991A74D77C88CCCD4468FBF230840A185FFCC8C</SHA256>
<FileSize>16951996</FileSize></File_Information>
<SideEffects Count="2"><File>C:\Users\Dominik\AppData\Local\Temp\EAD1DFB.exe</File><Directory>c:\users\dominik\appdata\local\temp</Directory></SideEffects></File>

<File ID="2"><File_Information>
<Path>c:\users\dominik\appdata\local\temp\ead59b.exe</Path>
<FileVersion><></FileVersion><ProductVersion><></ProductVersion><ProductName><></ProductName><Company><></Company><Copyrights><></Copyrights>
<MD5>842333E6CAA3B4A02FB17E19051D7C31</MD5><SHA256>5ED02597D949305092B1D26E434F48BA223E2E5F5AF036027330ACE0D7508EE0</SHA256>
<FileSize>7848</FileSize></File_Information>
<SideEffects Count="2"><File>C:\Users\Dominik\AppData\Local\Temp\EAD59B.exe</File><Directory>c:\users\dominik\appdata\local\temp</Directory></SideEffects></File>

</FILES>

 

No nie wiem czy to była infekcja czy fałszywy alarm. Pierwszy plik ma producenta "Electronic Arts" (od gier) oraz nazwę produktu EADM (= "Electronic Arts Download Manager"). I jeśli tylko to było usuwane, to nie bardzo widzę związek z błędami Nortona, gdyż są tu punktowane tylko pliki bez elementów startowych.

 

 

PS. Nie widzę pozycji iMeshNAG.job w folderze C:\Windows\tasks.

 

Na wszelki wypadek:

 

1. Podaj skan co jest w tym folderze. Uruchom SystemLook x64 i w oknie wklej:

 

:dir
C:\Windows\tasks

 

Klik w Look.

 

2. W Autoruns w karcie Scheduled Tasks sprawdź czy widać w spisie jakieś zadanie pasujące do "iMeshNAG.job".

 

 

.

[shadow20]

Wynik skanu programem SystemLook x64:
 

SystemLook 30.07.11 by jpshortstuff
Log created at 11:28 on 02/05/2013 by Dominik
Administrator - Elevation successful

========== dir ==========

C:\Windows\tasks - Parameters: "(none)"

---Files---
GoogleUpdateTaskMachineCore.job    --a---- 1046 bytes    [13:42 02/04/2010]    [09:23 02/05/2013]
GoogleUpdateTaskMachineUA.job    --a---- 1050 bytes    [13:42 02/04/2010]    [23:15 01/05/2013]
HPCeeScheduleForDominik.job    --a---- 340 bytes    [21:39 21/05/2010]    [20:33 29/04/2013]
SA.DAT    --ah--- 6 bytes    [05:08 14/07/2009]    [09:23 02/05/2013]
SCHEDLGU.TXT    --a---- 32604 bytes    [05:08 14/07/2009]    [11:37 04/04/2013]

---Folders---
None found.

-= EOF =-

 
W Autoruns, wydaje mnie się, że nic pasującego do "iMeshNAG.job" nie ma. Na wszelki wypadek przedstawiam wyniki:
 

[picasso]

1. Rzeczywiście, plik C:\Windows\tasks\iMeshNAG.job zniknął.

 

2. Autoruns: usuń wszystkie wpisy "not found" wyróżnione żółtym tłem.

 

I czy występują w systemie teraz określone problemy?

 

 

 

.

[shadow20]

Teraz nie widzę, by występowały jakiekolwiek problemy. Czy z plikiem zaznaczonym na czerwono trzeba coś robić?

[picasso]

Ten "czerwony" jest OK, plik Microsoftu. Zostawiasz w spokoju. Skoro problemów nie widzisz, to zrób na koniec te akcje:

 

1. W OTL uruchom Sprzątanie, co ma w zamiarze usunąć OTL z dysku i rejestru. GMER i SystemLook usuń ręcznie. Autoruns możesz sobie zostawić do zarządzania autostartem.

 

2. Wyczyść lokalizacje Temp za pomocą TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj stare wersje Java 6 i Adobe, zaktualizuj OpenOffice.org: KLIK. Wg raportu posiadasz następujące wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java™ 6 Update 25 (64-bit)

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java™ 6 Update 20

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 21

"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

 

 

.

[shadow20]

Wykonałem wszystkie kroki. Podczas czyszczenia folderów przywracania systemu zauważyłem błąd:

 

 

Wyskakuje po kliknięciu "OK" lub "Zastosuj", jednak foldery da się wyczyścić. Czy należy coś z tym zrobić, czy można to pozostawić w spokoju?

 

(Dodam, iż nigdy nie zmieniałem wartości użycia miejsca na dysku i raczej nie zamierzam tego robić)

 

PS. Wartość użycia miejsca przez kopie zapasowe na dysku sama zmniejszyła się z 10 GB do 8,98 GB po wyjściu z ochrony systemu dla dysku (cały czas wynosi jednak 2%). Zauważyłem, że jeżeli chciałbym wyłączyć ochronę któregoś z dysków, to owszem, da się.

 

Edit: W ustawieniach były dostępne trzy dyski, jednak jeden z nich zniknął. Sytuacja wygląda tak:

 

 

Trzeci dysk, o nazwie "Dysk (C:) (brak)" już, jak widać, nie istnieje, a wszystkie ustawienia da się swobodnie zmieniać, także nie wiem, czy jest sens coś z tym robić.

[picasso]

To jest wada fabryczna serwisowania obrazu systemu: KLIK. Rozwiązaniem jest właśnie usunięcie owego fantoma z opisem "Brak", co już przeprowadziłeś. Problem rozwiązany.

 

Jeśli to wszystko, daj sygnał do zamknięcia tematu.

 

 

 

.

[shadow20]

W sumie ten fantom znikł sam, gdy próbowałem przestawić któreś z ustawień, które wtedy było do przestawienia. Ostatnia rzecz i będę spokojny, a mianowicie: co mogło być przyczyną zniknięcia pliku C:\Windows\tasks\iMeshNAG.job? Nie kojarzę, bym robił cokolwiek z tym plikiem.

[picasso]

Nie wiem w jaki sposób plik iMeshNAG.job uległ samoskasowaniu. Ale to dobrze (plik śmieć i zbędne zadanie w Harmonogramie), a sam plik nieszkodliwy per se (uciążliwość wprowadzana instalatorem iMesh i nic poza tym).

 

 

.

[shadow20]

W takim razie dzięki wielkie za wszystko. Temat do zamknięcia.