jedenasty Opublikowano 9 Czerwca 2013 Zgłoś Udostępnij Opublikowano 9 Czerwca 2013 To pierwszy mój post na forum więc witam! Kilka dni temu kumpel zainstalował mi jakieś świństwo (przy okazji instalacji Hamachi), które Eset (Smart Security 4) usunął, ale od tamtej pory komputer jakoś podejrzanie się zachowuje. Zauważalnie wolniej, zwłaszcza podczas przeglądania sieci i uruchamiania się. Niestety zachęcony internetowymi opiniami użyłem Combo Fixa, bo Eset też strasznie zamulał i skan który zazwyczaj szedł mu szybko zajął cały dzień nic nie wykazując. Użyłem również TDSSKilera, AdwCleanera i Malwerebytes Anti-Malware. Problem jakby ustąpił ale przeskanowałem jeszcze zachęcony jakimś artykułem SpyHunterem 4 który wykazał że mam ze 3 trojany (między innymi Lena.a), avasoft i masę innych infekcji. Anti-Malware wykazał tylko 3 zagrożenia w postaci patchy od różnych programów. Wklejam poniżej logi i proszę podpowiedź czy pozbyłem się cholerstwa: Results of screen317's Security Check version 0.99.64 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 10 ``````````````Antivirus/Firewall Check:`````````````` ESET Smart Security 4.2 Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.75.0.1300 Java 6 Update 37 Java version out of Date! Adobe Flash Player 11.7.700.202 Adobe Reader 10.1.7 Adobe Reader out of Date! Mozilla Firefox (21.0) Google Chrome 27.0.1453.110 Google Chrome 27.0.1453.94 ````````Process Check: objlist.exe by Laurent```````` ESET NOD32 Antivirus egui.exe ESET NOD32 Antivirus ekrn.exe Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` AdwCleanerS2.txt ComboFix.txt OTL.Txt gmer log.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2013 Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Kilka dni temu kumpel zainstalował mi jakieś świństwo (przy okazji instalacji Hamachi), które Eset (Smart Security 4) usunął Nie ma żadnych danych co było usuwane i czy to na pewno była infekcja lub co za typ zagrożenia (może coś w ogóle mało znaczące). ale od tamtej pory komputer jakoś podejrzanie się zachowuje. Zauważalnie wolniej, zwłaszcza podczas przeglądania sieci i uruchamiania się. Niestety zachęcony internetowymi opiniami użyłem Combo Fixa, bo Eset też strasznie zamulał i skan który zazwyczaj szedł mu szybko zajął cały dzień nic nie wykazując. Tu się wręcz nasuwa, że problem spowolnienia systemu i sieci wynikał z powodu czynności ESET Smart Security. Wg raportu jedyny tak rozbudowany program zahaczający o punktowane sfery. Poza tym, pragnę zwrócić uwagę, że ten ESET: jest stary (silnik z 2010 roku) i scrackowany. Problem jakby ustąpił ale przeskanowałem jeszcze zachęcony jakimś artykułem SpyHunterem 4 który wykazał że mam ze 3 trojany (między innymi Lena.a), avasoft i masę innych infekcji. SpyHunter to program tu niepolecany, był wcześniej na czarnej liście za świńskie taktyki reklamodawcze. Do deinstalacji. Również pozbądź się HijackThis, program kompletnie niezgodny z systemem 64-bit i pokazuje na takim głupoty (nieprawidłowy odczyt 64-bitowej części). Log z TDSSKiller usuwam, zupełnie zbędny, przecież program nic nie wykrył. Log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" niezostała ustawiona na "Użyj filtrowania"). Oznak infekcji brak. Są tylko drobne adware, ale to się nie wiąże ze sprawą. 1. Odinstaluj SFR.fr 404 redirector. Nie podałeś raportu OTL Extras, więc nie wiem czy pod taką to nazwą figuruje w Panelu sterowania. 2. Wyczyść preferencje Firefox z owego "redirectora" oraz starych martwych wpisów po aktualizacjach ze starszej wersji: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Wynikowo będziesz musiał przeinstalować używane obecnie rozszerzenia, ale zakładki i hasła pozostaną nienaruszone. 3. Poprawka na domyślne wyszukiwarki IE. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{2C8C5CAF-D90D-4871-9D16-6C5E32811CC5}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{2C8C5CAF-D90D-4871-9D16-6C5E32811CC5}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{E7AA322F-C163-4820-AB94-B903D2A12CA5}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5B5F05AF-F534-4277-ACE5-9EEC59FB5686}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). . Odnośnik do komentarza
jedenasty Opublikowano 10 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2013 Ok dzięki za szybką odpowiedź. Wszystko zrobiłem zgodnie z instrukcjami, odnośnie Eset'a to co jest warte polecenia jako zastępstwo? Do tej pory na niego nie narzekałem - to była pierwsza poważniejsza infekcja od 3 lat. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2013 Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Zadania wykonane. Jeszcze skasuj przez SHIFT+DEL te szczątkowe foldery po aplikacjach oraz resecie Firefox: [2013-06-10 19:09:38 | 000,000,000 | ---D | C] -- C:\Users\Jedenasty\Desktop\Stare dane programu Firefox[2013-06-07 23:08:29 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group[2013-06-07 22:14:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Trend Micro[2013-06-03 22:33:08 | 000,000,000 | ---D | C] -- C:\ProgramData\CPA_VA[2013-06-03 22:27:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Comodo[2013-06-03 22:26:59 | 000,000,000 | ---D | C] -- C:\Users\Jedenasty\AppData\Local\Comodo[2013-06-03 22:26:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Comodo Poza tym, wygląda na to, że ta usługa Steganos AntiTheft to jakiś odpadek, potwierdź że program odinstalowany (log OTL Extras nie jest 100% dowodem): SRV - [2006-05-24 12:23:36 | 000,184,320 | ---- | M] () [Auto | Running] -- C:\Windows\SysWow64\\SatSrv.exe -- (Steganos AntiTheft) Natomiast: odnośnie Eset'a to co jest warte polecenia jako zastępstwo? Do tej pory na niego nie narzekałem - to była pierwsza poważniejsza infekcja od 3 lat. Tu na razie nie ma dostatecznie przekonywującego dowodu, że była jakakolwiek infekcja. Na razie dane mówią, że określone narzędzia nic szczególnego nie robiły: TDSSKiller nic nie wykrył, MBAM wykrył patche do aplikacji, AdwCleaner usuwał jakieś drobne szczątki adware, a ComboFix omyłkowo kasował obiekty nieinfekcyjne (pliki Total Commander i zawartość katalogu PC-Doctor). Przejrzyj dzienniki ESET i wyciągnij dane co było wykryte, by można było to ocenić.. Odnośnik do komentarza
jedenasty Opublikowano 11 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Hmm w dziennikach posprawdzałem, coś tam jest o usunięciu instalki Hamachi, ale jak się zorientowałem, że jest coś nie tak to zrobiłem przywrócenie systemu do stanu sprzed instalacji. Wklejam kawałek dziennika. Co do Steganos AntiTheft odinstalowałem go już bardzo dawno, trzeba się go pozbyć jakoś ręcznie? Pliki dziennika ESET.txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2013 Zgłoś Udostępnij Opublikowano 11 Czerwca 2013 Hmm w dziennikach posprawdzałem, coś tam jest o usunięciu instalki Hamachi, ale jak się zorientowałem, że jest coś nie tak to zrobiłem przywrócenie systemu do stanu sprzed instalacji. Infekcji w rozumieniu infekcji trojanami tu nie było, zupełnie inny typ tu próbował się instalować. Co program wykrył: 1. Próbę instalacji adware z "instalki" Hamachi. A dlatego, że to wcale nie był właściwy instalator Hamachi ze strony domowej programu tylko zupełnie inny plik Hamachi_Downloader.exe z Instalek.pl. Instalki (podobnie jak wiele innych portali) mają bezczelny zwyczaj sponsorowania siebie przez portalowy downloader z adware (domyślnie ustawiona metoda pobierania, pobieranie bezpośrednie dopiero trzeba ręcznie ustawić i wiadomo co zrobi niedoświadczony user). Pobrany plik jest instalatorem adware / sponsorów i Hamachi a nie tylko Hamachi... 2013-06-03 21:35:36 Ochrona protokołu HTTP plik http://www.instalki.pl/getfile/get_Hamachi.php Win32/InstallCore.BL potencjalnie niepożądana aplikacja Jedenasty-komp\Jedenasty Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe. Większość wyników ESET to wykrycia tylko na poziomie plików tymczasowych Temp, w porę zatrzymane. Poinstruuj kumpla, by nie pobierał programów z portali tylko wprost ze strony domowej, a jeśli z portali to należy szukać "Linków / Pobierania bezpośredniego" i nigdy w ciemno nie klikać w największy przycisk "Pobierz". 2. "Eicar plik testowy" to fałszywy alarm na komponencie ComboFix. 2013-06-06 17:02:55 Ochrona systemu plików w czasie rzeczywistym plik C:\Users\JEDENA~1\AppData\Local\Temp\Av-test.txt Eicar plik testowy wyleczony przez usunięcie - poddany kwarantannie Jedenasty-komp\Jedenasty Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację: C:\ComboFix\CF25229.3XE. Co do Steganos AntiTheft odinstalowałem go już bardzo dawno, trzeba się go pozbyć jakoś ręcznie? Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services Steganos AntiTheft :Files C:\Windows\SysWow64\SatSrv.exe Klik w Wykonaj skrypt. . Odnośnik do komentarza
jedenasty Opublikowano 12 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2013 Ok czyli za bardzo spanikowałem Co do Eset'a jest jakaś sensowna alternatywa, kompleksowej ochrony? Scrakowany jest, przyznaje się bez bicia, ale jest wszystko w jednym i nie zamula ani trochę. Może jakiś scan robić programem alternatywnym raz w tygodniu? Dzięki wielkie za pomoc, rozważę przekazanie dotacji Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2013 Zgłoś Udostępnij Opublikowano 12 Czerwca 2013 Kończąc sprawy czyszczenia systemu:1. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:s:\instalki\ComboFix.exe /uninstallGdy komenda ukończy, w OTL uruchom Sprzątanie oraz przez SHIFT+DEL dokasuj folder C:\Windows\erdnt.2. Odinstaluj stare wersje Java i Adobe Reader oraz zaktualizuj Adobe Flash i Operę: KLIK. Wg raportu masz zainstalowane następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ==========64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416023FF}" = Java 6 Update 23 (64-bit)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.7) MUI"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtycka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)"Opera 12.11.1661" = Opera 12.11FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll () A co do "Nowe Gadu-Gadu", to obejrzyj jak wygląda najnowsze GG11 lub alternatywy (WTW, Kadu, Miranda NG, AQQ): KLIK. Co do Eset'a jest jakaś sensowna alternatywa, kompleksowej ochrony? Scrakowany jest, przyznaje się bez bicia, ale jest wszystko w jednym i nie zamula ani trochę. Może jakiś scan robić programem alternatywnym raz w tygodniu? Ostatecznie, jeśli ten ESET nie sprawia aktualnie problemów, to może go zostaw na jakiś czas, ale jak mówię pakiet nie za świeży i w końcu trzeba będzie spuścić na nim lagę. Każdy komercyjny pakiet IS ("Internet Security") jest "sensowną alternatywą" dla starego pakietu. Z darmowych odpowiednik IS to COMODO Internet Security (zapora, AV, HIPS, Sandbox).Skany na żądanie swoją drogą, to jest działanie "post factum", zbyt późno (podstawowe znaczenie ma ochrona w czasie rzeczywistym).. Odnośnik do komentarza
Rekomendowane odpowiedzi