Nienapastliwe trojany

[luke555]

Witam, od jakiegoś czasu na moim laptopie zadomowiły się najwyraźniej 3 trojany (myślę, że dłużej niż 30 dni). Jedynym objawem, którym mógł zaniepokoić było 100% użycie procesora przez niedługi czas gdzieś tak 5 min po starcie systemu. Z reguły identyfikuje takie zagrożenia sam najpóźniej w ciągu kilkudziesięciu godzin, jednakże w tym wypadku chyba trochę moja czujnośc została uśpiona, ponieważ jedynym podejrzanym procesem był niby proces Nvidii, choć nie posiadam takiej kart w systemie to jednak trochę zlekceważyłem sprawę, ponadto komputer działał bez zastrzeżeń. Dziś wreszcie postanowiłem przeskanowac system programem Kaspersky Virus Removal Tool... zachęcił mnie do tego dzisiejszy komunikat narzędzia windows do usuwania złośliwego oprogramowania o usunięciu Trojan-Downloader... Wygląda na to, że Kaspersky usunął zagrożenia, jednak chciałbym mieć pewność że po infekcjach nie zostały żadne pozostałości w systemie/na dysku. Poniżej zamieszczam wymagane logi + log z Kasperskiego.

ks.txt

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Nie notuję czynnej infekcji, ale usuń wpisy szczątkowe i wyczyść lokalizacje tymczasowe.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-464914493-1460233495-3191823490-1006\..\SearchScopes\{2DE22A00-B3A3-4A0F-ACB6-0C2FA594D2F4}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=BEFCD72E-24B9-4BE7-96B9-FDB1668BC8D5&apn_sauid=79F43098-A2A0-4DBC-ACBB-EF9DAC8A3AF9
O3 - HKU\S-1-5-21-464914493-1460233495-3191823490-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-464914493-1460233495-3191823490-1006\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20050901.036\symidsco.sys -- (SYMIDSCO)
DRV - File not found [Kernel | On_Demand | Stopped] -- Reg Error: Invalid data type. -- (INIDVD)
 
:Files
C:\Documents and Settings\Agent\Ustawienia lokalne\Dane aplikacji\NVIDIA Corporation
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\Agent\.dir
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Wyczyść preferencje Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale będziesz musiał przeinstalować rozszerzenia.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[luke555]

Punkt 1 i 3 wykonane (folder Nvidiia usuwałem już wcześniej ręcznie), co do drugiego punktu o jakie adware chodzi? Szczerze mówiąc nic podejrzanego nie odnotowałem.

otl_skrypt.txt

[picasso]

co do drugiego punktu o jakie adware chodzi? Szczerze mówiąc nic podejrzanego nie odnotowałem.

Chodzi o Ask.com. Zaleciłam Reset Firefox i nadal to aktualne. Po tym robisz nowy log OTL z opcji Skanuj.

 

 

 

.

[luke555]

Zamieszczam log z OTL po zresetowaniu Firefoxa.

OTL.Txt

[picasso]

Na zakończenie:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w OTL uruchom Sprzątanie.

 

2. Zaktualizuj Firefox i wtyczkę Adobe Flash w nim: KLIK. Aktualnie posiadasz:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Mozilla Firefox 19.0.2 (x86 pl)" = Mozilla Firefox 19.0.2 (x86 pl)
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()

 

 

 

.