HEUR:Exploit.Script.Generic i PHP/Agent.xadx

[mikkado]

Witam!

 

Będę wdzięczny za pomoc w zdiagnozowaniu problemu. Jakiś czas temu Avira zgłosiła infekcję "PHP/Agent.xadx' [virus]". Plik został przeniesiony do kwarantanny, ale wydajność komputera wyraźnie się zmniejszyła (dłuższy start systemu, dłuższe uruchamianie programów). Zainstalowany dodatkowo skaner Kaspersky znalazł coś takiego: "HEUR:Exploit.Script.Generic".

 

Lokalizacja infekcji w Avira (PHP/Agent.xadx):

 

 

C:\Users\Ania\AppData\Local\Mozilla\Firefox\Profiles\1zm4tslr.default\Cache\2\7E\08049d01

 

Lokalizacja infekcji w Kaspersky (HEUR:Exploit.Script.Generic):

 

 

C:\Documents and Settings\Ania\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4

C:\Documents and Settings\Ania\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50

 

Załączam wymagane logi.

 

Dodatkowe objawy, które są dość nietypowe:

- czasami Centrum Akcji Windows zgłaszało, że antywirus jest wyłączony mimo tego, że ikonka w zasobniku wskazywała, że program działa;

- Avira nie może wykonać pełnego skanowania systemu; pojawia się następujący komunikat:

 

 

 

Program Control Center przestał działać.

[Content]
Program przestał działać poprawnie z powodu wystąpienia problemu. System Windows zamknie program i powiadomi Cię, jeśli istnieje dostępne rozwiązanie.

[Debuguj] [Zamknij program]

---------------------------

 

Avira Free Antivirus: avcenter.exe - Błąd aplikacji
---------------------------
Instrukcja spod 0x77128eed odwołuje się do pamięci pod adresem 0x00000040. Pamięć nie może być read.


Kliknij przycisk OK, aby przerwać działanie aplikacji
---------------------------
OK   
---------------------------

 

 

Log z Security Check:

 

 

Results of screen317's Security Check version 0.99.83
Windows 7 Service Pack 1 x86
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Secunia PSI (3.0.0.6001)
CCleaner
Java 7 Update 55
Adobe Flash Player 13.0.0.214
Adobe Reader XI
Mozilla Firefox (29.0.1)
Google Chrome 34.0.1847.137
Google Chrome 35.0.1916.114
Google Chrome Plugins...
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Kaspersky Lab Kaspersky Security Scan 2.0 kss.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

 

Addition.txt

Extras.Txt

FRST.txt

Gmer.txt

OTL.Txt

Shortcut.txt

[picasso]

Te detekcje antywirusów to drobna sprawa (wykrycia w cache Firefox i Java) i nie powiny mieć związku z objawami. W raportach nie widać żadnych oznak czynnej infekcji. A log z GMER został zrobiony w złych warunkach, przy czynnym emulatorze SPTD. Pytanie, czy były tu jakieś podejścia z usuwaniem Internet Explorer? Wszystkie skróty kierujące do pliku IE wykazują jego brak:

 

==================== Shortcuts =============================
 

Shortcut: C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Shortcut: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

 

Tylko drobne działania na minimalne odpadki adware oraz wpisy puste:

 

1. Otwórz Notatnik i wklej w nim:

 

FF user.js: detected! => C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\1zm4tslr.default\user.js
FF SearchPlugin: C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\1zm4tslr.default\searchplugins\babylon.xml
FF SearchPlugin: C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\1zm4tslr.default\searchplugins\delta.xml
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=6275BCAEC5CFA5E2&affID=119818&tt=250613_gr3&tsp=4925
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Task: {1BFDBA4B-9C89-46AE-A0B9-C03080F6DC00} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-3146292988-2315933456-2787739076-1001 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe
Task: {3EE6B9E1-E3BE-47E3-8054-96B332A7F3BA} - System32\Tasks\{0C3DC661-B0F9-4E25-B154-72026560AF0E} => C:\Program Files\SubEdit-Player\subedit.exe
Task: {9BBFFC1A-1E5F-4144-85A0-9667064BCE21} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-3146292988-2315933456-2787739076-1001 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe
Task: {E350E857-8207-4EC2-B0BB-775C91682744} - System32\Tasks\PandaUSBVaccine => C:\Program Files\Panda USB Vaccine\RunInteractiveWin.exe
AlternateDataStreams: C:\ProgramData\Temp:0472FC1A
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA
S3 anvsnddrv; system32\drivers\anvsnddrv.sys [X]
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Preferencje Google Chrome wyglądają na naruszone, toteż:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Uruchom TFC - Temp Cleaner.

 

 

 

wydajność komputera wyraźnie się zmniejszyła (dłuższy start systemu, dłuższe uruchamianie programów)

Przyczyna raczej leży gdzie indziej, nie w infekcji.

- Wolny start: być może programy zabezpieczające mają coś do rzeczy. Tu jest Avira, KeyScrambler, Secunia PSI i jeszcze doszedł Kaspersky Security Scan.

- Dodatkowo sugeruję deinstalację firmowego ASUS WebStorage, to problematyczny program, którego integracja z powłoką exlorer.exe wielokrotnie na forum występowała w kontekście błędów podczas nawigacji w folderach.

 

 

Dodatkowe objawy, które są dość nietypowe:

 

- czasami Centrum Akcji Windows zgłaszało, że antywirus jest wyłączony mimo tego, że ikonka w zasobniku wskazywała, że program działa;

- Avira nie może wykonać pełnego skanowania systemu; pojawia się następujący komunikat:

- Cóż, Centrum nie jest precyzyjne, rejestracje WMI mogą nie korenspondować do stanu faktycznego. Tu masz opisany ten problem w odwrotnym kierunku, tzn. wykrycia programów już nieistniejących: KLIK.

- Nie widzę przyczyny. Jaką ścieżkę próbuje skanować Avira, gdy pojawia się ów błąd?

 

 

 

 

.

[mikkado]

Dziękuję za odpowiedź

 

A log z GMER został zrobiony w złych warunkach, przy czynnym emulatorze SPTD

 

W laptopie - z tego, co wiem - nie jest zainstalowane oprogramowanie emulujące napędy. Być może kiedyś było i coś zostało w systemie...

EDIT: doczytałem instrukcję dot. oprogramowania emulującego napędy i przy użyciu SPTDinst odinstalowałem sterownik SPTD (nie udało mi się niestety usunąć wpisów w rejestrze). Załączam nowy log GMER.

 

 

Pytanie, czy były tu jakieś podejścia z usuwaniem Internet Explorer?

 

Tak, IE był usunięty (wyłączony) za pomocą opcji "dodaj/usuń składniki systemu Windows".

 

 

Ad.1 - zrobione, log w załączniku.

 

Ad.2 - zrobione.

 

Ad.3 - zrobione.

 

 

Wolny start: być może programy zabezpieczające mają coś do rzeczy. Tu jest Avira, KeyScrambler, Secunia PSI i jeszcze doszedł Kaspersky Security Scan.

 

Secunia jest uruchamiana od czasu do czasu (nie startuje z systemem); autostart Kaspersky został wyłączony.

 

 

Dodatkowo sugeruję deinstalację firmowego ASUS WebStorage

 

Zrobione.

 

 

Avira nie może wykonać pełnego skanowania systemu; pojawia się następujący komunikat:

- Nie widzę przyczyny. Jaką ścieżkę próbuje skanować Avira, gdy pojawia się ów błąd?

 

Probelm zniknął

 

Czy powinienem wykonać jeszcze jakieś kroki? Najważniejszą rzeczą było dla mnie ustalenie, czy system złapał wirusa - dziękuję za pomoc i za poświęcony mi czas

 

Fixlog.txt

GMER v2.txt