Podejrzenie trojana, Win8.1 x64

[CienkiPPP]

Cześć, może jestem trochę przewrażliwiony ale do rzeczy. Moja dziewczyna zauważyła u siebie na pendrive jakieś trojany - było to mniej więcej bo wcześniejszym podłączeniu go u mnie do PC. Szybki skan Avastem partycji C nic nie zdziałał, ale mam wrażenie, że od jakiegoś czasu komp wolniej chodzi (a może to placebo?). W każdym razie, chciałem się upewnić, dlatego załączam obowiązkowe logi i proszę o pomoc w ich interpretacji.

Logi z FRST i OTL poszły bezproblemowo.

 

Miałem problem z GMER i log z niego jest chyba trochę upośledzony - po uruchomieniu wyświetliło mi BSOD, dlatego uruchamiałem w trybie awaryjnym. Natomiast w safemode przy starcie, nie zrobiło mi szybkiego skanowania bo wyskoczył błąd, że proces jest aktualnie używany czy coś takiego. Potem nastawiłem pełne skanowanie wg instrukcji - trwało ono kilkanaście sekund, po czym wyskoczył mi podobny komunikat jak wcześniej i coś o dostępie do dysku (możliwe, że to przez partycję recovery na lapku bo widziałem coś tam z MBD w nazwie). Tak czy inaczej - log wstawiam.

 

Miałem Daemon Tools, ale przed całą akcją go odinstalowałem, po reboocie odpaliłem programik do dezinstalacji sterownika SPTD ale pokazało mi, że nie jest zainstalowany, więc teoretycznie z tym OK. Przy odpalaniu GMER Avast nie działał, bo safe mode, a zapora była wyłączona.

 

Z rozpędu wrzucę jeszcze log z SecurityCheck.

 

Results of screen317's Security Check version 0.99.88

 

x64 (UAC is enabled)  

Internet Explorer 11

 

``````````````Antivirus/Firewall Check:``````````````

 

Windows Firewall Enabled!

Windows Defender

avast! Antivirus  

Antivirus up to date!   

 

`````````Anti-malware/Other Utilities Check:`````````

Java 7 Update 51

Java version out of Date!

Adobe Flash Player 13.0.0.182

Flash Player out of Date!

Adobe Reader XI

Google Chrome 38.0.2125.101  

 

````````Process Check: objlist.exe by Laurent````````

 

Avast Free AvastSvc.exe

Avast Free AvastUI.exe   

 

`````````````````System Health check`````````````````

 

Total Fragmentation on Drive C:  % 

 

````````````````````End of Log``````````````````````

Addition.txt

Extras.Txt

FRST.txt

GMERsafemode.txt

OTL.Txt

Shortcut.txt

[picasso]

Nie notuję tu żadnych oznak infekcji. Tylko drobna kosmetyka na wpisy puste i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-3271926520-1150071145-3826385388-1002\...\Run: [] => [X]
HKU\S-1-5-21-3271926520-1150071145-3826385388-1002\...\Run: [Power2GoExpress8] => NA
SearchScopes: HKCU - {E638515C-D588-42B8-B2F7-99BBD66780EE} URL =
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
S3 cpuz136; \??\C:\Users\MICHA~1\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X]
S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X]
S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X]
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
S3 SBIOSIO; \??\C:\Users\MICHA~1\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X]
S3 usb3Hub; \SystemRoot\System32\drivers\usb3Hub.sys [X]
S3 XHCIPort; \SystemRoot\System32\drivers\XHCIPort.sys [X]
C:\ProgramData\Temp
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

.

[CienkiPPP]

Proszę, oto mój fixlog.

 

Tak w ogóle to dziękuję za pomoc picasso

 

Jak widać ten typ (w sensie pc i win 8.1) tak ma - mam Avast free, zaporę windows i zainstalowaną darmową wersję malwarebytes. Procesy uruchamiane przy starcie systemu ograniczone do niezbędnego minimum, usług zbędnych tez trochę wyłączone, a komp i tak uruchamia się wolniej niż moja stacjonarka nieformatowana od jakichś nie wiem 3 lat na której jest Win7 a ma np. 4 razy mniej RAMU przy mniej więcej podobnym procesorze. Ale jak już się rozrusza to przy samej pracy ogólnie jest wszystko OK.

 

Generalnie raz na jakiś czas staram się wyczyścić jakieś zbędne śmieci CCleanerem, puścić skan z MalwareBytes i adwcleaner. Nie wiem co mogę jeszcze zrobić.

Fixlog.txt

[picasso]

Skrypt pomyślnie wykonany, więc ten etap mamy za sobą. Usuń ręcznie folder C:\Users\Michał\Desktop\diagnostyka, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

Jak widać ten typ (w sensie pc i win 8.1) tak ma - mam Avast free, zaporę windows i zainstalowaną darmową wersję malwarebytes. Procesy uruchamiane przy starcie systemu ograniczone do niezbędnego minimum, usług zbędnych tez trochę wyłączone, a komp i tak uruchamia się wolniej niż moja stacjonarka nieformatowana od jakichś nie wiem 3 lat na której jest Win7 a ma np. 4 razy mniej RAMU przy mniej więcej podobnym procesorze. Ale jak już się rozrusza to przy samej pracy ogólnie jest wszystko OK.

 

Generalnie raz na jakiś czas staram się wyczyścić jakieś zbędne śmieci CCleanerem, puścić skan z MalwareBytes i adwcleaner. Nie wiem co mogę jeszcze zrobić.

Widzę, że wyłączyłeś te obiekty:

 

==================== MSCONFIG/TASK MANAGER disabled items =========
 

MSCONFIG\Services: AMPPALR3 => 3

MSCONFIG\Services: Bluetooth Device Monitor => 3

MSCONFIG\Services: Bluetooth OBEX Service => 3

MSCONFIG\Services: BTHSSecurityMgr => 3

MSCONFIG\Services: gupdate => 2

MSCONFIG\Services: gupdatem => 3

MSCONFIG\Services: MBAMScheduler => 3

HKLM\...\StartupApproved\Run: => "AdobeAAMUpdater-1.0"

HKLM\...\StartupApproved\Run: => "Bitcasa"

HKLM\...\StartupApproved\Run: => "BTMTrayAgent"

HKLM\...\StartupApproved\Run: => "HotKeysCmds"

HKLM\...\StartupApproved\Run: => "IgfxTray"

HKLM\...\StartupApproved\Run: => "IAStorIcon"

HKLM\...\StartupApproved\Run: => "NvBackend"

HKLM\...\StartupApproved\Run32: => "Adobe Reader Speed Launcher"

HKLM\...\StartupApproved\Run32: => "Adobe ARM"

HKLM\...\StartupApproved\Run32: => "CLMLServer_For_P2G8"

HKLM\...\StartupApproved\Run32: => "CLVirtualDrive"

HKLM\...\StartupApproved\Run32: => "Intel AppUp(SM) center"

HKLM\...\StartupApproved\Run32: => "RemoteControl10"

HKLM\...\StartupApproved\Run32: => "Intel AppUp® center"

HKLM\...\StartupApproved\Run32: => "AdobeAAMUpdater-1.0"

HKLM\...\StartupApproved\Run32: => "BTMTrayAgent"

HKLM\...\StartupApproved\Run32: => "EaseUS EPM tray"

HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched"

HKCU\...\StartupApproved\Run: => "Steam"

HKCU\...\StartupApproved\Run: => "DAEMON Tools Lite"

HKCU\...\StartupApproved\Run: => "Power2GoExpress8"

HKCU\...\StartupApproved\Run: => "uTorrent"

 

1. Mógłbyś jeszcze wyłączyć:

- Via Menedżer zadań Windows 8: Facebook Update.

- Via msconfig w karcie Usługi: NVIDIA Network Service (NvNetworkService) i SW Update Service (SWUpdateService),

- Via Autoruns w karcie Scheduled Tasks: zadania Adobe, Facebook, Google, Samsung (updater CommonAgent.exe). Są też inne zadania Samsung i Intel, które można przetesować.

 

2. Jeśli powyższe nie przyniesie żadnych zmian, sprawdziłabym jak system działa po testowej deinstalacji Avast. Mimo wszystko to bardzo inwazyjny typ pracujący na poziomie kernel. Sprawdzenie jego wpływu poprzez deinstalację, gdyż zwykłe wyłączanie w opcjach nie niweluje aktywności sterowników Avast, a próby wyłączenia tego zabiorą zbyt dużo czasu, szybciej pójdzie poprzez deinstalację.

 

 

 

.