Trojan usunięty - sprawdzenie czy są pozostałosci

[19normalny89]

Witam Was

 

Miałem w komputerze syf (zauważyłem gdy sieć spowalniała czasami)

2010-07-07 12:11:44 C:\Users\Dawid\AppData\Local\Temp\NS6ECC.tmp [L] Win32:DNSChanger-ZZ [Trj] (0)

Plik został usunięty z powodzeniem...

2010-07-07 12:27:16 C:\Users\Dawid\AppData\Local\Temp\NSA660.tmp [L] Win32:DNSChanger-ZZ [Trj] (0)

Plik został usunięty z powodzeniem...

2010-07-07 12:42:49 C:\Users\Dawid\AppData\Local\Temp\NSE323.tmp [L] Win32:DNSChanger-ZZ [Trj] (0)

Plik został usunięty z powodzeniem...

To log z Avast 5, komp został przeskanowany również za pomocą SpyBot i to co znalazł usunięte.

 

Moja prośba brzmi: Proszę sprawdzić czy nic "złego" jeszcze nie zostało w moim systemie. (Posiadam Win7)

[picasso]

Moja prośba brzmi: Proszę sprawdzić czy nic "złego" jeszcze nie zostało w moim systemie. (Posiadam Win7)

 

Tylko, że nie dostarczyłeś wymaganych danych, czyli logów przedstawiających widok systemu: KLIK.

[19normalny89]

Oj przepraszam

 

Logi z OTL -> otl oraz extras

Log z Gmer -> click

[picasso]

Stosowałeś ComboFix i nie przyznałeś się do tego, a naciskam w ogłoszeniu, by zdać dokładną relację i pokazać także raport, który był utworzony z takich działań - czy na dysku C masz może plik o nazwie C:\ComboFix.txt? W tu podanych logach nie widzę nic czynnego, ale:

 

1. Są dwa podejrzane pliki, nieznanego mi pochodzenia (w kwestii drugiego pliku, OTL nie podaje informacji o docelowym pliku z zadania harmonogramu *.job):

 

[2010-07-07 09:02:34 | 000,084,480 | RHS- | C] (Microsoft Corporation) -- C:\Windows\System32\hr-HR0.dll
[2010-06-20 18:26:27 | 000,000,186 | ---- | M] () -- C:\Windows\Tasks\{EA8763DA-8DE3-4CE6-8004-F022CC305807}.job

 

Włącz pokazywanie ukrytych w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Następnie rzuć ten pierwszy plik na VirusTotal i przedstaw tu wyniki.

 

2. Na liście programów figuruje wpis Ask Toolbar. Uruchom deinstalację tego. Jeśli proces usuwania będzie niemożliwy, podam inny sposób.

 

 

.

[19normalny89]

ComboFix'a użyłem zanim tutaj napisałem... chciałem sam usunąć świństwa z systemu ale po przeczytaniu tego co napisałaś już więcej nie będę używał tego programu na własną rękę. Loga z ComboFix'a już nie mam

 

Wyniki skanowania tego pliku:

Prevx - High Risk Cloaked Malware

Reszta nie znalazła w nim nic złego.

 

 

Ask Toolbar, mam tak mądrego brata ze to wywalił ręcznie plik zamiast odinstalować. Program CCleaner oraz Revo Uninstaller nie pokazuje tego na liście rzeczy możliwych do usunięcia.

 

Co z tym co pokazał "Prevx" oraz co z tym toolbarem ?

[picasso]

Nie twórz postów "podbijających". Brak natychmiastowej odpowiedzi jest dyktowany pewnymi oczywistościami typu brak czasu na realizację zadania. Posty łączę.

 

1. Wynik z PrevX nie jest decydujący, ta klasyfikacja jest najwyraźniej prowadzona metodą heurystyczną, czyli niewolną od błędów. Plik jednak jest podejrzany z tego względu, że: na Google nie potrafię znaleźć o nim żadnej informacji, w Windows 7 nie ma takiego pliku w stanie czystej instalacji systemowej, plik ma marker Microsoftu ale jednocześnie ma atrybut ukryty "ni w pięc ni w dziesięć", jest utworzony na świeżo. Toteż proponuję: te dwa pliki, które zakreśliłam wcześniej, wyizolować z systemu: zmienić im nazwy (np. usuwając rozszerzenie) i przenieść poza foldery systemowe np. do tymczasowego katalogu na Pulpicie. Zresetować system i sprawdzić czy są jakieś skutki uboczne.

 

2. W kwestii Ask Toolbar, sprawdź czy wpis w aplecie usuwania programów widoczny w OTL jest widzialny w programie Multi-Toolbar Remover.

 

ComboFix'a użyłem zanim tutaj napisałem... chciałem sam usunąć świństwa z systemu ale po przeczytaniu tego co napisałaś już więcej nie będę używał tego programu na własną rękę. Loga z ComboFix'a już nie mam

 

A jakie pliki logów masz w katalogu kwarantanny ComboFix C:\Qoobox, który jest na Twoim dysku, bo widzę to w OTL.

 

 

.

[19normalny89]

To Ci pewnie ułatwi sprawę.

 

 

Mam stary screen Avasta co pokazywał

ComboFix usunął wtedy całe AppData

[picasso]

Hmmm ... "Oryginalna nazwa pliku: NlsData0414.dll". Plik NlsData0414.dll w Windows 7 ma inną datę publikacji, inne parametry rozmiaru i nie ma atrybutu ukrytego:

 

 

Popatrz też na swój build Windows 7: Ultimate Edition (Version = 6.1.7600) i taki build jest odnotowany na pliku MS. Zaś plik hr-HR0.dll, mający być niby kopią, nosi kuriozum 6.0.6000.16386.

 

Podtrzymuję, by plik hr-HR0.dll wyizolować na próbę. To jest jakaś dziwna ukryta "kopia" o danych niezgodnych z oryginałem, pochodząca z niewiadomego procesu, utworzona co dopiero. "Microsoft" we Właściwościach to w obecnych czasach nie jest element potwierdzający prawidłowość pliku.

 

ComboFix usunął wtedy całe AppData

 

To nie mówi wystarczająco dużo, bo sama nazwa nie musi oznaczać dokładnie tego samego. Ponawiam pytanie: co jest w katalogu C:\Qoobox?

 

 

.

[19normalny89]

"...a brata zabijam tak..." skasował wszystkie foldery jakie stworzył ComboFix.

 

Nie mogę nic z tym plikiem robić bo jest w użyciu, jak go przenieś w takim razie winne miejsce i zmienić nazwę ?

[DawidS28]

Nie mogę nic z tym plikiem robić bo jest w użyciu, jak go przenieś w takim razie winne miejsce i zmienić nazwę ?

Na przykład programem Unlocker - KLIK.

[19normalny89]

Komputer śmiga normalnie bez tego pliku.

 

Dziękuję za pomoc.

[picasso]

Na wszelki wypadek wytwórz nowy zestaw logów z OTL, nie zapomnij zaznaczyć w sekcji "Rejestr - skan dodatkowy" opcji "Użyj filtrowania".

[19normalny89]

Dobrze, otl.txt oraz extras.txt

[picasso]

Miałeś zająć się dwoma plikami, jeszcze został ten:

 

[2010-06-20 18:26:27 | 000,000,186 | ---- | M] () -- C:\Windows\Tasks\{EA8763DA-8DE3-4CE6-8004-F022CC305807}.job

 

Na liście zainstalowanych programów nadal widać Ask Toolbar:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

 

Czy Multi-toolbar Remover tego nie widzi?

 

 

 

.

[19normalny89]

Używałem Multi-toolbar Remover

 

Plik dałem w inno miejsce (przed chwilą)

 

 

 

Edit

Teraz użyłem Multi-ToolbarRemover (drugi raz) i ASKRemover

Później skan OTL

Logi -> otl.txt a z extras.txt nie pojawił się, za to centrum akcji pokazało ze niby Emsisoft Anti-Malware wyłączony co było błędem. Kliknąłem aby go Centrum Akcji włączyło i .. po drugim razie komunikat o wyłączonym programie antywirusowym znikł.

 

Jeszcze raz zrobić (spróbować) zrobić skan OTL ?

[picasso]

Używałem Multi-toolbar Remover

 

W takim układzie Start > w polu szukania wpisz regedit > z PPM Uruchom jako Administrator i skasuj z prawokliku ten klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

 

EDIT:

 

a z extras.txt nie pojawił się

 

vs.

 

nie zapomnij zaznaczyć w sekcji "Rejestr - skan dodatkowy" opcji "Użyj filtrowania"

 

 

.

[19normalny89]

Znalazłem, usunąłem, uruchomiłem ponownie komputer, zapuściłem OTL.

 

Logi -> otl.txt oraz extras.txt

[picasso]

Wyedytowałeś poprzedni post, to te dwa takie bez sensu już usuwam. Aktualnie w OTL Extras nie ma już zapisu Ask Toolbar, czyli usunięty został w pomyślny sposób. Drobnostki na koniec:

 

1. Użyj w OTL funkcję Sprzątanie.

 

2. Wyczyść foldery tymczasowe przez TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

.

[19normalny89]

Zrobione, BARDZO CI DZIĘKUJĘ