Dziwna praca komputera po sciągniecu "dziwnego" pliku.

Post18 lip 2013, 01:50

Siema, przez przypadek sciągnąłem podejrzane oprogramowanie, i coś mi KIS 2013 wolno chodzi, może ktoś sprawdzić moje logi ?

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post18 lip 2013, 12:16

Malwarebytes.

Opróżnij jego kwarantannę (przycisk Usuń Wszystko).

HijackThis.

Tego oprogramowania już się nie używa. W HijackThis zafixuj:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [AQQ] C:\PROGRA~2\WapSter\WAPSTE~1\AQQ.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Google Update] "C:\Users\Krzysiek\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Oracle Java] "C:\Windows\system32\javaw.exe" -jar "C:\Users\Krzysiek\AppData\Roaming\java_u.jar"
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe

Następnie odinstaluj HijackThis.

"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{5520469F-5FDD-4923-8DBC-343C3336D5D3}" = S-Bar
"{EA8FA6BE-29BE-4AF2-9352-841F83215EB0}" = Update Manager for SweetPacks 1.1
"Driver Genius_is1" = Driver Genius

Odinstaluj.

ADWCleaner.

Użyj Go z opcji Delete.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\..\SearchScopes,DefaultScope = {8EEAC88A-079B-4b2c-80C1-7836F79EB40A}
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=121845&babsrc=SP_ss&mntrId=A8F3DCA971023961
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\..\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&fr=chr-comodo
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_224.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Krzysiek\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Krzysiek\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
CHR - Extension: Dokumenty Google = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.5_0\
CHR - Extension: Dysk Google = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.3_0\
CHR - Extension: YouTube = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.6_0\
CHR - Extension: Szukaj w Google = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.20_0\
CHR - Extension: Kaspersky URL Advisor = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\13.0.1.4190_0\
CHR - Extension: Chrome Extensions Manager = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\fohlobpjdcjjcnpdpfjcdfofgkoaemjc\1.6_0\
CHR - Extension: AdBlock = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.6.2_0\
CHR - Extension: Safe Money = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\hakdifolhalapjijoafobooafbilfakh\13.0.1.4190_0\
CHR - Extension: Content Blocker = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\hghkgaeecgjhjkannahfamoehjmkjail\13.0.1.4190_0\
CHR - Extension: Klawiatura wirtualna = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh\13.0.1.4292_0\
CHR - Extension: Gmail = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
CHR - Extension: Anti-Banner = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman\13.0.1.4190_0\
O4 - HKLM..\Run: [Driver Genius] File not found
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - File not found
[2013-07-18 01:26:22 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis
[2013-07-18 01:26:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\hij
[2013-07-18 01:26:22 | 000,002,999 | ---- | M] () -- C:\Users\Krzysiek\Desktop\HiJackThis.lnk
[2013-05-29 10:12:08 | 001,335,014 | ---- | C] () -- C:\Users\Krzysiek\AppData\Roaming\sqlite.jar
[2013-05-29 10:11:59 | 000,803,987 | ---- | C] () -- C:\Users\Krzysiek\AppData\Roaming\java_u.jar
[2012-11-05 20:37:32 | 000,179,700 | ---- | C] () -- C:\Windows\hpoins46.dat.temp
[2012-11-05 20:37:32 | 000,000,532 | ---- | C] () -- C:\Windows\hpomdl46.dat.temp
[2012-09-03 09:56:44 | 000,233,472 | ---- | C] () -- C:\Windows\SysWow64\MafiaSetup.exe
[2012-08-30 19:11:23 | 000,828,671 | ---- | C] () -- C:\Users\Krzysiek\AppData\Local\Tempmusic.ogg
[2003-04-09 05:28:44 | 000,233,472 | R--- | C] () -- C:\Users\Krzysiek\AppData\Roaming\MafiaSetup.exe
[2013-04-22 16:52:43 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\Babylon
[2012-10-20 16:51:08 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\ESET
[2012-08-14 00:58:16 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\HD Tune Pro
[2012-09-13 12:53:39 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\Leadertech
[2012-07-15 11:17:29 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\LolClient
[2012-10-29 17:36:50 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\NapiProjekt
[2012-09-29 18:21:06 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\StreamTorrent
[2012-09-14 19:45:38 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\Ubisoft

:Services
gupdate
gupdatem

:Files
C:\Users\Krzysiek\AppData\Local\Google\Update
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z TDSSKiller + nowe logi z OTL.

Post18 lip 2013, 19:31

Następnie podaj log z TDSSKiller + nowe logi z OTL.

Musze podawać z tego logi skoro mam KIS 2013 bo to chyba to samo oprogramowanie ? Ten syf to było coś groźnego ?

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post18 lip 2013, 22:36

Musze podawać z tego logi skoro mam KIS 2013 bo to chyba to samo oprogramowanie ? Ten syf to było coś groźnego ?

To zupełnie coś innego.

ADWCleaner.

Naciśnij w nim przycisk Odinstaluj.

OTL.

Skrypt źle wykonany. Pominąłeś początkowe :OTL. Popraw.

Post21 lip 2013, 11:49

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post21 lip 2013, 13:37

Resztki Oprogramowanie Zabezpieczającego.

Użyj Dostępne tylko dla zarejestrowanych użytkowników ( po użyciu, usuń ten plik).

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
[2013-05-29 10:12:11 | 000,000,000 | ---D | M] -- C:\Users\Krzysiek\AppData\Roaming\support@mozilla.com
@Alternate Data Stream - 269 bytes -> C:\ProgramData\TEMP:6BE50C2B

:Files
C:\Program Files\ESET
C:\Windows\tasks\*.*

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post21 lip 2013, 23:36

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Tylko jest problem bo scrooll w toutchpadzie mi nie dziala :shock:

Post22 lip 2013, 10:04

Tylko jest problem bo scrooll w toutchpadzie mi nie dziala

Hmmm. Nie ruszaliśmy tego. Reinstaluj sterowniki od TouchPad`a.

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AdobeFlashPlayerUpdateSvc
Microsoft SharePoint Workspace Audit Service
nvsvc
nvUpdatusService
ose
osppsvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą File Not Found.

Następnie podajesz nowe logi z OTL.