AV wykrywa wirusy-"PDM.Keylogger" oraz "PDM. Suspicious d...

Witam.

Ostatnio, kolega coś ściągał na moim komputerze. Nie wiem co to było (najprawdopodobniej jakieś gry), ale antywirus(Kaspersky IS) wykrył coś takiego >"PDM.Keylogger" i "PDM.Suspicious driver instalation"-czy jakoś tak. Czy są ta wirusy prawdziwe? Czy może fałszywe alarmy?

W logach niżej powinno wszystko widać.

Otl- ---------------
Extras- ------------------
Gmer- -----------------
Rsit- ------------------

Sprawdzając logi w poszukiwaniu tych wyżej wirusów, proszę was abyście usuneli zbędny soft i sprawdzili czy wogóle są tu jakieś wirusy.

Ostatnio edytowany przez LeeO, 06 Lis 2011, 09:35, edytowano w sumie 1 raz

Nie wiem co to było (najprawdopodobniej jakieś gry), ale antywirus(Kaspersky IS) wykrył coś takiego >"PDM.Keylogger" i "PDM.Suspicious driver instalation"-czy jakoś tak. Czy są ta wirusy prawdziwe? Czy może fałszywe alarmy?

Podaj raport z tego skanowania.

DRV - [2003-09-06 14:37:22 | 000,062,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\prohlp02.sys -- (prohlp02)
DRV - [2003-09-06 13:27:06 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfhlp01.sys -- (sfhlp01)
DRV - [2003-09-06 13:25:52 | 000,051,744 | ---- | M] (Protection Technology) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\prodrv06.sys -- (prodrv06)
DRV - [2003-09-06 13:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\prosync1.sys -- (prosync1)

To są stare sterowniki zabezpieczenia StarForce. Deinstaluj je http://www.star-force.com/support/drivers/.

Następnie wejdź w START URUCHOM Msconfig Usługi i odznacz tam usługę NVIDIA Display Driver Service Zastosuj.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej

Kod:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = http://search.msn.com/spbasic.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.65\npGoogleUpdate3.dll (Google Inc.)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

:Files
C:\Program Files\Google\Update

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Skrypt z Otl- -------------------

Podczas wyłączania usługi -NVIDIA Display Driver Service, wszedłem na zakładke uruchamiane, i tam pojawiła sie jakaś dziwna nowa usługa zaczynający sie na litere "k". Nie pamiętam jej nazwy bo po skrypcie z otl usługa znikneła. Co to mogło być?

Co do sterowników zabezpieczających StarForce, czy mogł bym prościć o link ze spolszczoną tą stroną?

Gdy skanuję kompa to niby czysto, ale jak wchodzę w raporty tam wyidać wyraznie te 2 wirusy.

Ostatnio edytowany przez LeeO, 06 Lis 2011, 15:06, edytowano w sumie 1 raz

Podczas wyłączania usługi -NVIDIA Display Driver Service, wszedłem na zakładke uruchamiane, i tam pojawiła sie jakaś dziwna nowa usługa zaczynający sie na litere "k". Nie pamiętam jej nazwy bo po skrypcie z otl usługa znikneła. Co to mogło być?

Trudno powiedzieć.

Co do sterowników zabezpieczających StarForce, czy mogł bym prościć o link ze spolszczoną tą stroną?

Najprościej: pobierasz www.star-force.com/support/sfdrvrem.zip wypakowujesz uruchamiasz plik sfdrvrem.exe

ale jak wchodzę w raporty tam wyidać wyraznie te 2 wirusy.

Podaj nazwy tych wykrytych plików i ich lokalizacje.

No i podaj nowe logi z OTL robione opcją Skanuj

Oto nowe logi:
Otl- -----------------------------
Extras- ---------------------------------
Gmer- --------------------------------
Rsit- -----------------------------

Ostatnio edytowany przez LeeO, 06 Lis 2011, 15:07, edytowano w sumie 1 raz

Co do logów, tyle.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Co do tych plików na których kaspersky wykrył wirusa, znajdują się w F:/gry/. Tyle że owy folder jest aktualnie pusty...
Myślę że kolega, po pobraniu tych gier zaraz je usunął. Pewnie sobie jeszcze je zgrał na jakieś USB...

Dziękuję Wam za poświęcenie mi czasu i udzielenie pomocy, wiedziałem że mogę liczyć na waszą pomoc.

Proszę was o ponowne sprawdzenie nowych logów:

Otl- ---------------------------
Extras- -----------------------------
Gmer- ------------------------
Rsit- --------------------------

Sprawdzając te logi proszę was żebyście wzieli pod uwagę szczegulnie keyloggery i inne tego typu szpiegi, gdyż być może będę grał niedługo w jakąś nową grę z serii MMORpg.

Ostatnio edytowany przez LeeO, 06 Lis 2011, 15:08, edytowano w sumie 1 raz

Co do tej usługi zaczynającej się na litere "k" w zakładce uruchamiane. Czy jest możliwe żeby samo się tak po prostu to włączyło? Czy może to przez jednego z tych 2 wirusów?

Ten pierwszy skrypt to usunoł, nie widać w nim czegoś?

Czysto.
Użyj OTC http://www.instalki.pl/programy/downloa ... e/OTC.html, aby posprzątać po wszystkich programach diagnostycznych.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję Java`y Java(TM) 6 Update 26 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
Odinstaluj Adobe Acrobat 4.0.

Witam ponownie.

Proszę o ponowne sprawdzenie nowych logów, gdyż podejrzewam infekcję. Ostatnio pojawiają mi się jakieś dziwne procesy. Dodatkowo mam taki problem, jak włączę grę, a następnie wyłączę, to komputer strasznie muli, nieda się nic zrobić. Jeszcze przed założeniem tematu było wszystko ok, może to przez ten wyżej skrypt z OTL, albo przez usunięcie sterowników StarForce

Proszę o pomoc, oto logi.

Otl- ..........
Extras- ................
Gmer- ....................
Rsit- .....................

Ostatnio edytowany przez LeeO, 09 Lis 2011, 20:02, edytowano w sumie 1 raz

Wejdź w START URUCHOM Msconfig Usługi i odznacz tam usługę NVIDIA Display Driver Service Zastosuj.

Odinstaluj antywirusa za pomocą tego deinstalatora http://support.kaspersky.com/faq/?qid=208279463.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:Files
C:\Documents and Settings\patryk\Pulpit\RSIT.exe
C:\Documents and Settings\patryk\Pulpit\jzt1buhh.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Koniecznie muszę odinstalowowywać antywirusa do wykonania tego skryptu? Jak to zrobię, to czy będę mogł ponownie go zainstalować, bo licencie mam jeszcze na 160 dni

Do czego służy ta wyżej usługa "NVIDIA Display Driver Service"

Jeśli chodzi o antywirusa to myślę, że to on powoduje te problemy z komputerem. Po prostu jest "zbyt ciężki" dla Twojego komputera. NVIDIA Display Driver Service jest to usługa od sterowników nVidia, która jest zupełnie zbędna i spowalnia system.

Czyli najprościej: odinstaluj go na próbę, zobaczysz czy bez niego problem ustąpił, jeśli nie to go po prostu z powrotem zainstalujesz.