ESET Smart Security 4 znalazl na pendrivie 15 infekcji

[SzeryfChudy]

Witam
z gory pisze iz jako tako jestem zielony w sprawach systemowych.
Podlaczylem do kompa pedrive ktory byl podlaczony w szkolnym kompie.
ESET Smart Security 4 znalazl na nim "tylko" 15 infekcji. Po za tym zdarza mi sie, ze eset blokuje rozne strony, poniewaz sa podobno zarazone. Wszystko ok, ale od momentu podlaczenia tego zainfekowanego pendrive komp nieco zwolnil tempo swojego dzialania.
Wykonalem skan MKS Online i znalazl 17 trojanow Trojan Agent.xeh
Wszystkie infekcje byly w System Volume Information\Restore\xxx\RPxx\Axxx.com ["com" lub "exe"]
[Tam gdzie xxx to ciag roznych cyfer i liter z czego zmienne byly tylko na samym koncu w plikach \Axxx.com]

Mam powody do paniki, poniewaz rozne opinie o tym czytalem na forach a ja m.in korzystam z konta bankowego, allegro i innych bardzo waznych witryn. Strata hasla byla by dla mnie ogromnym problemem.

Nie wiem od czego zaczac wiec wklejam log hijackthis:
http://www.wklej.eu/index.php?id=7d3ed19128

oraz OTL [wyskoczyly 3pliki txt wiec wszystkie wkleilem]
http://www.wklej.eu/index.php?id=c96587147b
i Extras [rowniez 3pliki txt w jednym]
http://www.wklej.eu/index.php?id=7f9979e3c1

[BEST0]

"Mam powody do paniki, poniewaz rozne opinie o tym czytalem na forach a ja m.in korzystam z konta bankowego, allegro i innych bardzo waznych witryn. Strata hasla byla by dla mnie ogromnym problemem."

Wykryło keyloggera/y,trojan banker/y?
Jeśli nie to oto się nie martw.

[mateo8898]

Podlaczylem do kompa pedrive ktory byl podlaczony w szkolnym kompie.
ESET Smart Security 4 znalazl na nim "tylko" 15 infekcji. Po za tym zdarza mi sie, ze eset blokuje rozne strony, poniewaz sa podobno zarazone. Wszystko ok, ale od momentu podlaczenia tego zainfekowanego pendrive komp nieco zwolnil tempo swojego dzialania.

Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log.

Poza tym widzę, że był tutaj stosowany ComboFix, więc podaj log, który wtedy utworzył.

"Mam powody do paniki, poniewaz rozne opinie o tym czytalem na forach a ja m.in korzystam z konta bankowego, allegro i innych bardzo waznych witryn. Strata hasla byla by dla mnie ogromnym problemem."

Wykryło keyloggera/y,trojan banker/y?
Jeśli nie to oto się nie martw.

Nie tylko keyloggery "wykradają" poufne dane. Teraz sporo infekcji jest na to nastawione.

[SzeryfChudy]

Dziex za zainteresowanie sie tematem;)

Keyllogerow nie wykryto ale "glupi" MKS online znalazl agenty a "porzadny" eset nic nie znalazl podczas skanowania dysku godzine po wsadzeniu pamieci. Z czego czytalem to agenty lubia sie aktualizowac i rozszerzac wiec wole dmuchac na zimne.

Pendrive ktory byl wtedy uzyty juz dawno zostal sformatowany i to juz pewnie nie jeden raz wiec raczej logi z niego nic chyba nie dadza? Combofixa pobralem znow [teraz najnowsza wersje].
Wlaczyl sie, przeskanowal, znalazl rookita, restart windy, reszta dzialania i o to log sprzed 5minut:
http://wklej.eu/index.php?id=0220df430e

[mateo8898]

Combofixa pobralem znow [teraz najnowsza wersje].
Wlaczyl sie, przeskanowal, znalazl rookita, restart windy, reszta dzialania i o to log sprzed 5minut:

A kto Ci kazał uruchamiać jeszcze raz ComboFixa??? To nie jest zwykły skaner, tylko silnie ingerujące w system narzędzie i w ogóle nie powinieneś go używać na własną rękę. To nie zabawka.
Poza tym to co podałeś, to tylko jakiś strzępek tego loga. Podaj obydwa logi, ten z pierwszego i drugiego uruchomienia, tylko w całości. I czasem nie uruchamiaj ComboFixa ponownie, bo to nic nie da, a tylko zaciemnia wyniki (nie wiem, co usuwał przy pierwszym uruchomieniu) i może się źle skończyć....

Co do UsbFix, w takim razie podłącz pamięci przenośne i użyj tylko opcji Vaccinate.

[SzeryfChudy]

Log z C:\Combofix.txt
http://wklej.eu/index.php?id=58f584a294.

Poprzedniego loga nie mam bo byl on robiony jakiej 4tygodnie temu tuz przed wsadzeniem pendrive. Wtedy inny problem mialem ale o ile pamietam to nic nie bylo usuniete przez Combo.

Uruchomilem UsbFixa, kliknalem Vaccinate i wyskoczyly mi po kolei komunikaty: "Vaccination done! C:\Autorun.inf."
Kazdy komunikat byl taki sam z tym, ze roznily sie literą dysku.
Log UsbFix z : C:\UsbFix.txt
http://wklej.eu/index.php?id=fa0370ea9b

Jezeli teraz Combo usunal rookita to co z przywracaniem systemu? Usunac wszystkie "save" wraz z tym tuz po formacie z czystym systemem?

[mateo8898]

Jezeli teraz Combo usunal rookita to co z przywracaniem systemu? Usunac wszystkie "save" wraz z tym tuz po formacie z czystym systemem?

Żadnego rootkita tutaj ComboFix nie usuwał ani nic tu takiego nie ma. Co do punktów przywracania systemu, to dam je do czyszczenia w OTL.
Zresztą to co wykrył MKS, to tylko właśnie pozostałości w punktach przywracania, więc w sumie to Eset tutaj posprzątał, bo w logach nic szkodliwego nie widać, tylko kilka pustych wpisów.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- -- (OMSI download service)
SRV - File not found [Auto | Stopped] -- -- (JavaQuickStarterService)

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"=-
"C-Media Speaker Configuration"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-

:Commadns
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Sam wrzucałeś Menedżer zadań do autostartu???

[SzeryfChudy]

Sadzilem, ze byl rookit bo Combo taki komunikat pokazal.

Log tuz po wykonaniu skryptu:
http://www.wklej.eu/index.php?id=59b5ec6359

I swieze logi: <OTL.txt> oraz <Extras.Txt>.

Menedzera zadan samemu wsadzilem do autostartu.
Kontroluje czasem przeplyw danych przez sieciowke podczas grania itp.
Kiedys mialem pingi w grze 25-40 oraz loss i choke 0.
Po formacie zrobilo mi sie ping +45 oraz lossy od 0-15 i choke 1-99 [Counter Strike 1.6].

[mateo8898]

Zrobiłem małą literówkę w skrypcie, więc poprawka jeszcze. W OTL wklej

:OTL

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Następnie:

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Odinstaluj starą wersję Javy:

Java(TM) 6 Update 17

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html

Odinstaluj starą wersję czytnika .pdf:

Adobe Reader 8 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

[SzeryfChudy]

Z ta java i adobe to konieczne?
Jave uruchamia mi sie tylko jak gram "raz na rok" na kurniku.
Adobe to gora raz na miesiac. Nowsze wersje nie beda zbyt wymagajace na moje
AMD Athlon XP 2200+ 1,96GHz [krecone z 1,8, wiecej mozna ale resetuje sie komp podczas pracy, raz po godzinie raz po 4minuntach, niewazne jakie obiciazenie], 512MB DDR ?

[mateo8898]

Z ta java i adobe to konieczne?

Konieczne, gdyż stare wersje są dziurawe.
Jeśli chodzi o Javę, na pewno nie będzie różnicy w obciążeniu, co do Adobe Readera to musisz sam sprawdzić, ewentualnie zainstaluj jakąś lekką alternatywę, np. Foxit Readera http://www.instalki.pl/programy/downloa ... eader.html

[SzeryfChudy]

Pozniej zaktualizuje jave a zamiast adobe wgram Fine Reader bo kiedys go mialem.
CCleaner'em to czyszcze dyski i rejestr przynajmniej raz w tygodniu.

Uzywalem jeszcze jv Power Tools 2010 ale [co zapomnialem napisac na poczatku ] ale plik programu .exe zostal przemianowany przez MKS, poniewaz zawieral Heur.W32 [podejrzany - podejrzane dzialanie].

Jako tako wiedzialem co w nim robie ale czuje, ze bede musial sie nacieszyc
starsza wersja [o ile MKS cos i w niej nie znajdzie].

Wiec zrobilem wszystko jak szef kazal:
-wykonana poprawka w skrypcie OTL: <log>
-zeskanowalem anti-malwarem [zaktualizowanym], wynik: 1 znaleziony - <log>
-restart kompa na zyczenie anti-malware
-posrzatalem CCleaner'em
-zainstalowalem IE8, restart kompa
-posprzatalem OTL'em, restart kompa
-zniknal mi OTL z pulpitu, pobralem na nowo
-zrobilem nowiutkie logi: <OTL.txt>, <Extras.txt>
-no i na koniec defragmentacja

Podczas skanowania ani-malware, Eset znalazl infekcje [tuz po zaktuazliwaniu sie wykonuje skan]: <log z Eseta>


Z ciekawostek
-Jak wylaczyc ekran logowania gdy nie mam hasla i posiadam tylko 1 konto?
-Czy wylaczyles mi [w skrypcie do OTL] z autostartu program mixer od karty dzwiekowej C-Media?
-Denerwuje mnie takie cos jak wmiprvse.exe, spoolsv.exe, ctfmon.exe oraz wuauclt.exe
Wuauclt zawsze z opoznieniem wlacza sie po zalogowaniu do systemu. Potrzebne to? Bo zawsze klikam zakoncz zadanie i to samo robie z tymi pozostalymi. Podczas pracy w blenderze lub grania potrzeba mi "czystej pamieci".

[mateo8898]

Uzywalem jeszcze jv Power Tools 2010 ale [co zapomnialem napisac na poczatku ] ale plik programu .exe zostal przemianowany przez MKS, poniewaz zawieral Heur.W32 [podejrzany - podejrzane dzialanie].

Fałszywy alarm.

-Czy wylaczyles mi [w skrypcie do OTL] z autostartu program mixer od karty dzwiekowej C-Media?

Tak.

-Jak wylaczyc ekran logowania gdy nie mam hasla i posiadam tylko 1 konto?

Zobacz tu http://www.porady.org/wylaczenie-ekranu ... s-xpvista/

-Denerwuje mnie takie cos jak wmiprvse.exe, ctfmon.exe oraz wuauclt.exe
Wuauclt zawsze z opoznieniem wlacza sie po zalogowaniu do systemu. Potrzebne to? Bo zawsze klikam zakoncz zadanie i to samo robie z tym dwoma pozostalymi.

ctfmon.exe - Panel sterowania Data, godzina, język i opcje regionalne Opcje regionalne i językowe Zakładka "Języki" Szczegóły zakładka "Zaawansowane" zaznacz: "Wyłącz zaawansowane usługi tekstowe" Zastosuj.
wuauclt.exe to od Aktualizacji automatycznych. Jeśli nie korzystasz to wyłącz Aktualizacje automatyczne oraz usługę, czyli: Prawoklik na Mój komputer Właściwości Aktualizacje automatyczne zaznacz: "Wyłącz aktualizacje automatyczne" Zastosuj.
Później: Start Uruchom Wpisz: services.msc OK. Na liście znajdź usługę Aktualizacje automatyczne, wejdź w nią dwuklikiem i zmień Typ uruchomienia na Wyłączony
wmiprvse.exe to część usługi WMI, jak trzeba to się uruchamia i zostawić to w spokoju.

Jeśli chcesz wyłączyć zbędne usługi to tu masz obszerny poradnik http://www.searchengines.pl/Services-Us ... t7723.html

[SzeryfChudy]

Dziekuje bardzo za pomoc.
Rozumiem, ze komputer teraz jest czysciutki i spokojnie mozna pracowac?

[mateo8898]

Tak.