Przyniosłem do domu jakiegoś robaka na pendrivie - logi

[Mateusz77771986]

Witam, proszę o sprawdzenie logów. Mój komputer chroniony jest przez program avast oraz firewall kerio ver. 2.1.5. Od czasu do czasu skanuje jeszcze ad-aware. Na ogół nie mam żadnych problemów, ale w związku z tym że system ma już pare lat komputer pracuje wolniej i obawiam się, że mimo wszystko jakiś robak czy coś czego te programy nie wykrywają, może spowalniać jego prace. Jednak to co skłoniło mnie to napisanie tego posta to to, że przyniosłem do domu jakiegoś robaka na pendrivie. Avast go nie wykrywa, ad-aware tak, jednak po usunięciu ten proces znowu się pojawia. Przeskanowałem system programami: Malwarebytes' Anti-Malware, który nic nie wykrył. Program Dr.WEB CureIt! wykrył tego robaka i chyba usunął. A oto logi z Combofix i SDFix po skanowaniu w/w programami:

Combofix: http://www.wklej.eu/index.php?id=29f67e6455
SDFix : http://www.wklej.eu/index.php?id=c212e05a51


Przy okazji chciałbym zapytać czy mogę ograniczyć liczbe usług w procesach svchost.exe, mam wrażenie że z czasem ich przybyło a czytałem że wiele z nich jest nie potrzebnych.

[Michael Parker]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
c:\windows\system32\lsdelete.exe
c:\windows\system32\edacded0_x.dat

Folder::
c:\windows\system32\BDD55D
c:\windows\system32\A01FDB
c:\windows\system32\ED162B
c:\windows\system32\2C079A

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LanguageShortcut"=-
"SunJavaUpdateSched"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[HKLM\~\startupfolder\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^8E48A3.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microtek Scanner Finder.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^Adobe Gamma.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^OpenOffice.org 2.4.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^PowerReg Scheduler.exe]
[HKLM\~\startupfolder\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^Ubisoft register.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^winsys.exe.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^winword.exe.lnk]
[HKLM\~\startupfolde\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^Xfire.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000000
"FirewallOverride"=dword:00000000

Driver::
avm
ATE_PROCMON
DarkSpy
HwIOctl


Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

c:\\windows\\system32\\CMStarterCore.exe
c:\\windows\\iun6002.exe

Przeskanuj te pliki tym lub tym skanerem

Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

[Mateusz77771986]

Bardzo dziękuję za dotychczasową pomoc i proszę o dalszą:

Log z combofix: http://wklej.eu/index.php?id=a2bbfb4d4d

Skanowanie pliku: c:\windows\system32\CMStarterCore.exe Nic nie znaleziono
Skanowanie pliku: c:\windows\iun6002.exe Nic nie znaleziono

Log z Malwarebytes' Anti-Malware: http://wklej.eu/index.php?id=0eb8e2d2ad

Podczas skanowania programem Malwarebytes' Anti-Malware, Avast wykrył coś, nie podjąłem żadnej akcji żeby nie zakłócać skanowania. Malwarebytes' Anti-Malware nie wykrył tego. Wklejam fragment loga z Avast'a dotyczący tego czegoś:

2009-06-15 21:34:38 Anna 1816 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\system volume information\_restore{7b5a35f0-c8dc-48ed-868b-e56225e1fb8d}\rp670\A0403825.exe" file.

[Michael Parker]

Przeskanuj system programem SDFix i daj raport z niego. Instrukcja viewtopic.php?f=22&t=13967

Przeskanuj obszar całego systemu Dr.WEB CureIt!

Po tym daj nowy log z Combofixa.

2009-06-15 21:34:38 Anna 1816 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\system volume information\_restore{7b5a35f0-c8dc-48ed-868b-e56225e1fb8d}\rp670\A0403825.exe" file.

Wyłącz i włącz przywracanie systemu http://support.microsoft.com/kb/310405/pll

[Mateusz77771986]

Log z SDFix: http://wklej.eu/index.php?id=d51067ec55
Log z Dr.Web: http://wklej.eu/index.php?id=e3a106aa86

Zapomniałem dodać, że przeprowadzone przez mnie skanowania w pierwszym poście były jedynie szybkimi a nie pełnymi skanami, i teraz pełne wyszukiwanie wykryło coś jeszcze.

[Mateusz77771986]

Nowy Log z Combofix: http://wklej.eu/index.php?id=23fdbb38d3

Wyłączyłem a następnie włączyłem przywracanie systemu.

[Mateusz77771986]

Rozumiem że to już koniec? Jeśli tak to bardzo dziękuję że poświęcił mi Pan swój czas. Pozdrawiam.

[Michael Parker]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000004-00531102}.dat
 c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000004-00531102}.dat
C:\drmHeader.bin


Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org, a w poście podajesz tylko link.

[HKLM\\~\\startupfolder\\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microtek Scanner Finder.lnk]
path=c:\\documents and settings\\All Users\\Menu Start\\Programy\\Autostart\\Microtek Scanner Finder.lnk
backup=c:\\windows\\pss\\Microtek Scanner Finder.lnkCommon Startup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^8E48A3.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\8E48A3.lnk
backup=c:\\windows\\pss\\8E48A3.lnkStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^Adobe Gamma.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\Adobe Gamma.lnk
backup=c:\\windows\\pss\\Adobe Gamma.lnkStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^OpenOffice.org 2.4.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\OpenOffice.org 2.4.lnk
backup=c:\\windows\\pss\\OpenOffice.org 2.4.lnkStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^PowerReg Scheduler.exe]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\PowerReg Scheduler.exe
backup=c:\\windows\\pss\\PowerReg Scheduler.exeStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^Ubisoft register.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\Ubisoft register.lnk
backup=c:\\windows\\pss\\Ubisoft register.lnkStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^winsys.exe.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\winsys.exe.lnk
backup=c:\\windows\\pss\\winsys.exe.lnkStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^winword.exe.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\winword.exe.lnk
backup=c:\\windows\\pss\\winword.exe.lnkStartup

[HKLM\\~\\startupfolder\\C:^Documents and Settings^Anna^Menu Start^Programy^Autostart^Xfire.lnk]
path=c:\\documents and settings\\Anna\\Menu Start\\Programy\\Autostart\\Xfire.lnk
backup=c:\\windows\\pss\\Xfire.lnkStartup

Zastanawiają mnie niektóre z tych wpisów. Usuń skróty znajdujące się w Start Wszystkie programy Autostart.

[AJAN]

powinno byc ok
Wykonaj optymalizację autostartu

Pobierz CCleaner
lub
CleanGP
przeskanuj nim i wyczyść rejestr.

[Mateusz77771986]

Właśnie na koniec chciałem zapytać czy można to jakoś wyczyścić:



to chyba właśnie te wpisy.

Zastanawiają mnie niektóre z tych wpisów. Usuń skróty znajdujące się w Start Wszystkie programy Autostart.

To miejsce jest puste.

[Michael Parker]

Jeżeli jeszcze nie uruchomiłeś Combofixa to:
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000004-00531102}.dat
c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000004-00531102}.dat
C:\drmHeader.bin
c:\documents and settings\Anna\Menu Start\Programy\Autostart\8E48A3.lnk
c:\windows\pss\8E48A3.lnk
c:\documents and settings\Anna\Menu Start\Programy\Autostart\PowerReg Scheduler.exe
c:\windows\pss\PowerReg Scheduler.exe
c:\documents and settings\Anna\Menu Start\Programy\Autostart\Ubisoft register.lnk
c:\documents and settings\Anna\Menu Start\Programy\Autostart\winsys.exe.lnk
c:\\windows\pss\winword.exe.lnk


Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org, a w poście podajesz tylko link.

[Mateusz77771986]

Już uruchomiłem, usunę te ścieżki które już usunął i wkleję końcowy log. Na wszelki wypadek wkleję jeszcze ten który wygenerował przed chwilą: http://wklej.eu/index.php?id=92e262cb1e

W trakcie tych działań mój Firewall gdzieś zniknął, czy po zakończeniu będę mógł go uruchomić ponownie? Czy będzie działał jak poprzednio czy może powinienem ściągnąć i zainstalować od nowa?

[Michael Parker]

W trakcie tych działań mój Firewall gdzieś zniknął, czy po zakończeniu będę mógł go uruchomić ponownie? Czy będzie działał jak poprzednio czy może powinienem ściągnąć i zainstalować od nowa?

Uruchom ponownie komputer. Firewall powinien pojawić się ponownie z restartem.
Wykonaj wskazówką, którą podałem w poprzednim poście.

[Mateusz77771986]

Końcowy log z combofix: http://wklej.eu/index.php?id=39ca247eb7

A to efekty jednego z działań, wcześniej widziałem tylko żółty trójkąt z wykrzyknikiem, dopiero teraz zauważyłem to:



Wykonam teraz polecone przez Pana czyszczenie autostartu i rejestru.

[Michael Parker]

Wyłączyłeś firewalla podczas skanowania Combofixem?
Jeżeli problem nie ustąpi zainstaluj Kerio ponownie.

Podaj log z SmitFraudFix viewtopic.php?f=22&t=13967#p88593