Witam. Mam pewien problem. Wykonałem pełne skanowanie systemu Avastem, poniewaz pobralem wczoraj program X-Mouse Button Control i właśnie obawiałem się że może być zainfekowany lub może mieć keyloger. Nie skanowałem komputera od ponad 2 miesięcy więc co inne także może być przyczyną infekcji.
Raport skanowania:
Czas wykonywania: 44:38
Testowane pliki: 151666
Katalogi przetestowane: 16111
Ilość przebadanych danych: 52,7 GB
Pliki zarażone: 5 - poziom zagrozenia niski i je usunalem. Robilem chyba 3 skany i raz wyszlo 10 plikow zarazonych ktore usunalem drugi raz nic nie wyszlo a ostatnim razem wyszlo 5 zarazonych ktore wlasnie usunalem.
Jednak przy dużej ilości z plików na liście jest taki błąd: Błąd:Archiuwum jest zabezpieczone hasłem.(42056). Nie wiem czy jest spowodowany ten błąd, pliki z listy wcale nie są archiwami ale są tam też pliki .css .js .png .gif itp. Obawiam się jakiegoś wirusa keylogera itp.
Z góry dziękuję za pomoc.
Skan z OTL:
http://wklej.org/id/930846/
Skan z Extras:
http://wklej.org/id/930845/
Atis
(Atis)
19 Styczeń 2013 20:54
#2
Odinstaluj:
Winamp Toolbar
Softonic-Polska Toolbar
free-downloads.net Toolbar
Update Manager for SweetPacks 1.1
Internet Explorer Toolbar 4.6 by SweetPacks
Yontoo 1.10.02
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Usuń.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – c:\windows\system32\serv32.dll – (kunxikql) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\catchme.sys – (catchme) [2012-08-01 18:32:32 | 000,000,000 | —D | M] (Yontoo) – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\extensions\extensions\plugin@yontoo.com [2013-01-09 15:57:46 | 000,000,000 | —D | M] (“Winamp Toolbar”) – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-11-07 22:07:00 | 000,000,000 | —D | M] (ST-Polska Community Toolbar) – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\extensions{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2012-04-20 20:03:02 | 000,000,000 | —D | M] (Browser Companion Helper) – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\extensions\bbrs_002@blabbers.com [2012-04-20 20:03:27 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\extensions\ffxtlbr@babylon.com [2012-08-01 18:32:32 | 000,000,000 | —D | M] (Yontoo) – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\extensions\plugin@yontoo.com O4 - Startup: C:\Documents and Settings\Właściciel\Menu Start\Programy\Autostart\ctfmon.lnk = File not found O20 - Winlogon\Notify\jimluge: DllName - (C:\Documents and Settings\WBa[ciciel\Ustawienia lokalne\Dane aplikacji\jimluge.dll) - File not found O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () [2013-01-13 01:23:20 | 000,002,600 | ---- | M] () – C:\WINDOWS\tasks\hpwebreg_CN14P33N8705M9.job [2010-08-11 16:30:23 | 000,000,003 | ---- | C] () – C:\Program Files\Common Files\userInit.dll [2010-08-11 14:42:49 | 000,027,958 | ---- | C] () – C:\Program Files\Common Files\logonInit.dll :Files C:\WINDOWS\tasks\At*.job :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Zrobiłem tak jak napisałeś.
Raport z usuwania AdwCleaner :
http://wklej.org/id/930970/
Raport z OTL po przy skanowaniu tego skrypta:
http://wklej.org/id/930973/
Nowy log:
OTL:
http://wklej.org/id/930975/
Extras:
http://wklej.org/id/930976/
Atis
(Atis)
19 Styczeń 2013 22:35
#4
Wklej i kliknij Wykonaj skrypt:
:OTL FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultthis.engineName: “Softonic-Polska Customized Web Search” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js…extensions.enabledItems: bbrs_002@blabbers.com:1.0.5 FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=2&q= ” [2013-01-09 15:58:00 | 000,002,533 | ---- | M] () – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\searchplugins\aol-search.xml [2011-06-22 11:35:28 | 000,002,354 | ---- | M] () – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\searchplugins\aol-web-search.xml [2011-03-26 11:02:07 | 000,002,568 | ---- | M] () – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\searchplugins\askcom.xml [2010-10-10 14:33:09 | 000,002,331 | ---- | M] () – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\searchplugins\bigseekpro.xml [2012-11-06 20:44:24 | 000,000,921 | ---- | M] () – C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\nyedyf4p.default\searchplugins\conduit.xml O2 - BHO: (no name) - {11CAB8E4-131E-BF57-6BD7-70997A8C19EE} - c:\windows\system32\serv32.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10_userdata\ggbho.2.dll File not found [2013-01-10 16:51:09 | 000,000,284 | ---- | M] () – C:\WINDOWS\tasks\AppleSoftwareUpdate.job
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
deFco247
(deFco247)
20 Styczeń 2013 00:24
#5
Tak dla Twojej informacji - miałeś w systemie keyloggery od… sierpnia 2010 roku.
[2010-08-11 16:30:23 | 000,000,003 | ---- | C] () – C:\Program Files\Common Files\userInit.dll [2010-08-11 14:42:49 | 000,027,958 | ---- | C] () – C:\Program Files\Common Files\logonInit.dll
O ile pamiętam ten konkretny dostawał się do systemu razem z lewymi paczkami do Tibii.
Zrobiłem wszystko tak jak napisałeś.
Przy aktualizowaniu programów to po prostu instalowałem nowe wersje.
Security Check:
Przed aktualizacjami programów:
http://wklej.org/id/931225/
Security Check:
Po aktualizacji programów:
http://wklej.org/id/931227/
Malwarebytes Anti-Malware:
http://wklej.org/id/931229/
Czy wszystko już jest ok?
Czy mam dodać jeszcze loga z wklejenia tego skryptu co podałeś, albo dodać nowy log z OTL?
Dziękuję za pomoc
Tak myślałem, że mogę mieć keylogera.
Dziękuję za pomoc
Atis
(Atis)
20 Styczeń 2013 13:42
#7
Odinstaluj JavaFX 2.1.1, Java 6 Update 25 i to wszystko.
Zrobione. Bardzo dziękuję za pomoc
A te programy adwcleaner, SecurityCheck zostawić na kompie czy odinstalować.
Atis
(Atis)
20 Styczeń 2013 14:34
#9
W AdwCleaner kliknij Odinstaluj, a pozostałe po prostu skasuj z dysku.