Instalacja podejrzanego "sterownika",zwieszanie przeglądarki


(Rejestracja D13) #1

Witam

Mam zainstalowany Eset NOD32 z wykupioną licencją. Myślałem, że jak człowiek zapłaci te 100 kilkadziesiąt złoty ( za rok, sic!) to dostanie jakąś ochronę komputera. A z tym jakby nie do końca widzę tak jest:)

Mianowicie niedawno wyskoczyło mi nagle, ni stąd ni zowąd (używam Windows 7) Instalowanie sterownika (tak jak bym podłączył nowy sprzęt - np. kamerkę) Nazwa sprzętu wyglądała podejrzanie. Tak jak by to był losowo wygenerowany ciąg, tak żeby nie można go było wkleić w googla i podejrzeć co to jest... było to coś w stylu "we#? sdsdkls#sadklsdja"

"Na szczęście" instalacja tego sterownika, się "nie powiodła" Stwierdziłem, że eset zapracował na swoje 100-kilkadziesiąt zł rocznie i coś zablokował. Nie mniej po kilku dniach znowu wyskoczyła mi "próba" instalacji tego czegoś i znowu była zakończona niepowodzeniem. Z doświadczenia jednak wiem, że i bez tego siedzi tu jakaś infekcja rootkitem. (w procesach nie widać nic podejrzanego) No więc zacząłem od Gmer-a. Gmer po włączeniu (oczywiście z prawami administratora) widać, że coś tam skanuje.... skanuje... nagle NIC. Żadnych kounikatów, po prostu nic. Wydawało by się, że fajnie bo nic nie wykrył. Ale w opcjach skanowania mogę zaznaczyć tylko "Usługi", "Rejestr", "Pliki".... pozostałe opcje takie jak "System", "Sekcje", "IAT/EAT" etc. mam jako checkboxy disabled czyli nie mogę ich zaznaczyć... to już wydało mi się podejrzane... no więc lecę dalej z programami diagnostycznymi. Następny w kolejce jest CatchMe. On generuje taki log:

no to już wiem, że nie jest fajnie skoro jakieś funkcje systemowe wyglądają na "podmienione" Z tego wnioskuje, że różne programy diagnostyczne odpytując różne miejsca dostają informację od "rootkita" czyli jest całkiem zafałszowany obraz. Później poszedł w obieg MBR (by Gmer) Ten zwrócił równie "niepokojący" komunikat:

podejrzanie dziwne te komunikaty. Odpaliłem combofix-a... (wiem, wiem... nie powinno się go odpalać, bez uprzedniej diagnozy problemu no ale co się stało to się nie odstanie)

Coś tam podziałał, ale nie rozwiązał raczej problemu. Z posotałych opisów działania systemu to wyraźnie zwolnił. Mam internet 40MB/s a czasami mam wrażenie, że to jest 128 KB/s. Na Battlefield 3 ostatnio gra zaczeła "ostro" zamulać. Wygląda na to jak by łapała mnóstwo "choke-ów" ale ping cały czas jest poniżej 50 więc a fps powyżej 30.... jest to mocno dziwne. Poza tym Firefox dosyć często się zwiesza (nigdy tak nie było) np. podczas oglądania youtube-a. Koncząc na tym, że chciałem ściągnąć Hijackthis... i podczas pobierania przekierowuje mnie na : http://go.trendmicro.com/free-tools/hij ... ckThis.msi i zamiast go pobierać to pokazuje dane binarne (tak jakby to była strona w internecie) coś jak "ࡱ"

Wklejam logi z programów diagnostycznych jakie odpalałem

[MBRCHECK]

http://wklej.to/yPihj

[OTL]

[Extras]

http://wklej.to/dG1fa

[Log]

http://wklej.to/bvWVQ

[TDSSKiller]

Nic nie wykrył poza jakąś tam dll-ką, która jest używana przez Daemon tools-a Ale tego jest świadom - używam tego programu.

[DeFoger]

http://wklej.to/3erjG

[Combofix]

http://wklej.to/iOxGk

[HTJ]

to jest tylko część loga: http://wklej.to/yLxqf

Ogólnie program się wykrzaczył komunikatem pokazanym tutaj : http://i47.tinypic.com/2po3x2x.png (wgrywanie tego obrazka na imageshack też rzuciło jakis błędem.... czy to nie podejrzane?) . To tylko potwierdza, że tu musi być jakaś infekcja, która stara się bronić.

Na koniec działania HJT przekierowało mnie na stronę : http://trendsecure.custhelp.com/ z komunikatem : "Firefox nie może odnaleźć serwera trendsecure.custhelp.com." czyli kolejny mechanizm obronny.

Dajcie, znac jakich logów (z jakiego programu jeszce potrzebujecie) Jak dla mnie jest tu jakiś mocno ukryty rootkit, który zdecydowanie nie chce dać się poznać.....


(Gutek) #2

Ze względu, że później użyłeś Combofix,daj nowy log z OTL


(Rejestracja D13) #3

Załączam nowy raport z OTL

[OTL]

http://wklej.to/qxey2

Co ciekawe "coś" mi wyczyściło "moje" wpisy w hosts :slight_smile: No ale już trudno - pal trzy licho.

wklejam też link do raportu z WinMerga porównującego obydwa pliki raportów : http://www.sendspace.pl/file/9b53adbd59e544b4d994f03

Podejrzewałem, jeszcze, że może to problemy z RAM-em ale przeskanowałem diagnostyką pamięci windows i wychodzi, że wszystko jest ok. Jeszcze może później przeskanuję memtest-em

-- Dodane 30.05.2012 (Śr) 20:12 --

Czy naprawdę wszystko wygląda "czysto" ? Bo nikt nic nie pisze...

Wklejam jeszcze obraz z instalacji tego "sterownika" bo mi znowy wyskoczył. Za każdym razem ma inną nazwę.

http://imageshack.us/photo/my-images/68 ... ownik.png/