Malware podpięty pod avg

markook26 · 19 Luty 2015 02:51

Witam wszystkich serdecznie.

Przeskanowałem komputer GMER i wyskoczyło na czerwono że rootkit/malware avgtdix.sys/ fltmgr.sys coś takiego, więc odinstalowałem avg wyskoczył błąd i zainstalowałem Anty-malware i nie znalazł nic hmmm, więc zgłaszam się z zapytaniem do was. Jakim sposobem mogę poradzić sobie z tym wirusem ? Wiem że osoby trzecie z otoczenia łączyły się z moim komputerem i wysyłały dane. Na przyszłość lub teraz, w których plikach został ślad po włamaniu? jakieś adresy ip, nazwy serwerów itp na które zostały wysłane informacje? Orientuje się ktoś może ? Zamieszczam z farbara logi.

http://wklej.org/id/1639967/

http://wklej.org/id/1639968/

http://wklej.org/id/1639970/

A tutaj z GMER http://wklej.org/id/1639972/

krzych5610 · 19 Luty 2015 07:33

Wklej do systemowego notatnika i zapisz jako fixlist.txt:

CloseProcesses: HKU\S-1-5-21-1911222764-2873135989-264319022-1000…\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-1911222764-2873135989-264319022-1000…\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-1911222764-2873135989-264319022-1000…\MountPoints2: {02367f19-a614-11e4-b903-0076ff00b777} - G:\LGAutoRun.exe GroupPolicyUsers\S-1-5-21-1911222764-2873135989-264319022-1001\User: Group Policy restriction detected <======= ATTENTION S3 rpcapd; “%ProgramFiles%\WinPcap\rpcapd.exe” -d -f “%ProgramFiles%\WinPcap\rpcapd.ini” [X] U3 pgddqpoc; ??\C:\Users\PAWE~1\AppData\Local\Temp\pgddqpoc.sys [X] 2015-02-17 04:17 - 2015-02-17 04:22 - 00000000 ____D () C:\AdwCleaner 2015-02-03 18:13 - 2014-10-11 03:21 - 00000000 ____D () C:\Spacekace C:\Users\Jasia.OOO-KOMPUTER\AppData\Local\Temp\ggdrive-menu.exe C:\Users\Jasia.OOO-KOMPUTER\AppData\Local\Temp\ggdrive-overlay.exe C:\Users\Jasia.OOO-KOMPUTER\AppData\Local\Temp\installstats.exe EmptyTemp: Umieść obok skanera FRST. Uruchom skaner i wykonaj polecenie FIX. Po restarcie pokaż raport fixlog i aktualny FRST.

markook26 · 19 Luty 2015 10:47

Fix http://wklej.org/id/1640150/

http://wklej.org/id/1640151/

http://wklej.org/id/1640153/

http://wklej.org/id/1640154/

Dziękuję Pięknie za poświęcanie uwagi.

krzych5610 · 19 Luty 2015 13:08

Wklej do systemowego notatnika i zapisz jako fixlist.txt:

CloseProcesses: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 4\PokerTracker 4 (Logging Enabled).lnk -> C:\Program Files\PokerTracker 4\PokerTracker4.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 4\PokerTracker 4.lnk -> C:\Program Files\PokerTracker 4\PokerTracker4.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerTracker 4\Uninstall PokerTracker 4.lnk -> C:\Program Files\PokerTracker 4\uninstall.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares\Homepage.lnk -> C:\Program Files\Ares\data\Homepage.url (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares\Host Chatroom.lnk -> C:\Program Files\Ares\chatServer.exe (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\Links\GG dysk.lnk -> C:\Users\Paweł\GG dysk (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\Favorites\GG dysk.lnk -> C:\Users\Paweł\GG dysk (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\Desktop\GG dysk.lnk -> C:\Users\Paweł\GG dysk (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\Desktop\GG.lnk -> C:\Users\Paweł\AppData\Local\GG\Application\gghub.exe (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\Desktop\OpenFM.lnk -> C:\Users\Paweł\AppData\Local\OpenFM\Application\openfm.exe (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk -> C:\Users\Paweł\AppData\Local\GG\Application\gghub.exe (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenFM.lnk -> C:\Users\Paweł\AppData\Local\OpenFM\Application\openfm.exe (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\GG.lnk -> C:\Users\Paweł\AppData\Local\GG\Application\ggapp.exe (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\AppData\Local\OpenFM\Application\openfm.lnk -> C:\Users\Paweł\AppData\Local\OpenFM\Application\openfm.exe (No File) Shortcut: C:\Users\Jasia.OOO-KOMPUTER\AppData\Local\GG\Application\gg.lnk -> C:\Users\Paweł\AppData\Local\GG\Application\gghub.exe (No File) EmptyTemp: Umieść obok skanera FRST. Uruchom skaner i wykonaj polecenie FIX. Po restarcie usuń raport fixlog, folder C:\FRST i pozostałe raporty.

markook26 · 19 Luty 2015 14:43

Dobry jesteś. Dziękóweczka za pomoc. Wiesz uszę się w wiresharku ale jestem żółtodziobem mam niewielkie doświadczenie. Powinienem jeszcze ogarnąć router…zmienić adres mac, ostatnio miałem niewielkie wyzwanie, bo po zmianie i wygaśnięcia dzierżawy zmieniał się adres ip że nie miąłem neta, a po restarcie wracoło do normy na 2 h.

Arek_AVG_pl · 23 Luty 2015 08:42

markook26:

Witam wszystkich serdecznie. Przeskanowałem komputer GMER i wyskoczyło na czerwono że rootkit/malware avgtdix.sys/ fltmgr.sys coś takiego, więc odinstalowałem avg wyskoczył błąd i zainstalowałem Anty-malware i nie znalazł nic hmmm, więc zgłaszam się z zapytaniem do was. Jakim sposobem mogę poradzić sobie z tym wirusem ? Wiem że osoby trzecie z otoczenia łączyły się z moim komputerem i wysyłały dane. Na przyszłość lub teraz, w których plikach został ślad po włamaniu? jakieś adresy ip, nazwy serwerów itp na które zostały wysłane informacje? Orientuje się ktoś może ? Zamieszczam z farbara logi. http://wklej.org/id/1639967/ http://wklej.org/id/1639968/ http://wklej.org/id/1639970/ A tutaj z GMER http://wklej.org/id/1639972/

FYI ten sterownik avgtdix.sys i jego dostępy do fltmgr to poprawne zachowanie programu AVG i akurat pod AVG nie miałeś nic podłączone.

Mimo to krzych dobrze Ci pomógł ogarnąć system ze śmieci i adware`u.