Prawdopodobnie jakiś trojan


(Argiw6) #1

Mam ostatnio problemy z komputerem (W 7 x64). System jest powolny (4 miesiące od czystej instalacji W7), bardzo często przestaje działać Windows Eksplorer, przeglądarki (gł. Chrome i IE ale FF tez) a nawet inne programy typu edytor tekstu.

Co mnie jednak najbardziej martwi - nie mogę ściągnąć aktualizacji dla Spybot S&D, a ostatnio wcale program się nie uruchamia (uruchomienie Spybota jest możliwe dopiero po zmianie nazwy ukrytego pliku wykonywalnego).

Przedwczoraj robiąc pełny skan Nortonem 360 - znalazł on Backdoora.Bifrose (a0017939.exe), który został wysłany do kwarantanny (patrz załącznik 1). 26e47ea4221e11b5m.jpg

Wczoraj skan został powtórzony i powyższy Backdoor znowu został wykryty (patrz załącznik 2). 8f23c5c8bb6f55c6m.jpg

Po jego ponownym usunięciu jeszcze raz uruchomiłam pełne skanowanie i tym razem Norton nic nie znalazł.

Zrobiłam również skanowanie Spybotem SD , Malwarebytes AM oraz online Hausecall. Te trzy skanowania nie wykryły nic znaczącego. Mimo to prawie pewna jestem, że ten wykryty Backdoor to nie wszystko, bo wszystkie poprzednie objawy dalej istnieją.

Poza tym jeszcze zaczęły pojawiać się ni z gruszki ni z pietruszki komunikaty Winpatrola (niby niewinne, ale nie wykonywałam żadnych akcji uzasadniających ich pojawienie się) (patrz załacznik 3 i 4). 4e8701162005f981m.jpg

6f8ac428a393d1d8m.jpg

Przeczytałam w necie, że ten Userinit potrafi być podejrzany, więc na wszelki wypadek na oba zapytania WinPatrola odpowiadam NIE (czy dobrze ??).

Tych różnych dziwnych objawów jest jeszcze więcej, ale nie będę się już rozpisywać, wspomnę jeszcze tylko o dwóch sprawach ; W menedżerze zadań, na karcie Aplikacje od pewnego czasu na pierwszym miejscu widnieje bardzo dziwna pozycja : -nibNButtonBar-def6a00e-4fab-408f-8975-959d612af64f. Czy to czasem nie jest źródło moich kłopotów ?? (patrz załącznik 5). 883d8e295214b39dm.jpg

Próbując dzisiaj zrobić skan Spybotem SD (uruchamianym z przemianowanego pliku exe) zauważyłam dziwne 100% użycie procesora (3-rdzeniowy Phenom II 710). Zrobiłam pauzę w skanowaniu i otworzyłam okno Process Lasso - aktywne były 3 procesy : Lasso (ok.30% procesora), i 2 procesy Spybota 2x(6 - 15%), czyli w sumie 45 - 60 % mocy procesora.

Co zużywało w tym czasie pozostałe 40% mocy ?? (oprócz pauzującego Spybota - żadne inne programy nie były otwarte).

Szybko okazało się, że nie mogę zrobić nawet dokumentującego tą sytuację screenshota, bo - jak zwykle - zawiesił się Windows Eksplorer; Spybot zresztą także. Pozostał więc tylko reset komputera.

Skanowanie udało się dopiero w trybie awaryjnym, ale i tak nic nie wykryło.

Bardzo proszę Was o pomoc w wytropieniu reszty intruzów zaszytych gdzieś głęboko w moim kompie.

Jakie logi powinnam przygotować ??

Czy ktoś może mnie oświecić w sprawie "aplikacji" -nibNButtonBar-def6a00e-4fab-408f-8975-959d612af64f ?? Dla mnie wygląda ona dziwnie... :o


(deFco247) #2

Problem został wprawdzie opisany wręcz idealnie, ale na dokładną analizę tego typu problemów są stworzone specjalne narzędzia do tworzenia logów.

Jak je wykonać opisałem na końcu tego posta.

Ten plik jest zawarty w folderze przywracania systemu, więc usunąć go nie można inaczej, niż poprzez chwilowe wyłączenie przywracania systemu.

http://windows.microsoft.com/pl-PL/wind ... -on-or-off

To jest updater Adobe Flash Playera. Program zaufany jak i wymagający częstych aktualizacji.

Co do owego "-nibNButtonBar-def6a00e-4fab-408f-8975-959d612af64f", to według informacji znalezionych w sieci jest to ukryte okno należące do programu Ashampoo Snap 3.

Najlepiej jest kliknąć PPM na zadanie tego okienka w menadżerze zadań i wybrać "Przejdź do procesu" (lub podobnie, nie mam Win 7).

Na liście procesów w menadżerze zadań naciśnij przycisk Pokaż procesy wszystkich użytkowników.


  • [*:14erhrli]Pobierz OTL z jednego z tych linków:
    Mirror 1

(Argiw6) #3

Tu jest link do logu OTL.Txt http://wklej.org/id/393390/, a tu do Extras.Txt http://wklej.org/id/393493/


(deFco247) #4

Nie ma tutaj żadnych infekcji. Są tu tylko zbędne śmieci typu Not Found, lecz one nie mają wpływu na sytuację.

Zastosuj TFC, a następnie OTC.