Problem z instalacją modemu SAGEM - infekcja robakiem

Dla specjalistów Bezpieczeństwo
#1

A więc zaczeło się od tego, że zaczął mnie wkurzać modem. Przestawał wysyłać i odbierać dane a nie rozłączał z internetem. Jego restart nic nie dawał tylko restart całego kompa. Więc odinstalowałem go i zainstalowałem jakieś najnowsze stery do Sagem-a z neta (już kiedyś takie coś mu pomogło (działał na tych sterach) Niestety nie udało się. Już wcześniej Avast zgłaszał jakiegoś tam robaka ale wcisnąłem usuń i myślałem, że po sprawie. Niestety jak widać nie jest po sprawie i raz jeszcze się zawiodłem na Avascie :confused:

A więc co do instalacji sterowników. Dochodzi do momentu “podłącz modem aby zakończyć instalację” Podłączam modem a wtedy coś tam się dzieje. Pojawia się szybko okienko instalacji sterowników i od razu znika. Po czym w tray-u wychodzi dymek “wystąpiły problemy w instalacji, to urządzenie może nie działać poprawnie” Gdy wchodzę do menadżera zadań i biorę na ten niezainstalowany modem i klikam “aktualizuj sterownik” i wybieram ręcznie lokalizację gdzie znajdują się sterowniki do niego to po chwili wyświetla mi, że nie udało się zainstalować a jako powód podaje (dokładnie spisałem): “Nazwa jest w użyciu jako nazwa usługi lub wyświetlana nazwa usługi” - cokolwiek to znaczy. Wszedłem do trybu awaryjnego i o dziwo tu mi wykrył modem. Poprosił o podanie lokalizacji sterowników… podałem jak poprzednio i ZAINSTALOWAŁ bez problemów.Programem autostarts wywaliłem podejrzane wpisy z services i z uruchamianych i jakieś dziwne dll. Zrestartowałem kompa. DSLMON wykrył modem. I net DZIAŁAŁ. Nie długo oczywiście… nie długo padł i bajka się powtórzyła. DSLMON ciągle podaje “Urządzenie nierozpoznane” co do modemu. To tyle z opisu symptomów. Ale wiem, że to tylko podłoże jakiegoś robaka/trojana. Prosiłbym więc o sprawdzenie logów. Od razu mówię, że podejrzany jest adiras.exe i autoclk.exe ponieważ usuwałem je i nadal są. Niby są one cześcią sterów do sagema (tak gdzieś czytałem) ale sam nie wiem już co o tym myśleć. Oto logi:

COMBOFIX

http://www.wklej.org/id/92a884b1a1

HJT

http://www.wklej.org/id/db5c523e71

SILLENT RUNNERS

http://www.wklej.org/id/7bd5441052

ROOTKIT DETECTIVE

http://www.wklej.org/id/d9c0b645c0

Bardzo proszę o pomoc. Komputer jest mi potrzebny do pracy a teraz jest w stanie średniej używalności :slight_smile: Z góry dziękuje za wszelkie wskazówki, porady i informacje jak usunąc to co mam (jeśli coś mam ale na 99% mam)

#2

a nie łatwiej dać przywracanie sytemu do punktu sprzed infekcji;

bo widać na dobre ci się coś zadomowiło

a tak przy okazji - na jakiej czułości miałęś ustawionego avasta?

#3

Miałem ustawionego na Normalny. Wyłączyłem tworzenie punktów przywracania systemu bo to strata miejsca na dysku. Nigdy nie wiesz czy trojan Ci się nie dodał do punktu przywracania i czy nie będziesz robił syzyfowej pracy. Poza tym równie dobrze mogę przeinstalować system i też mi wszystko zniknie. Ale to by oznaczało, że przegrałem i złożyłem broń :slight_smile: Co znaczy, że mi się “na dobre” zadomowiło ?? Wiem, że siedzą na takich forach na tyle tęgie głowy, że za pomocą trybu awaryjnego, Otmovit, Avengera, odpowiednich skryptów do Combifxa, Sdfixa, kasacji wpisów rejestru będą mi mogły pomóc!! Trzeba tylko wiedzieć co usunąć !!

#4

W logu nic nie widzę

Skan Trend Micro - http://pl.trendmicro-europe.com/consume … launch.php i podaj wynik