System po infekcji Worm.Opnis i Trojan-Proxy.Agent.BKK


(Zajjack) #1

Witam,

Przez ok. 2 lata używałem zestawu Nod32 + Look'n'Stop (firewall) wraz z anti-spyware (WinDefender w czasie rzeczywistym oraz Spybot S&D immunizacja + okresowy skan na żądanie), dodatkowo sprawdzając system co jakiś czas Kasperskim On-line; z aplikacji wpływających na bezpieczeństwo systemu mam jeszcze WinPatrol'a. Dbam o aktualizowanie Windowsa, odpowiednie ustawienia przeglądarek, itp. Przez ten czas nie miałem żadnych problemów ze szkodnikami, a przynajmniej tak mi się wydwało...

Ale do rzeczy, postanowiłem przetestować Spyware Doctor'a i podczas skanu wykrył mi ww. szkodniki.

Ten Worm.Opnis siedział w pliku, więc zrobiłem skan online (Virusscan.jotti i Virscan.org); infekcja potwierdzona przez 3 inne programy (nie pamiętam które, ale w każdym bądź razie nie te najbardziej znane typu Kasperski, Symantec czy F-Secure). Trojan-Proxy.Agent siedział natomiast w 3 kluczach rejestru (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CVS, HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CVS, HKEY_LOCAL_MACHINE\System\ControlSet002\Services\CVS). Wyłączyłem przywracanie systemu i całkowicie usunąłem te pozycje z kwarantanny Spyware Doctor'a. Ponowny skan SD nie wykazał już tych robali. Zrobiłem też skanowanie Malwerbytes i wynik był Ok, czysto.

Uprzejma prośba o sprawdzenie loga z HJT.

http://wklej.org/id/166037

Czy dać też logi z innych narzędzi?

Mam jeszcze dwie sprawy, mianowicie:

(1) Chciałem wypróbować inny firewall aniżeli LNS i mój wybór padł na produkt stajni PC Tools. Nie wiem co mnie podkusiło, ale nie odinstalowałem wcześniej LNS, tylko wyłączyłem go z aplikacji startowych w msconfig. Podczas instalacji Firewall PC Tools krzyknął, że wykrył drugi firewall w systemie, ale zainstalował się Ok. Potestowałem go trochę, ale nie przypadł mi do gustu i tymczasowo wróciłem do LNS (chciałbym teraz spróbować Online Armor).

Niemniej jednak, po tamtych manewrach (instalacja, deinstalacja) mam wrażenie, że Win Explorer dłużej działa, częściej się zawiesza przy zwykłych czynnościach na kilka sekund. A poza tym na starcie i przy zamykaniu systemu przez chwilę pojawia się w tray'u alert Security Center, że firewall jest wyłączony. Poszperałem na necie i usunąłem katalog Repository (C:\Windows\System32\wbem\repository), po zatrzymaniu usługi Windows Mgmt Instrumentation; niestety to nic nie pomogło :-(. Czy macie może jakieś sugestie co do powyższego?

(2) Przeczytałem też o zbędnych sterownikach (pozostałości po odinstalowanych urządzeniach), które można podglądnąć dając 'Pokaż ukryte urządzenia' w Menedżerze urządzeń. Jest to m.in. pozycja 'Non-Plug & Play Drivers' ( http://wstaw.org/d/5e2c). Korzystałem z tej opcji, żeby w szczególności odinstalować sterowniki po PC Tools Firewall, które pozostały w systemie po deinstalacji programu. Poza tym mam dużo tych przezroczystych ikonek w pozycji 'Storage volume shadow copies' ( http://wstaw.org/d/5e2d). Boję się cokolwiek tam ruszać przy tych kopiach, ale zastanawie mnie - tak jak napisałem - duża ilość tych niepotrzebnych ikon. Ciekawostką może być to, że moduł tworzenia kopii zapasowych ('Backup status & configuration') u mnie nie działa - wywala komunikat o błędzie. Czy można zatem byłoby usunąć te wpisy?

Mam cichą nadzieję, że ktoś dotarł do końca mojego wpisu i okaże chęć pomocy :-).

Będę ogromnie wdzięczny za zainteresowanie moim problemem.

-- Dodane 06.10.2009 (Wt) 0:07 --

no to ja pięknie dziękuję za pomoc [czytaj]