Krzychu58

19 Czerwca 2014

Logi dodane,ale boje sie używać komputera, a jest mi potrzebny.. Nie wiem czy komuś nie sprzedam jakiegoś wirusa.

17 Czerwca 2014

Dzień dobry bardzo proszę o pomoc.

Na początek opiszę sytuację może trochę długo, ale chyba to ma znaczenie.

Do tej pory używałem Opery 20.coś po namowie kolegi zainstalowałem jako druga Operę 12 podobno miała działać lepiej, szybciej niż 20.
Następnie chciałem zainstalować Winampa w wersji 2 coś i nie mmogłem jej nigdzie znaleźć. Dlatego zainstalowalem z jakiejs zagranicznej strony na S. Mimo, że odhaczyłem wszytkie opcje, prawdopodobnie zainstalowało się złośliwe oprogramowanie. W Operze 12 pojawiały się niby okienka z reklamami.

Wykonałem szybkie skanowanie systemu Avastem Free i wykrył wirusa w pliku filescout jak poniżej, ale go nie usunał.

Odinstalowałem Operę 12 wszytkie możliwe inne zaisntalowane tego dnia programy z Winampem włącznie.

Wykonałem skanowanie online na stronie:

https://www.virustotal.com/pl/file/f98cdb173edd0b11a1a482531f43181c80df8d3f8968858b050cf858347baaed/analysis/1403020583/

Podaje wyciąg z listy wyników dla tego konkretnego pliku.

Antywirus Wynik Uaktualnij Symantec WS.Reputation.1 20140617 Avast Win32:Filcout-B [Adw] 20140617 Kingsoft Win32.Troj.Generic.a.(kcloud) 20140617 Microsoft TrojanDownloader:Win32/Filcout.A 20140617 VIPRE Trojan.Win32.Generic!BT 20140617 Baidu-International Trojan.Win32.FileScout.A 20140617 Emsisoft Trojan.GenericKD.1661958 ( 20140617 Ad-Aware Trojan.GenericKD.1661958 20140617 BitDefender Trojan.GenericKD.1661958 20140617 F-Secure Trojan.GenericKD.1661958 20140617 GData Trojan.GenericKD.1661958 20140617 MicroWorld-eScan Trojan.GenericKD.1661958 20140617 nProtect Trojan.GenericKD.1661958 20140617 Ikarus Trojan-Downloader.Win32.Filcout 20140617 Norman Troj_Generic.TYBTF 20140617 TrendMicro TROJ_GEN.R0CBC0DE514 20140617 TrendMicro-HouseCall TROJ_GEN.R0CBC0DE514 20140617 McAfee RDN/Generic Downloader.x!kd 20140617 McAfee-GW-Edition RDN/Generic Downloader.x!kd 20140616 Malwarebytes PUP.Optional.FileScout.A 20140617 Sophos Mal/Generic-S 20140617 AVG Downloader.Generic13.CCEX 20140617 AntiVir Adware/Filcout.U 20140617 ESET-NOD32 a variant of Win32/FileScout.A 20140617 AegisLab 20140617

Odinstalowałem Avasta i zainstalowałem Norton Internet Security na 3 miesiące i przeskanowałem ten katalog ponownie.
Program pomija pliki w katalogu i nie wykonuje skanowania, i nie wykrywa zagrożeń.

Posiadam Laptop z Windowsem 8 64 bit

Nie instalowałem oprogramowania emulującego. Jak tylko zrobię logi, to je dopiszę.

Edit 21:32===============
Podejrzany plik znajduje się w katalogu: C:\Users\Krzysiek\AppData\Roaming\File Scout

Załączam log z FRST (jest tam tez nowa opcja scan registry)

Edit 7:43============

Dodaje logi z OTL (strasznie długo to wszystko trwa więc następne jak znajdę chwilę.

Edit 19:27==========

Nie wykryto sterownika S.....

Uruchomiłem Gmer w najnowszej wersji z podanej strony.

Podczas prescanu Gmer wyświetlił kilka wyników oraz komunikat że nie może uzyskać dostępu do procesu config system bo jest uzywany.

Wykonałem skanowanie z zaznaczonymi wszytkimi opcjami oprocz I/O Trace oraz z zaznaczoną opcją Quick scan.

Po wykonanym skanie ponownie pojawił się komunikat o braku dostepu do cofig system oraz do pliku (czy procesu) chyba o nazwie ntuser.

Załączam log:

GMER 2.1.19357 - http://www.gmer.net

Rootkit scan 2014-06-18 19:26:46

Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\00000027 ST500LM012_HN-M500MBB rev.2AR10002 465,76GB

Running: 6gdxfxlz.exe; Driver: C:\Users\Krzysiek\AppData\Local\Temp\kwryipob.sys

---- User code sections - GMER 2.1 ----

.text C:\Windows\system32\atiesrxx.exe[920] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306 000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text C:\Windows\system32\atiesrxx.exe[920] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314 000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

? C:\Windows\SYSTEM32\BsHelpCSps.dll [616] entry point in ".data" section 0000000010005055

.text C:\Program Files (x86)\Hewlett-Packard\HP Connected Remote\HPConnectedRemoteService.exe[3032] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 306 000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text C:\Program Files (x86)\Hewlett-Packard\HP Connected Remote\HPConnectedRemoteService.exe[3032] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 314 000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

.text C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe[2396] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690 000007ffd41e1532 4 bytes [1E, D4, FF, 07]

.text C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe[2396] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698 000007ffd41e153a 4 bytes [1E, D4, FF, 07]

.text C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe[2396] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246 000007ffd41e165a 4 bytes [1E, D4, FF, 07]

.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3980] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306 000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3980] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314 000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

.text C:\Windows\system32\atieclxx.exe[3564] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306 000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text C:\Windows\system32\atieclxx.exe[3564] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314 000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

.text C:\Windows\system32\atieclxx.exe[3564] C:\Windows\system32\WSOCK32.dll!recvfrom + 742 000007ffdab01b32 4 bytes [b0, DA, FF, 07]

.text C:\Windows\system32\atieclxx.exe[3564] C:\Windows\system32\WSOCK32.dll!recvfrom + 750 000007ffdab01b3a 4 bytes [b0, DA, FF, 07]

.text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[6772] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306 000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[6772] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314 000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

? C:\Windows\SYSTEM32\BsHelpCSps.dll [6364] entry point in ".data" section 0000000003d25055

? C:\Windows\SYSTEM32\BlueSoleilCSps.dll [6364] entry point in ".rdata" section 0000000004584085

---- Threads - GMER 2.1 ----

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:2060] 0000000000cc1c24

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:5096] 0000000066012c6b

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:3912] 000000006a7ae54e

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:3616] 000000006911319b

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:1236] 000000006e1716dc

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:440] 000000006b9d2238

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:3808] 000000006b9d2238

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:2740] 000000006b9d2238

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:5688] 000000006e298f59

Thread C:\Windows\SYSTEM32\ntdll.dll [2056:4236] 000000006e214b0d

Thread C:\Windows\system32\csrss.exe [4988:5348] fffff960009b45e8

Thread C:\Windows\SYSTEM32\ntdll.dll [2304:4104] 0000000000cc1c24

Thread C:\Windows\SYSTEM32\ntdll.dll [2304:48] 0000000074644053

---- Processes - GMER 2.1 ----

Library C:\Users\Krzysiek\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll (*** suspicious ***) @ C:\Windows\Explorer.EXE [668] (GG drive menu/GG Network S.A.) 0000000012c30000

---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk0\DR0 unknown MBR code

---- EOF - GMER 2.1 ----