Skocz do zawartości

"TR/Keylogger.HotKeysHook.A.41 Trojan"


Rekomendowane odpowiedzi

Witam.
Wczoraj bądź przedwczoraj przeglądałem stare płytki z CD-Actiona, szukając w nich jakichś ciekawych programów czy software, mając zamiar wyrzucić te zajmujące miejsce, bezużyteczne płyty. Pobrałem z nich parę ikon, jakieś kursory, obrazki z ich działu "Na luzie", oraz parę wygaszaczy.

Nie zbierałem tego, po każdej płytce od razu zrobiłem przesiew, z czego zostało mi w konsekwencji z parę obrazków, ale mniejsza z tym.

Chcąc uruchomić jeden screensaver przypadkowo go zainstalowałem (domyślnie wybrał miejsce, nic nie wyskoczyło poza informacją, ze został zainstalowany). Instalator usunąłem, niczego jednak nie znalazłem w Dodaj/Usuń programy. Zacząłem się obawiać, zawsze one, oraz Toolbary, wydawały mi się najgroźniejsze.

Opisuję to, gdyż podejrzewam to za sprawcę pewnego problemiku.

Dziś bowiem moja Avira Antivirus wykryła plik będący "wirusem" bądź "niechcianym programem".

Nazywał się TR/Keylogger.HotKeysHook.A.41, znajdujący się w:
C:\System Volume Information\_restore{8002081C-8E0C-4BC1-992E-055F5EC9AD27}\RP158\A0058041.exe'
C:\System Volume Information\_restore{8002081C-8E0C-4BC1-992E-055F5EC9AD27}\RP158\A0058041.exe.

(Załączam raport z Aviry).

Dostałem prosto do wyboru, jak to ma Avira w zwyczaju, "Remove", lub "Details", tak więc, po krótkim poczytaniu o tym pliku na internecie, bez namysłu wybrałem opcję "Remove", lecz po chwili komputer mi strasznie zwolnił. Wcześniej też wolno działał, ale teraz jakoś szczegółniej. Uruchomiłem go ponownie, i jest pewna poprawa, lecz i tak pozostało to spowolnienie (długo ładuje, momentami przestaje reagować by po chwili znów wrócić do funkcjonalności).

Obawiam się, że nie wiem co się stało, nie znam się na tych sprawach, i mam nadzieję, że to nic nie zepsułem usuwając poprzez Avirę ten plik.

Podejrzewam, że coś z tego gdzieś zostało, a jak nie, to nie wiem. Może ten wygaszacz gdzieś działa, i powstał z niego owy TR/Keylogger. Może mam oprócz tego jeszcze jakieś małe programy, niepotrzebne, które tak działają.

Załączam raporty z Aviry, Defoggera oraz OTL. Czy mógłbym prosić o sprawdzenie? Mam nadzieję, że nie pominąłem żadnego punktu.

Avira http://wklej.org/id/1124819/
Defogger http://wklej.org/id/1124820/ - tutaj chciałbym zwrócić uwagę, że nie otrzymałem komunikatu o konieczności zrestartowania komputera, lecz pokazała mi się informacja o zakończeniu procesu. Uznałem, że i tak uruchomię komputer i wykonam logi OTL.

 

Pozdrawiam

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach nie ma żadnych oznak infekcji.

 

 

Chcąc uruchomić jeden screensaver przypadkowo go zainstalowałem (domyślnie wybrał miejsce, nic nie wyskoczyło poza informacją, ze został zainstalowany). Instalator usunąłem, niczego jednak nie znalazłem w Dodaj/Usuń programy.

Wygląda na to, że ten screensaver umieścił takie oto pliki:

 

2013-09-06 14:29 - 2013-09-06 14:29 - 00984735 _____ (Macromedia, Inc.) C:\WINDOWS\Speedo Clock.exe

2013-09-06 14:29 - 2013-09-06 14:29 - 00259184 _____ (MacSourcery) C:\WINDOWS\Speedo Clock.scr

2013-09-06 14:29 - 2013-09-06 14:29 - 00029696 _____ (MacSourcery) C:\WINDOWS\mickey32.dll

 

 

Dziś bowiem moja Avira Antivirus wykryła plik będący "wirusem" bądź "niechcianym programem".

 

Nazywał się TR/Keylogger.HotKeysHook.A.41, znajdujący się w:

C:\System Volume Information\_restore{8002081C-8E0C-4BC1-992E-055F5EC9AD27}\RP158\A0058041.exe'

C:\System Volume Information\_restore{8002081C-8E0C-4BC1-992E-055F5EC9AD27}\RP158\A0058041.exe.

 

(Załączam raport z Aviry).

To wyniki izolowane w katalogu System Volume Information, czyli Przywracania systemu. Katalogi te opróżnia się w następujący sposób: KLIK.

A czy to naprawdę infekcja, to trudno stwierdzić. To są tylko kopie pod zmienioną nazwą, pliki źródłowe mają inne nazwy i nie zostało tu wykryte nic dopasowanego.

 

 

 

.

Odnośnik do komentarza

Dostałem prosto do wyboru, jak to ma Avira w zwyczaju, "Remove", lub "Details", tak więc, po krótkim poczytaniu o tym pliku na internecie, bez namysłu wybrałem opcję "Remove", lecz po chwili komputer mi strasznie zwolnił. Wcześniej też wolno działał, ale teraz jakoś szczegółniej. Uruchomiłem go ponownie, i jest pewna poprawa, lecz i tak pozostało to spowolnienie (długo ładuje, momentami przestaje reagować by po chwili znów wrócić do funkcjonalności).

+

 

Chyba będę musiał pomyśleć nad większym RAMem w takim razie...

Z RAM owszem niezbyt bogato, ale na wszelki wypadek sprawdź jeszcze:

 

1. Transfer dysku. Instrukcje w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Nie ma znaczenia, że GMER chyba tu nie uruchamiałeś, są i inne przyczyny degradacji transferu.

 

2. Defragmentację dysku za pomocą Puran Defrag. Do wykonania także defgragmentacja typu "Boot Time" (scala pliki zablokowane spod działającego Windows).

 

3. Przy braku rezultatów testową deinstalację Avira. Antywirus może spowalniać.

 

 

 

.

Odnośnik do komentarza

Muszę przyznać, że jestem zaskoczony.

1. Punkt pierwszy wykonałem, ale chyba nie ma tam nic złego (zdjęcia załączone).

 

2. Dysk zdefragmentowałem. Na oba sposoby.

Zwyczajną defragmentację powtórzyłem jeszcze 2 razy, dopóki wszystkie pliki nie zostały zdefragmentowane. Co prawda zajęło to grubo ponad parę godzin, ze 4 lub pięć, lecz cóż, zrobiłem.

Nie byłem pewien którą opcję Boot Time wybrać, więc wybrałem pierwszą, restart-defrag-restart. Nie wiedziałem czy mam wybrać opcje ze sprawdzaniem dysku, nie tykałem.

 

3. Avirę odinstalowałem i zainstalowałem ponownie.

 

I jestem zaskoczony, poniewać sam pulpit (włącznie Real Time Protection w Avirze, połączenie się z siecią Wi-Fi, oraz poprawne wczytanie ikon pulpitu) potrzebował mniej czasu na załadowanie, niż uprzednio. Tak samo pierwsze włączenie przeglądarki było szybsze.

Nie mówię, że jest idealnie, ciągle są pewne spowolnienia, lecz skupiając się na plusach, to jak dla mnie sukces w znacznej mierze został osiągnięty. I jestem usatysfakcjonowany. :)

Bogu dzięki to nie byl wirus. Nienawidzę tych plugastw.

 

Dziękuję za pomoc!

post-11528-0-96219900-1378811923_thumb.jpg

post-11528-0-76080000-1378811924_thumb.jpg

Odnośnik do komentarza

1. Punkt pierwszy wykonałem, ale chyba nie ma tam nic złego (zdjęcia załączone).

Potwierdzam, brak adnotacji o degradacji do PIO.

 

 

Nie mówię, że jest idealnie, ciągle są pewne spowolnienia, lecz skupiając się na plusach, to jak dla mnie sukces w znacznej mierze został osiągnięty.

Tu już chyba zbyt dużo nie podziałamy, ale możesz jeszcze wyłączyć dwie zbędne usługi wtórne (msconfig > karta Usługi):

 

SRV - [2013-07-12 09:49:15 | 000,182,184 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Program Files\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)

SRV - [2013-01-03 13:43:58 | 001,259,448 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)

 

Oraz rozważyć optymalizację usług Microsoftu: KLIK.

 

 

 

 

.

Odnośnik do komentarza

Tak też zrobię. Mało wiem o komputerach, o defragmentacji to nawet nie pamiętam, czasem CCleanerem poczyszczę, ale nic zaawansowanego. Tak więc dziękuję za zwrócenie uwagi na przydatne procesy, :)

 

O, zauważyłem w Usługach również pozycję "Ask Update Service". Czy jest to powiązane z Ask Toolbar i mogę to najzwyczajniej wyłączyć, czy to jakiś proces jednej z koniecznych aplikacji i lepiej pozostawić przy życiu? Nieznany producent, google milczy na temat tej usługi.

 

 

EDIT: Już nieaktualne, sprawdziłem ową usługę w services.msc, Toolbarowa. Zrozumiałem, że po ponownej instalacji Avira była opcja zainstalowania Ask Toolbar, na co się oczywiście nie zgodziłem. Ale diabelstwo zostawiło swój Updater, najpewniej NA ZAŚ. Poszło do śmietnika. Zero obecności w usługach, czy procesach.

Tak więc dziękuję za pomoc!

Pozdrawiam.

post-11528-0-70760200-1378898748_thumb.jpg

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...