Podejrzenie o włamania, niechciane strony.

[Tom75]

Witam.

Kilka miesięcy temu padł mi komputer stacjonarny i posiadam w tej chwili laptopa marki e-machines, zakupiony w którymś markecie AGD, z wgranym już systemem.

Procesorem i-3-330M, system operacyjny Windows 7 Home Premium.

Od początku miałem z tym laptopem problemy i udzielał mi pomocy nawet konsultant z Microsoftu, wprowadzając jakieś poprawki. Jednak po jakimś czasie system padł i oddałem go do naprawy do znajomej informatyczki. Przepraszam, ale nie pamiętam co dokładnie padło, w każdym bądź razie dostałem od niej informację, że teraz mój system jest 64-bitowy. Sprawiło mi to trochę konfliktów bo musiałem szukać odpowiednich aplikacji. Jednak teraz borykam się z innymi problemami.

Od jakiegoś czasu mam wrażenie, że ktoś włamuje mi się do komputera. Ściągnąłem Comodo firewall’a, czyściłem system ADWCleanerem,  który usuwał jakieś śmieci.

Dziwne jest również to, że w niektórych utworzonych przeze mnie nowych plikach Excel’a,  autorem jest jakiś Lewandowski a w niektórych – Tomek czyli Ja.

Na pulpicie pojawił mi się folder, z jakimś filmem do ćwiczeń, być może go miałem, ale nie na pulpicie. Pojawiły mi się przeźroczyste ikony desktop.ini. Czasami zmienia się rozkład ikon na pulpicie (samoistnie). Ostatnio utraciłem trochę danych. Z poprzedniego komputera uratowałem dysk i na nim zapisuję wszystko co ważne w obawie o awarię laptopa.  Gdy odpiąłem go od dysku zniknęły wszystkie skróty do tego dysku i od nowa musiałem odgrzebywać głęboko z dysku. A trochę tego mam.

Zapisywałem więc na pendriv'ie, ale i ten mi padł, system go przestał widzieć. Wszystkie pen'y system chce skanować aby naprawiać, ale może tak ma być ?

Pojawiają mi się również strony z jakimiś grami. Zresetowałem więc firefox’a.

Przeczyściłem CCleanerem. Za pomocą OTL usunałem jedynie stronę bing. Nie chcę jednak podejmować sam dalszych akcji bo już raz sobie system załatwiłem a Picasso kiedyś uświadomiła mnie jak bardzo się na tym nie znam Dziękuję

Proszę o pomoc bo ten sprzęt służy mi do pracy a niezbyt bezpiecznie się czuję.

Kilka dni temu zrobiłem wszystkie niezbędne raporty, ale nie znalazłem czasu na napisanie tematu. Jeśli one też będą potrzebne to załączę.

Tymczasem załączam aktualne.

Pozdrawiam

Tomasz

FRST 16.03.txt

Addition 16.03.txt

Gmer 16.03.txt

OTL 16.03.Txt

Shortcut 16.03.txt

UsbFix Listing 1 TOMASZ-KOMPUTER.txt

[Rucek]

ADWCleaner - zostawia po sobie logi, zobacz czy je jeszcze masz, dowiedzielibyśmy się co usunął. Nie podejmuj innych działań by logi były aktualne.

 

Zobacz na dysku C:| czy jest katalog AdwCleaner.

[Tom75]

Witaj, Dziękuje. Nie mogę znaleźć tych raportów. Niestety folder AdwCleaner jest pusty.

[picasso]

Od jakiegoś czasu mam wrażenie, że ktoś włamuje mi się do komputera.

Jakie tu są podstawy do podejrzewania włamania? Wszystkie inne wyliczone poniżej zachowania mają całkiem inne wytłumaczenie. Kolejna sprawa, widzę na dysku ten program:

 

2014-03-13 18:09 - 2014-03-13 18:09 - 00051232 _____ (gkweb) C:\Users\Tomasz\Downloads\wwdc_141_(dobreprogramy.pl).exe

 

To jest aplikacja niezgodna z systemami Vista i nowszymi! Tylko szkody powoduje: KLIK. Czy program był używany?

 

 

Pojawiają mi się również strony z jakimiś grami. Zresetowałem więc firefox'a.

Jakie adresy stron i czy to nadal ma miejsce po użyciu AdwCleaner oraz resecie Firefox? I są tu wątpliwości czy użyty AdwCleaner był najnowszy: skąd był pobierany, ze strony domowej narzędzia? Ponadto, wygląda na to, że AdwCleaner został użyty w zły sposób, czyli zamiast odinstalować programy adware przez Panel sterowania, zapuściłeś go na tychże programach. AdwCleaner nie zastępuje procesów deinstalacji, a niewłaściwa kolejność skutkuje pozostawieniem w systemie zbyt wielu elementów danego programu. Skutki uboczne tu widzialne: martwe wpisy programów adware na liście zainstalowanych...

 

 

Za pomocą OTL usunałem jedynie stronę bing.

W jakim celu? Bing to domyślny dostawca wyszukiwarki preinstalowany z systemem. Dostarcz wyniki skryptu z katalogu C:\_OTL, o ile nadal ten folder istnieje...

 

 

Na pulpicie pojawił mi się folder, z jakimś filmem do ćwiczeń, być może go miałem, ale nie na pulpicie. Pojawiły mi się przeźroczyste ikony desktop.ini.

Pliki desktop.ini to poprawne pliki systemowe, odpowiadające za specjalną ikonkę folderu Desktop w eksploratorze Windows oraz polonizowaną nazwę (dlatego wyświetla się "Pulpit" zamiast "Desktop"). One były na Pulpicie od początku instalacji Windows, tylko domyślnie są ukryte, dlatego ich nie widziałeś. Nagle się ujawniły, bo zrobiłeś skan OTL, który automatycznie przestawia opcje widoku:

 

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

A ten folder "z jakimś filmem do ćwiczeń" (jaką on ma nazwę?) pewnie też był cały czas, o ile nie były ukryty metodą desktop.ini, być może był po prostu poza krawędzią widoczności Pulpitu, i to działanie go uwidoczniło:

 

Czasami zmienia się rozkład ikon na pulpicie (samoistnie).

Jest wiele przyczyn dla takiego zachowania i przeważnie nie ma to nic wspólnego z infekcją. Trudno tu powiedzieć co może to powodować, skoro efekt jest nieregularny. Jedene co na wyrost na razie mogę ewentualnie skojarzyć, to błąd explorer.exe (to oznacza automatyczne przeładowanie powłoki, czyli i "odświeżenie" Pulpitu):

 

Error: (03/15/2014 10:50:54 AM) (Source: Application Hang) (User: )

Description: Program Explorer.EXE w wersji 6.1.7601.17567 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji.

 

Brak tu jednak informacji czy błąd ma charakter jednorazowy i co właciwie go powoduje.

 

 

Dziwne jest również to, że w niektórych utworzonych przeze mnie nowych plikach Excel'a, autorem jest jakiś Lewandowski a w niektórych – Tomek czyli Ja.

Czy te nowe pliki są tworzone na podstawie innych już istniejących plików?

 

 

Ostatnio utraciłem trochę danych. Z poprzedniego komputera uratowałem dysk i na nim zapisuję wszystko co ważne w obawie o awarię laptopa. Gdy odpiąłem go od dysku zniknęły wszystkie skróty do tego dysku i od nowa musiałem odgrzebywać głęboko z dysku. A trochę tego mam.

Nie rozumiem wątku ze skrótami, gdzie były zlokalizowane. Poza tym, mówisz o skrótach, a nie danych zasadniczych, więc nie rozumiem również tego co za problem tu właściwie jest.

 

 

Zapisywałem więc na pendriv'ie, ale i ten mi padł, system go przestał widzieć. Wszystkie pen'y system chce skanować aby naprawiać, ale może tak ma być ?

Skoro system nie widzi pendrive, to i USBFix tym bardziej. W raporcie USBFix jest widzialny jakiś jeden pendrive, ale z tego nic nie wynika, bo USBFix to w ogóle narzędzie innego typu i nie służy do rozwiązywania problemów z detekcją urządzeń. Czy urządzenia nadal nie są rozpoznawane? Jeśli zaś chodzi o to, że system "chce skanować aby naprawiać": ten komunikat pojawia się jako skutek uboczny niepoprawnego odłączenia pendrive, tzn. nie skorzystano z funkcji "Bezpieczne usuwanie sprzętu".

 

 

 

---

Nie widzę tu żadnych oznak czynnej infekcji, trochę szczątków adware i nic poza tym. Tylko drobna kosmetyka na wpisy szczątkowe:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [ComodoFSFirefox] - "C:\Program Files (x86)\AdTrustMedia\PrivDog\FinalizeSetup.exe" /f
HKLM-x32\...\Run: [PrivDogService] - "C:\Program Files (x86)\AdTrustMedia\PrivDog\1.8.0.18\trustedadssvc.exe"
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
BHO: PrivDog Extension - {FB16E5C3-A9E2-47A2-8EFC-319E775E62CC} - C:\Program Files\AdTrustMedia\PrivDog\1.8.0.18\trustedads.dll No File
BHO-x32: PrivDog Extension - {FB16E5C3-A9E2-47A2-8EFC-319E775E62CC} - C:\Program Files (x86)\AdTrustMedia\PrivDog\1.8.0.18\trustedads.dll No File
Task: {1B2486DA-FF8C-490B-9654-882ECCCD545E} - System32\Tasks\{748FA843-EF89-4E77-A92D-8FFCBE667ABA} => E:\BESTplayer.exe
Task: {1B92D797-2603-4B8C-BD59-4118A62B042C} - System32\Tasks\{BA03EC2B-B7C6-4B99-A3A8-4FE5AFE3EE19} => Firefox.exe
Task: {250A2ECA-7AF5-4090-8D5D-B7ED270F3CCB} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2014-01-21] (Systweak Inc) 
Task: {27A615FA-779A-4295-B9F9-0F6105D235FD} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2014-01-21] (Systweak Inc) 
Task: {528CB868-74F9-446C-9D09-DD5A043EEB7F} - System32\Tasks\{579E6AE7-28A3-443A-9CCC-2C48AF66C646} => E:\Bejeweled 3 Instalacja (Pełna Wersja).exe
Task: {B00D254E-2FE4-4CCE-A611-CA2D8E0787F1} - System32\Tasks\{E38633A8-DA44-4647-AAF7-56F5C8436616} => E:\BESTplayer.exe
Task: {E9CEE61E-C393-4D8B-9437-61D6EF6B2B5E} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2014-01-21] (Systweak Inc) 
Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe 
Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe 
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
C:\user.js
C:\Users\Tomasz\AppData\Local\AdTrustMedia
C:\Users\Tomasz\AppData\Roaming\systweak
C:\Windows\system32\roboot64.exe
Reg: reg query HKLM\SOFTWARE\Microsoft\Rpc\Internet
Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Rpc\Internet
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: rd /s /q C:\ProgramData\Kaspersky Lab
CMD: rd /s /q "C:\Users\Tomasz\Doctor Web"
CMD: rd /s /q "C:\Users\Tomasz\Desktop\Stare dane programu Firefox"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Spróbuj przez Panel sterowania odinstalować te nieszczęsne szczątki: BrowseSmart, FindRight, PrivDog, RegClean Pro.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[Tom75]

Witam,

 

- niestety użyłem WWDC

 

- po resecie firefoxa strony z grami zniknęły.

 

- niestety nie widzę w katalogu C folderu OTL.

 

- wszystkie pliki tworzone były przeze mnie, ale pewnie na różnych wersjach Office'a, ponieważ próbowałem różnych. Nie wszystkie chciały działać poprawnie. Zresztą teraz też nie mogę z prawokliku utworzyć nowego skoroszytu ponieważ gdy go próbuje otworzyć występuję błąd: wystąpiły problemy z przesłaniem polecenia do programu. Otwierają się jedynie ikony skopiowane, zapisane jako. Wtedy ikona wyglada trochę inaczej, zminimalizowany excell na białym tle. Te pełne muszę otwierać z programu. Dwuklikiem się nie da.

 

- Już wyjaśniam ze skrótami. Choć jak mówiłaś jest jakiś problem z explorerem to to może być przyczyną. Z poprzedniego komputera uratowałem dysk twardy i traktuję go jako pamięć zewnętrzną podpinaną USB. Odpinając go któregoś razu ikony wszystkie skróty zniknęły i od nowa musiałem odgrzebywać pożądane foldery.

 

- żona kupiła mi pendrive'a abym sobie zgrał ważne dane. Sterowniki zainstalowały się pomyślnie. Gdy go ponownie podpiąłem następnego dnia wybrałem opcje bez skanowania i wtedy coś się stało, że przestał go widzieć. Reaguje na podpięcie, pojawia się ikona dysk wymienny (H:), ale gdy na niego klikam otrzymuje komunikat: włóż dysk do stacji dysków ? Czy za każdym razem powinno się używać bezpieczne usuwanie sprzętu gdy tylko odpinam go od laptopa ?

 

- Dodam, że co jakiś czas ulega awarii wtyczka adobe, szczególnie na YT.

 

- Nie mogę również uruchomić Adobe reader w trybie chronionym z powodu niezgodności z konfiguracja systemu.

 

- Ostatnia sprawa, od długiego czasu używam AdBlockplusa, ale w tej chwili poczta WP działa mi tylko gdy jest wyłączony. Wcześniej tak nie miałem. jestem skazany na reklamy w skrzynce. Jest na to jakiś sposób ?

 

1. Wykonane, załączone.

2. Odinstalowane: PrivDog, RegClean Pro. Pozostałych nie było.

3. Wykonane.

4. Wykonane, załączone.

 

Dziękuję.

Fixlog.txt

FRST.txt