Avira - ukryte obiekty po skanowaniu

[balcerman]

Cześć,

 

Mam następujący problem: od kilku tygodni Avira przy każdym skanie wyświetla komunikat o wykrytych ukrytych obiektach.

 

Moje pytanie to: czy te ukryte obiekty są groźne?

 

Jeśli tak, jak mogę się ich pozbyć?

 

Jeśli nie, jak mogę "przekonać" Avirę do ich ignorowania w przyszłych skanach (skan jest przerwany wyświetleniem komunikatu; mogę go kontynuować, ale muszę siedzieć przed monitorem, dopóki go nie zobaczę, żeby kliknąć odpowiednią opcję)?

 

System: Windows 7 64-bit

 

Raport z Aviry w załączniku

Avira Report.txt

[picasso]

Obowiązują tu raporty systemowe: KLIK.

 

Starting search for hidden objects.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Media Player NSS\3.0\Events\{242E0A8A-FF59-4C61-B006-B95BBBD43C9D}

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Lenovo\PWRMGRV\PowerSchemes\FBAAF6CA-3F77-4225-A5F7-194F10B2F445\DISP_BRTNESS_AC

[NOTE] The registry entry is invisible.

HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Health\{BB0214B3-0585-4695-A6BE-063E4437D3E9}

[NOTE] The registry entry is invisible.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

 

Opis detekcji: KLIK.

- 3 wyniki odnoszące się do rejestru nie wyglądają na szkodliwe.

- Zaś "memory modification" to prawdopodobnie wynik aktywności emulatora napędów wirtualnych. Nie dostarczyłeś obowiązkowych raportów, więc nie wiadomo co masz w systemie.

 

 

 

.

[balcerman]

Miałem zainstalowany Alcohol, został usunięty.

Po usunięciu go nadal są "hidden files".

 

W załącznikach obowiązkowe logi plus drugi skan Avirą, już po usunięciu Alcoholu.

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

avira scan bez alcoholu.txt

[picasso]

Po usunięciu go nadal są "hidden files".

Usunąłeś tylko Alcohol, ale nie jego sterownik który właśnie powoduje ten odczyt. Deinstalacja Alcohol nie usuwa sterownika SPTD (pokazuje go FRST) - on musi być traktowany indywidualnie: KLIK. Po usunięciu sterownika wymagany restart, by odładować go w pełni z pamięci.

 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-11-08] (Duplex Secure Ltd.)

 

Usunięcie sterownika Alcohola wpływa tylko na ustąpienie odczytu "Hidden driver". Pozostałe wyniki nadal będziesz miał wykrywane, one nie są szkodliwe.

 

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

 

 

W podanych raportach brak oznak infekcji, ale możesz przeprowadzić dodatkowe działania:

 

1. Kolejny nie odinstalowany komponent przemycony przez instalację Alcohol to Smart File Advisor - należało ten zbędnik odznaczyć przy instalacji Alcohola. Poza tym, w systemie jest przestarzały konstrukcyjnie Spybot - Search & Destroy 2. To program 32-bit i słabo nadaje się na system 64-bit, lata świetności też ma za sobą.

 

2. Usunięcie wpisów pustych i czyszczenie Tempów. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CHR HKLM-x32\...\Chrome\Extension: [lpdfbkehegfmedglgemnhbnpmfmioggj] - No Path
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141008
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141008
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\ProgramData\Temp
C:\Users\T540p\AppData\Roaming\WebApp
C:\Users\T540p\AppData\Roaming\WebExtend
Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s
Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przestaw ten log.

[balcerman]

1. Usunąłem Smart File Advisor korzystająć z menu "Programy i funkcje".

Usunąłem też sterownik SPTD i zrestartowałem system.

 

 

Natomiast mam problem z usunięciem wpisu sptd w rejestrze.

Chciałbym zrobić z tym porządek, póki o tym pamiętam, żeby nie było niespodzianek, gdybym kiedyś ponownie instalował Alcohol...

 

Próbowałem to zrobić na trzy z wymienionych w linku sposobów, ale żaden nie dał rezultatu. Kolejność prób:

a. zmiana właściciela i usunięcie

b. ProcessHacker

c. RegAssassin

 

W załącznikach komunikaty plus zrzut ekranu z zakładką "Właściciel" dla tego wpisu w rejestrze.

 

2. Skrypt wykonany, w załączniku log.

 

3. Mam dwa pytania o aplikacje, których używam.

 

a. Czy mógłbyś/mogłabyś polecić mi jakiś lepszy zamiennik Spybota? Najlepiej z wersjami 32 i 64 bit?

b. To samo pytanie o Alcohol. Służy mi tylko do nagrywania płyt. Czy jest jakiś godny polecenia programik o tej samej funkcjonalności, który nie powoduje ostrzeżeń Aviry?

 

 

Dziękuję za dotychczasową cierpliwą pomoc

Fixlog.txt

[picasso]

Co się stało z załącznikiem skanu Avira w pierwszym poście? Przywróciłam go.

 

 

Natomiast mam problem z usunięciem wpisu sptd w rejestrze.

Na 100% ominąłeś reset podklucza cfg. I nie jest problemem usunąć ten klucz, zadam stosowną komendę w skrypcie FRST poniżej. FRST ma silną dyrektywę do usuwania kluczy zablokowanych przez uprawnienia i inne sztuczki.

 

 

Czy mógłbyś/mogłabyś polecić mi jakiś lepszy zamiennik Spybota? Najlepiej z wersjami 32 i 64 bit?

Płeć żeńska. Polecam Malwarebytes Anti-Malware. To obecnie nowoczesny skaner antymalware, na bieżąco z zagrożeniami, ma też moduł antyrootkit wbudowany. Wersja darmowa to skaner na żądanie, w wersji komercyjnej jest osłona rezydentna.

 

 

To samo pytanie o Alcohol. Służy mi tylko do nagrywania płyt. Czy jest jakiś godny polecenia programik o tej samej funkcjonalności, który nie powoduje ostrzeżeń Aviry?

Może darmowy CDBurnerXP? Uwaga: domyślny instalator ma adware OpenCandy, wybierz instalator alternatywny bez tego śmiecia, tzn. More download options i pozycję Default installer

(Without OpenCandy): KLIK. Przy okazji jeszcze poczytaj ogólnie o instalatorach adware: KLIK.

 

 

Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd
Reg: reg query "HKU\S-1-5-21-2967589604-1285010922-3187333532-1001\Software\Microsoft\Internet Explorer\SearchScopes" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[balcerman]

Ominąłem reset podklucza cfg, zgadza się...

 

Dziękuję za sugestie co do programów, wypróbuję je, ściągając z sugerowanych przez Ciebie stron.

 

Lektura o adware bardzo ciekawa, wielu sztuczek stosowanych do ich instalowania nie znałem. Czy sugestia jest spowodowana logami, które dołączyłem?

 

 

 

FRST uruchomiony, logi w załączniku. W rejestrze sptd już nie zauważyłem.

 

Avira też już nie odnajduje plików ukrytych, log w załączniku.

 

Natomiast zadziało się coś innego: dostałem od systemu komunikat o uszkodzonym koszu (??). W załączniku zrzut okna dialogowego. Myślałem, że może jest to spowodowane tym, że pliki usuwam od razu, bez użycia kosza. Zaznaczyłem dla sprawdzenia z powrotem standardową opcję (czyli pliki po usunięciu teraz lądują w koszu) i nadal to samo.

 

EDIT: To się dzieje przy skanowaniu Avirą. Kiedy z okna dialogowego wybieram pocję "Tak", dostaję komunikat, który wklejam w drugim załączniku z obrazkiem.

FRST.txt

Fixlog.txt

Avira scan.txt

[picasso]

Lektura o adware bardzo ciekawa, wielu sztuczek stosowanych do ich instalowania nie znałem. Czy sugestia jest spowodowana logami, które dołączyłem?

Nie, Twoje logi "czyste" w tym kontekście. To tylko moja prewencja, by tego właśnie nie zepsuć.

 

 

Natomiast zadziało się coś innego: dostałem od systemu komunikat o uszkodzonym koszu (??). W załączniku zrzut okna dialogowego. Myślałem, że może jest to spowodowane tym, że pliki usuwam od razu, bez użycia kosza. Zaznaczyłem dla sprawdzenia z powrotem standardową opcję (czyli pliki po usunięciu teraz lądują w koszu) i nadal to samo.

Wadliwy Kosz usunie FRST:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\$Recycle.Bin
SearchScopes: HKU\S-1-5-21-2967589604-1285010922-3187333532-1001 -> DefaultScope {C0EB9A05-EF17-4461-833C-A325AE604335} URL =
SearchScopes: HKU\S-1-5-21-2967589604-1285010922-3187333532-1001 -> {C0EB9A05-EF17-4461-833C-A325AE604335} URL =
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. Pierwsza próba usuwania czegoś bez omijania Kosza powinna zregenerować powyższy folder.

[balcerman]

Zrobione, log w załączniku. Jako użytkownik nie widzę więcej problemów.

Czekam na komentarz do loga, jeśli będzie w porządku, z mojej strony to wszystko.

 

Dziękuję za pomoc i podpowiedzi!

Fixlog.txt

[picasso]

Fix wykonany. Na koniec:

 

Usuń pobrany FRST. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz porównaj co wymaga aktualizacji: KLIK.