Procesy lvvm.exe, csrss.exe, 5FAC4.exe, regs.exe, B4E.exe

[hoohoo]

Witam serdecznie.

Zwracam się z prosba o przejrzenie moich logow czy wszystko jest ok i ogolne zapoznanie się z moja sytuacja. Ostatnio mialam problemy z komputerem.

Mam zainstalowanego COMODO firewall i Avasta.

Na COMODO poblokowalam pare procesow, na których temat wyczytalam, ze sa szkodliwe. Sa to:

lvvm.exe

csrss.exe

5FAC4.exe

regs.exe

B4E.exe

One wszystkie sa w Users\User\AppData\Roaming

Czy dobrze zrobilam?

Niepokoi mnie również połączenie netsession_win.exe. Staralam się wyszukac infromacje na ten temat, ale nie zrozumialam w koncu czy powinno się go usuwac czy nie, w jaki sposób i za co odpowiada ten proces w rzeczywistosci.

Pozdrawiam i czekam na odpowiedz.

OTL.Txt

Extras.Txt

[picasso]

Na COMODO poblokowalam pare procesow, na których temat wyczytalam, ze sa szkodliwe. Sa to:

lvvm.exe

csrss.exe

5FAC4.exe

regs.exe

B4E.exe

One wszystkie sa w Users\User\AppData\Roaming

Czy dobrze zrobilam?

 

Owszem, wygląda to szkodliwie. W logach z OTL widzę po tym szczątki, oraz z tej serii podrobiony "Internet Explorer":

 

O20 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001 Winlogon: Shell - (C:\Users\Monika\AppData\Roaming\C6A2B\5FAC4.exe) - File not found
 
[2012/01/13 12:23:52 | 000,288,768 | ---- | C] () -- C:\Users\Monika\AppData\Roaming\iexplore.exe

 

Niepokoi mnie również połączenie netsession_win.exe. Staralam się wyszukac infromacje na ten temat, ale nie zrozumialam w koncu czy powinno się go usuwac czy nie, w jaki sposób i za co odpowiada ten proces w rzeczywistosci.

 

To Akamai NetSession Interface. Dla porównania temat: KLIK. Aplikację możesz odinstalować z systemu, choć nie jest szkodnikiem.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Monika\AppData\Roaming\*.*
C:\Users\Monika\AppData\Roaming\2B37F
C:\Users\Monika\AppData\Roaming\C6A2B
C:\Users\Monika\AppData\Roaming\OpenCandy
C:\Windows\Tasks\*.job
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:OTL
IE - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:54081
O2:64bit: - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssiea.dll File not found
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll File not found
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\bin\ssv.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1305055937_2696e0821e0741f01f306d65d2be89e5&GroupName=JSC&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab&BHost=javadl.sun.com" (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444552440000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i powinien otworzyć się automatycznie w Notatniku log z wynikami usuwania. Jeśli nie, szukaj go w katalogu D:\_OTL.

 

2. Otwórz Firefox, wejdź do menedżera rozszerzeń i odinstaluj wątpliwy dodatek vShare Toolbar.

 

3. Wykonaj nowy log z OTL opcją Skanuj. Dołącz log z wynikami usuwania z punktu 1.

 

 

 

.

[hoohoo]

Dziekuje bardzo za poswiecenie uwagi i czasu.

 

Usunelam iexplorer.exe z tej serii i od razu Avast mi wykryl trojana i wyslal do kwarantanny.

Jeśli chodzi o netsession_win.exe, zaniepokoilo mnie to, ze w COMODO w aktywnych połaczeniach w protokole UDP OUT to ja jestem Zrodlem, a Kierunkiem jest około 5 albo wiecej numerow IP. I te numery IP sa przypisane do United States, tak jakby do zwyklych uzytkownikow. No i netsession_win.exe znajduje się w AppData\Local\Akamai\ . Podobno to netsession przyspiesza łącza (?).

 

Wykonałam wszystkie 3 punkty. W załączniku logi. Plik .log: http://wklej.org/id/675899/txt/

 

Pozdrawiam.

Extras.Txt

OTL.Txt

[picasso]

Usunelam iexplorer.exe z tej serii i od razu Avast mi wykryl trojana i wyslal do kwarantanny.

 

Nie musiałaś tego robić ręcznie. Mój skrypt do OTL miał zaplanowany warunek wieloznaczny obejmujący ten plik. Skrypt dopatrzył sę także fałszywego "Firefox.exe" w tej samej lokalizacji.

 

 

Jeśli chodzi o netsession_win.exe, zaniepokoilo mnie to, ze w COMODO w aktywnych połaczeniach w protokole UDP OUT to ja jestem Zrodlem, a Kierunkiem jest około 5 albo wiecej numerow IP. I te numery IP sa przypisane do United States, tak jakby do zwyklych uzytkownikow. No i netsession_win.exe znajduje się w AppData\Local\Akamai\ . Podobno to netsession przyspiesza łącza (?).

 

Co to jest ów Akamai: KLIK. Może zostać zamontowany przy pobieraniu obszernej paczki któregoś oprogramowania, jako "wspomaganie" procesu ściągania tejże. Możesz go spokojnie odinstalować. Nadal widzę Akamai zainstalowany w systemie, chyba że to logi sprzed jego deinstalacji.

 

 

 

Skrypt pomyślnie wykonany.

 

1. Drobna poprawka na wpis rozszerzenia vShare Toolbar. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0

 

Klik w Wykonaj skrypt. Następnie użyj funkcję Sprzątanie w OTL, która usunie z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wykonaj pełne skanowanie całego dysku za pomocą posiadanego Avast i przedstaw wyniki.

 

 

 

 

 

.

[hoohoo]

Wykonałam wszystkie czynności. Nie mialam ustawionej opcji "generuj plik raportu", wiec zrobiłam screena: http://wyslijto.pl/files/download/3tt2qwnqua

 

Pozdrawiam.

[picasso]

Przez SHIFT+DEL skasuj cały folder C:\Users\Monika\AppData\Roaming\Microsoft\C43C. Pozostałe wyniki z "Softonic" w nazwie nie przedstawiają troski, to zapewne skutek formy instalatora (typ "bundle").

 

 

.

[hoohoo]

Zrobione. Dziękuje bardzo za pomoc Pani Picasso i pozdrawiam serdecznie

[picasso]

Należy jeszcze wykonać aktualizacje systemu i oprogramowania. Wyciąg z Twojej listy zainstalowanych:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX 64" = Adobe Flash Player 10 ActiveX 64-bit
"Adobe Flash Player Plugin 64" = Adobe Flash Player 10 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.7 MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Google Chrome" = Google Chrome

 

Szczegóły aktualizacyjne: INSTRUKCJE.

 

 

.

[hoohoo]

Aktualizowane. Nie chciało się tylko zainstalować "Aktualizacja funkcji walidacji plików pakietu Office 2010 (KB2553065), wersja 32-bitowa" i "Windows 7 Service Pack 1 dla systemów opartych na procesorach x64 (KB976932)" poprzez Windows Update. Już kiedyś próbowałam to aktualizować, ale nie udało sie. Dziwi mnie, że mam aktualizacje dla wersji 32.

[picasso]

Już kiedyś próbowałam to aktualizować, ale nie udało sie.

 

Na początek zresetuj komponenty Windows Update za pomocą Fix-it Microsoftu: KLIK. Po restarcie pobierz pełny instalator Service Pack na dysk, z linka który podałam, i ponów próbę.

 

 

Dziwi mnie, że mam aktualizacje dla wersji 32.

 

Wg listy zainstalowanych Office występuje u Ciebie w wersji 32-bit oraz 64-bit. To się zgadza z podsuwaniem łatek typu "x86" dla Office.

 

 

.

[hoohoo]

Zrobione.

Odinstalowałam dzisiaj pare programów, aplikacji, które mi się pewnie zainstalowały przy okazji aktualizacji albo innych instalacji. Między innymi Miranda. Oczywiście po uprzednim sprawdzeniu co to za program. Zastanawia mnie tylko "k_series_screensaver_en". Wyczytałam, że to jest jakiś wygaszacz(?), aplikacja ASUSa.

 

Dziękuje bardzo jeszcze raz za pomoc

[picasso]

Zrobione.

 

Mam rozumieć, że Service Pack i inne aktualizacje gładko się zainstalowały?

 

 

Zastanawia mnie tylko "k_series_screensaver_en". Wyczytałam, że to jest jakiś wygaszacz(?), aplikacja ASUSa.

 

Tak, to zdaje się być domyślnie preinstalowany wygaszacz ASUS.

 

 

 

.

[hoohoo]

Był komunikat, że aktualizacja przebiegła pomyślnie i żadne okienko mi nie wyskakuje na temat aktualizacji, więc chyba tak

[hoohoo]

Wszystko wydawało się ok, ale dzisiaj uruchomiłam komputer i zaczął mi się wieszać, zacinać. Muzyka normalnie grała z winampa, a był zawieszony i za jakiś czas "odtwarzał" moje działania na komputerze. Uruchomiłam ponownie. Na niebieskim tle komunikat "Przygotowania do konfiguracji systemu Windows...", a następnie normalne uruchomienie systemu. Przed aktualizacją miałam podobny problem, ale byłam pewna, że aktualizacja go rozwiąże.

[picasso]

Był komunikat, że aktualizacja przebiegła pomyślnie i żadne okienko mi nie wyskakuje na temat aktualizacji, więc chyba tak

 

Panel sterowania > System i zabezpieczenia > System > czy jest widoczny napis "Dodatek Service Pack 1"?

 

 

Uruchomiłam ponownie. Na niebieskim tle komunikat "Przygotowania do konfiguracji systemu Windows...", a następnie normalne uruchomienie systemu. Przed aktualizacją miałam podobny problem, ale byłam pewna, że aktualizacja go rozwiąże.

 

Czy ten komunikat nadal występuje po ponownym uruchomieniu?

 

 

 

.

[hoohoo]

Nie ma takiego napisu.

Gdy klikne Windows Update i wyszukaj aktualizacje to wyszukuje aktualizacje bez konca.

Uruchomilam jeszcze raz i to samo. Dodam, że jeśli nie korzystam z internetu (nie podłączono do bezprzewodowego) to nie zacina się w ogóle. Zastanawiam sie czy to moze nie kwestia gg zbudowanego w AQQ i samego gg.

 

EDIT: Jesli chodzi o korzystanie z komputera bez internetu to chyba nie jest tak optymistycznie jak pisalam. Po paru minutach korzystania znow zaczal sie zawieszac. Jesli oglada sie film to wszystko jest ok, nawet przez godzine. Jesli tylko probuje uruchomic jakis program trwa to o wiele dluzej niz zazwyczaj, komputer wykonuje moje polecenia po dluzszym czasie albo w ogole sie zawiesa.

[picasso]

Nie ma takiego napisu.

 

Czy na pewno Service Pack był pobierany jak wskazywałam z "Download Center" a nie z "Windows Update"? Chodziło mi o instalację SP1 za pomocą tego instalatora: KLIK.

 

 

Gdy klikne Windows Update i wyszukaj aktualizacje to wyszukuje aktualizacje bez konca.

Uruchomilam jeszcze raz i to samo.

 

(...) Jesli chodzi o korzystanie z komputera bez internetu to chyba nie jest tak optymistycznie jak pisalam. Po paru minutach korzystania znow zaczal sie zawieszac.

 

Może COMODO na spółkę z Avast przeszkadzają. Zresztą na czas instalacji aktualizacji zaleceniem jest pozbyć się oprogramowania zabezpieczającego, jeśli występują jakiekolwiek problemy z pobieraniem i instalacją zabezpieczeń.

 

 

 

.

[hoohoo]

Tak, sciagnelam i zainstalowalam ten plik: windows6.1-KB976932-X64.exe.

Czyli powinnam wylaczyc internet, odinstalowac COMODO i Avasta, uruchomic powyzszy proces, zainstalowac od nowa COMODO i tym razem Avire?

Jakis czas temu pytalam sie czy Comodo Internet Security nie gryzie sie z Avastem (zauwazylam haslo antivir w COMODO), ale uslyszalam, ze wszystko jest ok, wiec zostawilam tak jak jest. Teraz zaczynam miec watpliwosci.

[picasso]

Ja też mam wątpliwości na temat połączenia COMODO z Avastem. Skoro to jest COMODO z czynnym antywirusem (tak rozumiem co mówisz), to jest przeinwestowany układ, bo działa podwójny antywirus. Takie kombinacje są zdradliwe i nie powinny mieć miejsca. Tu powinno być: COMODO zainstalowane z ominięciem antywirusa + Avast, lub pełny pakiet COMODO bez Avast. Avirę nieszczególnie polecam: wersja darmowa ma ... skromne opcje oraz WebGuard instalowany tylko po zatwierdzeniu instalacji śmiecia sponsoringowego Ask Toolbar.

 

Proponuję odinstalować wszystko (tymczasowo) i ponowić instalację pakietu Service Pack (zakładam, że mamy sytuację iż SP1 się nie zainstalował, bazując na braku opisu w Panelu sterowania). Dokładnie sprawdź po restarcie czy SP1 rzeczywiście został zainstalowany. Jeśli wystąpi tu jakiś problem, trzeba będzie diagnozować to innymi narzędziami. Dopóki nie rozwiążemy problemy z aktualizacjami, nie instaluj żadnych dodatkowych antywirusów.

 

 

 

.

[hoohoo]

Przegladalam strone Comodo i zauwazylam, ze moj pakiet zawieral antiwira. Decyduje sie na samego firewalla z comodo i avasta. Mam nadzieje, ze to zapewni mi nalezyta ochorne. Odinstaluje wszystko i ponowie SP.

 

EDIT: Aktualizacja sie rozpoczela. "Poprawka systemu Windows...".

Czytajac inne tematy natrafilam na "Pliki o dziwnych nazwach w prcesach". Te same procesyco u mnie, na moj komputer tez byly sciagane aplikacje do gry online tego typu, z oficjalnej strony, ale to bylo jakies 4 miesiace temu i wszyst bylo ok. ja sobie sama zapewne uruchomilam te procesy wraz z plikiem zawirusowanym, ktorego sobie sciagnelam jak frajerka, a potem bylo Comodo i Avast i wiadomo co dalej.

 

EDIT2: Aktualizacja zakonczona powodzeniem Dodam, ze zainstalowalam w koncu z Windows Update i wszystko jest ok, jest w System haslo SP1. Teraz moge zainstalowac Comodo Firewall i antywira, czy mam wykonac jeszcze jakies czynnosci? Czy po tych czynnosciach moge byc pewna, ze nikt nie wlamie sie na moj komputer?

[picasso]

EDIT2: Aktualizacja zakonczona powodzeniem Dodam, ze zainstalowalam w koncu z Windows Update i wszystko jest ok, jest w System haslo SP1. Teraz moge zainstalowac Comodo Firewall i antywira, czy mam wykonac jeszcze jakies czynnosci? Czy po tych czynnosciach moge byc pewna, ze nikt nie wlamie sie na moj komputer?

 

Wnioski: opór stawiał zestaw zabezpieczający. Zakładam, że wszystko z Windows Update uzupełnione i ponowne wyszukiwanie nie zwraca już żadnych wyników oraz inne programy wskazane wcześniej też zaktualizowane. Skoro aktualizacje pomyślnie wykonane, to czas przywrócić ochronę zewnętrzną. Jeżeli wracasz do kombinacji poprzednio tu widocznej, to przy instalacji musisz zlikwidować komponenty powielające funkcje. To znaczy:

- COMODO internet Security: zainstaluj tylko firewall i Defense+, omiń antywirusa.

- Avast: przy wyborze składników omiń "Monitor zachowań" (to krzyżuje się z Defense+) i "Monitor sieci" (to krzyżuje się z funkcją firewall).

 

 

 

.

[hoohoo]

Wlasnie pobieram trzy aktualizacje dla komputerow z procesorami x64, o malej wadze.

Dziekuje bardzo za pomoc, po wlamaniu sie na moj komputer przez otwarty port nie czulam sie zbyt bezpiecznie.

Pozdrawiam serdecznie.

 

EDIT: Jedno niepowodzenie, uruchomomilam ponownie komputer i w Windows Update niby wszystko ok. Wyszukalam aktualizacje i teraz 4 aktualizacje zabezpieczen i ta jedna pozostala. Powodzenie i znow restart. Teraz nic nie wyszukalo, system Windows jest aktualny.

 

EDIT2: Podczas instalacji Avasta w konfiguracji Uzytkownika odznaczylam pozycje oslona sieciowa zamiast monitorowanie sieci, wnioskuje ze to to samo po tym co przeczytalam w necie.

[picasso]

Podczas instalacji Avasta w konfiguracji Uzytkownika odznaczylam pozycje oslona sieciowa zamiast monitorowanie sieci, wnioskuje ze to to samo po tym co przeczytalam w necie.

 

Tak, oczywiście, użyłam innej nomenklatury (monitor zamiast osłona), ale chodziło mi właśnie o to.

 

Temat rozwiązany. Zamykam.

 

 

 

.