up6np Opublikowano 26 Maja 2012 Zgłoś Udostępnij Opublikowano 26 Maja 2012 Witam! Kiedyś już miałem problem z komputerem i także zgłosiłem się na to forum (w moim poprzednim temacie nie odpowiedziałem na ostatnie pytanie ponieważ nie miałem dostępu do komputera), ale teraz mam trochę inny problem. Chodzi o to, że avast często "wariuje" czyli wykrywa dużo zarażonych plików (najczęściej w System Restore czy coś takiego) różne trojany, backdoory, ale niestety nie mógł ich usunąć więc usunąłem wszystkie punkty przywracania systemu. W dodatku system często się wiesza na ok. minutę. Ostatnio na dysku C tworzy się folder sp33derOT XML i archiwum sources które Avast! wykrywa jako zagrożenie. Avast też często się samoczynnie wyącza i nie da się go włączyć dopóki nie zrestartuje się komputera (re-instalacja nie pomogła). Skanowałem komputer MalwareBytes wykrył 5 zagrożeń, ale na razie nic nie usuwałem, poniżej jest log. Avast ogólnie poradził sobie z infekcjami tylko ten folder na dysku C powraca. Dodatkowo chcę się upewnić, że nic nie ma groźnego ponieważ ojciec często loguje się z tego komputera na konto banku robić przelewy więc chcę wiedzieć czy nie ma już potencjalnego syfu i co zrobić z tym folderem sp33der i Avastem! Poniżej logi: Results of screen317's Security Check version 0.99.38 Windows XP Service Pack 3 x86 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: avast! Antivirus Antivirus up to date! ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes Anti-Malware wersja 1.61.0.1400 JavaFX 2.1.0 Java™ 7 Update 4 Adobe Flash Player 11.2.202.235 Mozilla Firefox (12.0) ```````````````````````````````` Process Check: objlist.exe by Laurent AVAST Software Avast AvastSvc.exe AVAST Software Avast avastUI.exe ``````````End of Log```````````` Gmer.txt OTL.Txt Extras.Txt mbam-log-2012-05-26 (11-18-25).txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2012 Zgłoś Udostępnij Opublikowano 27 Maja 2012 W raportach nie widzę żadnych jawnych śladów infekcji. Chodzi o to, że avast często "wariuje" czyli wykrywa dużo zarażonych plików (najczęściej w System Restore czy coś takiego) różne trojany, backdoory, ale niestety nie mógł ich usunąć więc usunąłem wszystkie punkty przywracania systemu. W dodatku system często się wiesza na ok. minutę. Ostatnio na dysku C tworzy się folder sp33derOT XML i archiwum sources które Avast! wykrywa jako zagrożenie. Przeklej z dzienników zdarzeń Avast co i gdzie wykrywa, pod jakimi nazwami. W logu widzę wspominany folder i archiwum: [2012-05-26 12:36:40 | 000,000,000 | ---D | C] -- C:\Sp33derOT XML[2012-05-26 12:36:45 | 000,498,435 | ---- | C] () -- C:\Source.rar Te obiekty wyglądają na pochodną któregoś dodatku do Tibia. . Odnośnik do komentarza
up6np Opublikowano 27 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2012 Też tak myślałem bo robie różne modyfikacje do tej niepopularnej już gry i tak sobie dorabiam kilka zł jednak tego nie pobierałem ogólnie tworzy się na dysku także pod innymi nazwami. Ostatnio dziennik wyczyściłem, wszystko usunął, a teraz dziennik ze skanowania przed chwilą. Wszystkie są jako trojany: A co z tymi wirusami z Mbam? Usunąć je czy to jakieś nieszkodliwe? @ Edit: Skan pliku z virustotal: KLIK Odnośnik do komentarza
picasso Opublikowano 27 Maja 2012 Zgłoś Udostępnij Opublikowano 27 Maja 2012 Też tak myślałem bo robie różne modyfikacje do tej niepopularnej już gry i tak sobie dorabiam kilka zł jednak tego nie pobierałem ogólnie tworzy się na dysku także pod innymi nazwami. A ja jednak sądzę, że coś jest już w Tibia i generuje te obiekty. Proponuję wykonać test: usunąć całkowicie instalację Tibia, wszystkie jej składniki, by sprawdzić czy po tym również następuje regeneracja cytowanych obiektów. . Odnośnik do komentarza
up6np Opublikowano 27 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2012 Odisntalowałem, restar przeskanowałem Avastem! nic nie wykrył przejrzałem też dysk C w poszukiwaniu tego pliku nic nie było. Po pewnym czasie komputer się wyłączył. Po włączeniu: Wszystkie składniki dotyczące Tibii zostały usunięte. Jedyne co zostało to chyba klucze w rejestrze bo one podczas deinstalaji się nie usuwają, a ja nie wiem gdzie są. Dodatkowo strona startowa się zmieniła na hxxp://porn.ru i nie mogę jej zmienić i nie wiem co z nią zrobić, nie wiem co na niej jest, natychmiast ją zablokowałem w hosts. Dodatkowo zainstalował się babylon search to jakiś toolbar cały czas usuwam przez dodaj lub usuń programy, ale on się nie usuwa. Jakieś okienka z tego babylon wyskakują nie wiadomo po jakim języku. Odnośnik do komentarza
picasso Opublikowano 28 Maja 2012 Zgłoś Udostępnij Opublikowano 28 Maja 2012 W związku z tym podaj nowe logi z OTL oraz dodatkowo jeszcze wyszukiwanie w rejestrze na delikwenta z komunikatu. Uruchom SystemLook, w oknie wklej: :regfind czhxvwindows.exe Klik w Look. . Odnośnik do komentarza
up6np Opublikowano 28 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2012 Program Babylon usunąłem jednak toolbar został i nie mogę go usunąć. Gdy zmieniam stronę startową z Firefoksie po ponownym uruchomieniu się zmienia na to co wcześniej pisałem a reinstalować bym nie chciał bo mam zakładki i dodatki zainstalowane. SystemLook: SystemLook 30.07.11 by jpshortstuffLog created at 15:47 on 28/05/2012 by karoldawid Administrator - Elevation successful ========== regfind ========== Searching for "czhxvwindows.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "czhxvwindows.exe"="C:\WINDOWS\System32\czhxvwindows.exe" [HKEY_USERS\S-1-5-21-583907252-1343024091-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "czhxvwindows.exe"="C:\WINDOWS\System32\czhxvwindows.exe" -= EOF =- I logi z OTL: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Maja 2012 Zgłoś Udostępnij Opublikowano 28 Maja 2012 Wyszukiwanie w rejestrze nie zwraca nic sensownego, to z kluczy MRU (Most Recently Used). W nowych logach nie widać nic o czym już byśmy nie wiedzieli. [2012-05-26 12:36:40 | 000,000,000 | ---D | C] -- C:\Sp33derOT XML[2012-05-28 15:39:40 | 002,543,104 | ---- | M] () -- C:\WINDOWS\czhxvwindows.exe Sięgnij po alternatywną opinię, czyli skaner Kaspersky Virus Removal Tool. W konfiguracji zaznacz skanowanie wszystkich obszarów, co znacznie wydłuży skan, ale będzie rzetelniejszym sprawdzaniem. Zgłoś się tu z raportem z wynikami typu "Detected ..." (inne rodzaje mnie nie interesują). Przy okazji: stworzyłeś niezdrową kombinację, równoległe działają Avast + AVG, jeden z nich musi zostać odinstalowany. Program Babylon usunąłem jednak toolbar został i nie mogę go usunąć. Rozprawi się z nim AdwCleaner z opcji Delete. Osobna sprawa to Google Chrome: należy ręcznie w zarządzaniu wyszukiwarkami przestawić domyślną z Babylon na cokolwiek innego, a po tym Babylon zlikwidować. Gdy zmieniam stronę startową z Firefoksie po ponownym uruchomieniu się zmienia na to co wcześniej pisałem a reinstalować bym nie chciał bo mam zakładki i dodatki zainstalowane. Sprawdź czy problem występuje w stadium diagnostycznym Firefox. W Start > Uruchom > wklej komendę: "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode . Odnośnik do komentarza
up6np Opublikowano 31 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2012 1. Log kaspersky: Status: Detected (events: 2) 2012-05-31 16:15:55 Detected Trojan program Trojan.Win32.Delf.cuac C:\Documents and Settings\karoldawid\Moje dokumenty\Pobieraniez\0.2.5.r98.rar//0.2.5.r98/dev-cpp/TheForgottenServer.exe High 2012-05-31 16:16:06 Detected Trojan program Trojan.Win32.Delf.cuac C:\Documents and Settings\karoldawid\Moje dokumenty\Pobieraniez\0.2.5.r98\dev-cpp\TheForgottenServer.exe High 2. Co do AVG - nie instalowałem go, pewnie zainstalował się razem z program SlimDrivers (do aktualizacji sterowników) ten toolbar już usunąłem i wszystko co związane. 3. AdwCleaner rozprawił się z Babylon 4. Mozilla w trybie safe-mode działa, zmieniłem stronę startową i działa Dodatkowo avast znowy wykrył tym razem w: C:\WINDOWS\System32\czhxvwindows.exe A co do tego klucza w rejestrze nie jest on szkodliwy? ma taką samą nazwę co ten wirus. Tak z ciekawości pytam Odnośnik do komentarza
picasso Opublikowano 4 Czerwca 2012 Zgłoś Udostępnij Opublikowano 4 Czerwca 2012 (edytowane) A co do tego klucza w rejestrze nie jest on szkodliwy? ma taką samą nazwę co ten wirus. Tak z ciekawości pytam Jak mówiłam: "to z kluczy MRU (Most Recently Used)", czyli historia. Wpis jest tożsamy z nazwą obiektu infekcyjnego, gdyż plik został uruchomiony (a to w jaki sposób to już zupełnie inna sprawa), rejestr nagrał historię. Jak to działa: np. robię sobie na Pulpicie plik FIX.REG i go importuję, w kluczu OpenSaveMRU pojawi się wpis odwołujący się do tego pliku. Te klucze nie mają tu znaczenia, nie są clou, to jest tylko skutek obecności infekcji. Dodatkowo avast znowy wykrył tym razem w: C:\WINDOWS\System32\czhxvwindows.exe W logach nic nie widzę, skanery nie wykrywają źródła, niemniej tu musi być jakiś tajny / regenerujący składnik. Wrócę do tych paczek Tibia: co jeszcze jest zainstalowane / uruchamiane z kategorii związanej z modyfikacją gry (która jakoby już odinstalowana), jakimi narzędziami się posługujesz? I może pomogłoby w analizie nagranie w czasie rzeczywistym z Process Monitor, tzn. złapanie momentu regeneracji tych obiektów. . Edytowane 3 Lipca 2012 przez picasso 3.07.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi