Kryptik.Bwa

Problematika virů a antivirů, zabezpečení PC - firewall, spyware, atd.
jan.svoboda
Středně pokročilý
Středně pokročilý
Registrován: 25. pro 2009
Bydliště: Chrudim

Re: Kryptik.Bwa

Příspěvek od jan.svoboda »

Nene, dobrý, víc sem už dávat nemusíš.
OK, pokusíme se udělat, co se dá. při snaze a spolupráci uživatele se i přes net dá vyčistit kompletně zas*aný počítač, jinak při osobní účasti se čistí ještě lépe.

A jak se momentálně chová PC? On se pořád seká? (Jinak pak kekonci taky to chce pročistit registry, defragmentovat, ... k tomu se dostanem, prvně tam nesmí být žádný šmejd).

V RSIT logu nic špatného nevidím... Dej sem tedy ještě log z MBAMu.
http://www.viry.cz/forum/viewtopic.php?f=29&t=67229 - Stáhni, nainstaluj, proveď aktualizaci, úplný sken, nic nemaž a výsledek z logu pošly sem. Jinak log z ComboFixu vypadá již dobře.
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.
kulitam
Začátečník
Začátečník
Uživatelský avatar
Registrován: 21. srp 2009
Bydliště: Morava

Re: Kryptik.Bwa

Příspěvek od kulitam »

Když jsem dělal sken s MWAVem, tak tam našel ve dvou programech, které jsem tam měl v podstatě od začátku (3-4 měsíce) - nějakého generic trojan, a trojan proxy.agent.
jo a teďka mi vyhodil "grokster spyware/adware nalezen v souborovém systému"

když jsem se po scanu vracel do hlavní nabídky, tak ve všech buttonech bylo napsáno default..


MBam teďka nic nenašel, ale předevčírem hlásil "HKLM\software\Microsoft\Windows\Current Version\ext" jako nějakého trojana nebo něco takového.
jan.svoboda
Středně pokročilý
Středně pokročilý
Registrován: 25. pro 2009
Bydliště: Chrudim

Re: Kryptik.Bwa

Příspěvek od jan.svoboda »

To je hezké, ale pokud by sis přečetl návod u MWAVu, potřebuji vypsanou cestu infikovaného souboru. Takhle toho bez logů moc nevím.
A jak se momentálně chová PC? On se pořád seká? (Jinak pak ke konci taky to chce pročistit registry, defragmentovat, ... k tomu se dostanem, prvně tam nesmí být žádný šmejd).
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.
kulitam
Začátečník
Začátečník
Uživatelský avatar
Registrován: 21. srp 2009
Bydliště: Morava

Re: Kryptik.Bwa

Příspěvek od kulitam »

Ty první dva se mi zatím nepodařilo vyhledat. Ten třetí mi jenom napsal informaci o infikování souborového systému.

Jo, a občas se celý PC sekne, kontrolka HDD svítí jakože je plně vytížen a při vypnutí vydává větráček takový pomalý protáhlý tón. (pomalu snižuje otáčky)
Naposledy upravil(a) kulitam dne stř 24. úno 2010, 17:25, celkem upraveno 1 x.
jan.svoboda
Středně pokročilý
Středně pokročilý
Registrován: 25. pro 2009
Bydliště: Chrudim

Re: Kryptik.Bwa

Příspěvek od jan.svoboda »

K otáčkám větráčku... to bude způsobovat PWM regulace otáček, podle vytížení. Ale ty zaseknutí systému dobrý nejsou. Zkus tyto dva prográmky, jestli půjdou na x64.

:arrow: Stahnete http://www.gmer.net/gmer.zip , rozbalte a spustte
probehne sken, po jehoz ukonceni na vas vyskoci vysledky
pote kliknete na Save a ulozite tak log, jehoz obsah sem vlozte
pote dle http://www.viry.cz/forum/viewtopic.php?f=29&t=62878 absolvujte druhy sken a opet obsah logu sem.

:arrow: Stáhni a spust IceSword - http://www.viry.cz/forum/viewtopic.php?f=29&t=11394 a dle návodu sem vlož logy z: Process, Kernel Module, Win32 services, SPI, SSDT
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.
kulitam
Začátečník
Začátečník
Uživatelský avatar
Registrován: 21. srp 2009
Bydliště: Morava

Re: Kryptik.Bwa

Příspěvek od kulitam »

Gmer mi při startu scanu vyhodil error "C:\Windows\system32\config\system" proces cannot access the file because is used by another process.

Pak scanoval a nakonec vyhodil, že v systému nebyly provedeny žádné změny.

IceSword sem nerozjel. [Initialize failed (1)].
jan.svoboda
Středně pokročilý
Středně pokročilý
Registrován: 25. pro 2009
Bydliště: Chrudim

Re: Kryptik.Bwa

Příspěvek od jan.svoboda »

Sakra... To jsem nečekal, že na x64 nerozjedeš tolik věcí...

Postupujte podla tychto krokov, ktore pomerne spolahlivo pomozu odhalit v systeme "neviditelne" skodlive aplikacie:

:arrow: CCleaner
Nainstalujte si CCleaner a procistete s nim PC od docasnych a zbytecnych souboru -> navod a odkaz zde.
Behem instalace CCleaneru odskrtnete Yahoo toolbar instalaci (jako ze ji nechcete, defaultne je totiz zaskrtnuta), to nepotrebujete.
V aplikaci CCleaner provedte dulezite 3 ukony -> procisteni Windows, Applications a Issues:

1. Kliknete na Analyze a pak na Run Cleaner
2. Kliknete na Applications a pak na Analyze a pak na Run Cleaner
3. Kliknete na Issues vlevo a pak na Scan for Issues a pak na Fix selected Issues (potvrdte YES ze chcete Backup a ulozte nabidnuty soubor), pak kliknete na "Fix all selected issues"

:arrow: Rootkit Revealer
Stahnete aplikaci Rootkit Revealer ->
http://download.sysinternals.com/Files/ ... vealer.zip
Rozbalte ZIP archiv a spustte aplikaci. Kliknete na tlacitko Scan a po dokonceni scanu Kliknete na File -> Save... a ulozeny log zaslete radcum na forum.

:arrow: BlackLight
Stahnete, ulozte na plochu a spustte aplikaci BlackLight -> https://europe.f-secure.com/exclude/blacklight/fsbl.exe
Odsouhlaste licencni podminky zvolenim moznosti I accept the agreement a kliknete na tlacitka Next a Scan. Program proscanuje pocitac a zobrazi vysledky. Kliknete na tlacitka Next a Exit. Na plose bude vytvoren log s vysledky, tento log zaslete radcum na forum.

:arrow: AVPTool
http://www.viry.cz/forum/viewtopic.php?p=452660 - dle návodu proveď kompletní sken a vlož sme log
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.
kulitam
Začátečník
Začátečník
Uživatelský avatar
Registrován: 21. srp 2009
Bydliště: Morava

Re: Kryptik.Bwa

Příspěvek od kulitam »

Rootkt Revealer mi hlásí chybný odkaz, ale AVPTool stahuju :)
jan.svoboda
Středně pokročilý
Středně pokročilý
Registrován: 25. pro 2009
Bydliště: Chrudim

Re: Kryptik.Bwa

Příspěvek od jan.svoboda »

OK. Plus tedy projeď Ccleanerem BlackLight.
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.
kulitam
Začátečník
Začátečník
Uživatelský avatar
Registrován: 21. srp 2009
Bydliště: Morava

Re: Kryptik.Bwa

Příspěvek od kulitam »

OK. BlackGuard taky nejede, ten Kaspersky mi hlásí na začátku instalace při kopírování nějakého souboru, že nelze nainstalovat (access denied). Zkoušel jsem to na víc oddílů, ale ani na jeden to nejde.

Podruhé (restart) odmítl spustit instalaci.

Zkusil jsem nouzový režim a tam se mi to povedlo. Už jede, konečně....
jan.svoboda
Středně pokročilý
Středně pokročilý
Registrován: 25. pro 2009
Bydliště: Chrudim

Re: Kryptik.Bwa

Příspěvek od jan.svoboda »

OK, aspon z něho by nám ten log pomohl. Případně zkus třeba SAS - http://www.viry.cz/forum/viewtopic.php?f=29&t=51359
Zde na foru již nejsem aktivní, vyskytuji se na Google+ (http://gplus.to/JanSvoboda), kde aktivně píšu nejen o IT.
kulitam
Začátečník
Začátečník
Uživatelský avatar
Registrován: 21. srp 2009
Bydliště: Morava

Re: Kryptik.Bwa

Příspěvek od kulitam »

J chceš ho celý, nebo jenom část? log jako soubor nejde poslat, tak sem hodím aspoň část.

Suspicious objects znepokojují mě tady

Main script of analysis
Windows version: Windows 7 Ultimate, Build=7600, SP=""
System Restore: enabled
System booted in Safe Mode
>> Services: potentially dangerous service allowed: TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Services: potentially dangerous service allowed: SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)

>> Services: potentially dangerous service allowed: Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled

>> Security: sending Remote Assistant queries is enabled
>> Disable HDD autorun
>> Disable autorun from network drives
>> Disable CD/DVD autorun
>> Disable removable media autorun
System Analysis in progress
System Analysis - complete


Protocols and handlers
File name, Type Description, Manufacturer
mscoree.dll/ Protocol /Microsoft .NET Runtime Execution Engine () ©/ Microsoft Corporation. All rights reserved. /{1E66F26B-79EE-11D2-8710-00C04F79ED0D}
dale to same ale {1E66F26B-79EE-11D2-8710-00C04F79ED0D} a {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

PRINTING SYSTEM EXTENSIONS (MONITOR....)
cl31cl6.dll/ Monitor/ CL31C Langmon
localspl.dll/ Monitor/ Local Port
FXSMON.DLL / Monitor /Microsoft Shared Fax Monitor
tcpmon.dll / Monitor /Standard TCP/IP Port

Windows Explorer extension modules
blue.shell {79BC0345-1015-11D2-A299-006008312725}
WinRAR shell extension {B41DB860-64E4-11D2-9906-E49FADC173CA}
WinRAR shell extension {B41DB860-8EE4-11D2-9906-E49FADC173CA}
OpenOffice.org Column Handler {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
OpenOffice.org Infotip Handler {087B3AE3-E237-4467-B8DB-5A38AB959AC9}
OpenOffice.org Property Sheet Handler {63542C48-9552-494A-84F7-73AA6A7C99C1}
OpenOffice.org Thumbnail Viewer {3B092F0C-7696-40E3-A80F-68D74DA84210}
PSPad {8903F6C9-25E3-40AC-A98F-E6D35CD0469C}
ColumnHandler {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
ColumnHandler {F9DB5320-233E-11D1-9F84-707F02C10627}

csrss.exe/csrss.exe/lsass.exe/lsm.exe/services.exe/smss.exe/winlogon.exe/VŠECHNY error getting file info

Windows Explorer extension modules/Microsoft Internet Explorer extension modules (BHOs, Toolbars ...)
A JEŠTĚ NĚKOLIK VELKÝCH SEZNAMŮ (SERVICES, RAUTORUNS....)
Odpovědět

Zpět na „Viry, antiviry a bezpečnost“