Rozwiązany: Prawdobodobna infekcja komputera

[niszczuka]

Witam, ostatnio siedziałem na Fb i pojwaił mi się komunikat (z tą flagą, który pojawia się przy zagrożeniach, centrum akcji bodajże), że antywirus jest wyłączony, chociaż Avira cały czas była włączona. Zdarza się to dosyć często, więc zrobiłem tak jak zawsze: wyłączyłem i włączyłem Avirę, nie wyłączając internetu i bedąc cały czas zalogowany na Fb. Niedługo późnie zaczęły się dziać "dziwne rzeczy", prawdopodobnie podczas tej samej sesji chciałem włączyć Mozillę, ta jednak otworzyła się w końcu w tylu kartach, że musiałem odłączyć komputer od zasilania, żeby coś zrobić. Chwilę po tym przeskanowałem system Malwarebytes Anti Malware, i Avirą, czyli moim antywirem, jednak nic nie znalazły. Było to 3 dni temu. Przedwczoraj zrobiłem skan skanerem online Eset, ten znalazł trochę rzeczy, wg. mnie mało warznych pozostałości po jakichś toolbarach, jednak ich nie usunął, dlatego wczoraj zrobiłem skan z opcją usuwania, lecz nic nie wykrył. Wcześniej pobrałem firewalla COMODO i nim także zrobilem skan, wykrył tylko jeden plik z gry, który trafił do kwarantanny. Z COMODO ściągnął mi się Mobogenie, lecz go odinstalowałem. Ponadto miałem problemy z otworzeniem pliku .pdf, wcześniej pojawił mi się dziwny komunikat na facebooku ( "Nie zostawiłeś komentarza, czy chcesz opuścić stronę?") a przez firewall chcę się przebić jakiś proces nettsession_win.exe, wcześniej go puszczałem, ale teraz blokuję. Jak pozbyć się zagrożenia? Proszę o dokładne porady, bo jestem dość zielony w tych sprawach.

Po skanowaniu rejestru CCleanerem znalazłem takie wpisy, których nie mogę usunąć

Nieprawidłowe rozszerzenia plików {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Problem z ActiveX/COM CIS.CisDebugInjector - {BBB01528-20FE-4bc2-9D26-C70E3ABB9CD19} HKCR\CIS.CisDebugInjector

[cr!s]

Ściągnij OTL -> http://www.bleepingcomputer.com/download/otl/ i wykonaj pełny skan. Wrzuć logi na forum.

[niszczuka]

Tutaj logi skanowałem chyba wszystko, nie zaznaczałem jedynie Infekcji LOP i Purity.

OTL252.Txt

OTL252(2).txt

Extras22.Txt

[cr!s]

Wykonaj pełny skan jeszcze raz z takimi ustawieniami jak w załączniku.

[niszczuka]

Dobra tutaj logi, pod koniec w polu rejestr samo przeskakuje na wszystko. Aha, sorry że dopiero teraz, ale te wpisy w rejestrze to już dobre kilka miesięcy tam są, przynajmniej ten pierwszy.

Z Extras trzeba będzie trochę poczekać, bo mi się nie zmieści.

Sprawdź PW

W Firewallu pisze, że było jedno włamanie sieciowe , powiązane z tego co rozumiem z tym netsession, teraz ten proces blokuje, i że zapobiegnięto jednej infekcji.

OTL253.Txt

OTL253(2).txt

[cr!s]

Logi wyglądają na czyste. Kosmetyka:

:OTL

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll File not found

FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

O2 - BHO: (no name) - {1dad3af3-ef2f-4f64-ac4b-11789189fcb6} - No CLSID value found.

O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {eec0f710-38b5-4aba-99bf-ec87564a4e13} - No CLSID value found.

O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found

O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found

O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found

O18:64bit: - Protocol\Handler\ms-help - No CLSID value found

O18:64bit: - Protocol\Handler\skype4com - No CLSID value found

:Commands

[emptytemp]

Wklej to do OTL i wciśnij 'Wykonaj skrypt'.

Co do tego netsession.exe to odinstaluj Akamai Netsession (zwyczajnie, powinno być w dodaj/usuń programy). Ściągnij Kaspersky TDSSKiller -> http://www.bleepingcomputer.com/download/tdsskiller/ i wykonaj skanowanie.

[niszczuka]

Dobra, skrypt wykonałem, z Kaspersky to będę mógł popatrzeć dopierop później, mam też takie coś jak współdzielona przestrzeń wcześniej było tam system.ini, ale teraz już nie ma. Czy to jakaś normalna rzecz, czy coś szkodliwego, prawdopodobnie ściągnęło się z COMODO.

[cr!s]

Nie ma się czym martwić. I masz rację, to część pakietu Comodo.

[niszczuka]

Zrobiłem skan Kaspersky z zaznaczonymi domyślnymi opcjami (w pierwszej tabelce pierwsze trzy od góry w dodatkowej tylko ostatni), i nic nie wykrył, skanował tylko dysk C i głównie pliki Windowsa, tak miało być tak? Chciałbym się jeszcze spytać o dwie rzeczy: co z tym wpisem {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} i jeszcze podczas usuwania Akamai przez COMODO przebijały się dwa procesy delete.bat (przepuszczałem) i PING.exe (zablokowałem), to są procesy systemowe?

[cr!s]

robiłem skan Kaspersky z zaznaczonymi domyślnymi opcjami (w pierwszej tabelce pierwsze trzy od góry w dodatkowej tylko ostatni), i nic nie wykrył, skanował tylko dysk C i głównie pliki Windowsa, tak miało być tak?

Tak

co z tym wpisem {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Z tego co udało mi się znaleźć to część ten problem jest związany z Comodo (dokładniej uszkodzenie jakiegoś pliku). Ponoć jedyne rozwiązanie to przeinstalowanie Comodo.

to są procesy systemowe?

Te pliki pewnie są związane z deinstalatorem Akamai i uruchomiły się podczas próby odinstalowania tegoż.

[niszczuka]

Z tym że te wpisy których nie mogę usunąć({80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Problem z ActiveX/COM CIS.CisDebugInjector - {BBB01528-20FE-4bc2-9D26-C70E3ABB9CD19} HKCR\CIS.CisDebugInjector)

pojawiły się przed zainstalowaniem Comodo, ale jeśli nie są groźne to nic.HKCR\CIS.CisDebugInjector

Czyli komputer czysty, a te problemy były spowodowane tym co było usunięte przez OTL?

[cr!s]

Czysty. O jakich problemach dokładnie mówisz? W OTL wykonaliśmy małe sprzątanie po jakichś toolbarach. Nic groźnego tam nie było. A co do tych wpisów to się nie przejmuj się - to nic ważnego, możesz to poprostu zignorować (chociaż wydaje mi się, że to coś związanego z Comodo - CIS.CisDebugInjector - CIS to pewnie skrót od Comodo Internet Security).

[niszczuka]

Chodzi mi o dziwne zachowanie komputera, opisane na początku, zawieszenie komputera przez Mozille i inne tego typu psikusy, częste nieotwieranie się stron ( że w naprawie i td.), dziwny komunikat na fb, nie chciał się otworzyć pdf, ale teraz normalnie się otwiera, możliwe że to tylko zbiegi okoliczności, a ja się zacząłem za bardzo przejmować.

[cr!s]

System przeanalizowaliśmy głównie pod kątem infekcji. No ale skoro masz zainstalowanego antywirusa, wykonałeś skanowanie MBAM, Avirą, Esetem, TDSSKillerem, ja przeanalizowałem log z OTL i żadnych objawów infekcji nie było, to chyba nie ma sensu szukać wiatru w polu ? A takie jednorazowe przypadki które opisywałeś też nie muszą wskazywać na infekcję. Wyglądają one na błędy przypadkowe, których przyczyn jednoznacznie właściwie nie da się ustalić. Choć jeśli będą się powtarzały to oczywiście pisz. Teraz kilka spraw na koniec:

Uruchom OTL i wciśnij 'Sprzątanie'. Odinstaluje to OTL i jego pozostałości. Pamiętaj o regularnym aktualizowaniu oprogramowania - w szczególności systemu operacyjnego, antywirusa, Javy i Flash Playera.

Pozdrawiam.

[Misiek690]

Profilaktycznie użyj programu adwCleaner.

[niszczuka]

To ja jeszcze dla spokoju: czy moje konto na fb mogło zostać zarażone i wywołać te objawy? Wiem że pytanie dziwne, ale chcę już mieć to z głowy.

[cr!s]

Nie można 'zarazić' konta na facebooku. Ktoś może co najwyżej przejąć twoje hasło do tego konta (poprzez jakiegoś trojana, keyloggera) no a wtedy może z nim zrobić co zechce.

[niszczuka]

Dzięki wszystkim za pomoc, temat do zamknięcia.

[MikaelDorren]

Problem rozwiązany, więc temat zamykam.

W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.