Prawdopodobnie wirus usunął skróty na pulpicie i w kafelkach

[bartazel]

Witam! Opiszę problem, który wystąpił na moim komputerze kilka dni temu. Otóż ściągnął mi się na komputer jakiś downloader, który przypadkowo otworzyłem, a chciałem skasować. Przeklikałem krzyżyk, żeby nic mi nie pobierał ale i tak zainstalował się program TornTV. Antywirus (AVG Free) od razu wykrył wirusa. Kazałem go usunąć i w tym momencie zniknęło mi ok. 12 z 15 skrótów na pulpicie, skróty w pasku start i kafelkach (mam Windows 8.1) takie jak np. Ten komputer, Dokumenty, wszystkie skróty od gier (poza Football Manager 2014 ze Steama), Google Chrome, Internet Exploder itd. Natychmiast przeskanowałem komputer AVG (jak najbardziej szczegółowo) i wirusów nie wykrył. Przez CCleaner usunąłem zbędne pliki i naprawiłem błędy w rejestrze. Wykonałem skan adwcleaner i usunąłem błędy. Skróty przywróciłem ręcznie. Następnie odpaliłem FM 2014 i Sniper: Ghost Warrior 2, żeby sprawdzić czy gry chodzą dobrze. Spędziłem po pół godziny przy obydwu produkcjach - wszystko chodzi dobrze, płynnie, bez błędów. Wygląda też na to, że programy zachowały się wszystkie i chodzą poprawnie. Jednak nie mam porównania czy nie wywaliło mi przypadkiem programów z aplikacji w menu start, a do tego w opcji szukaj zauważyłem, że nie znajduje mi IE (mimo, że działa). Więc moje pytania są takie...

1. Czy istnieje ryzyko, że mimo wszystko mam zainfekowany czymś komputer?

2. Czy istnieje możliwość, że skasowało się coś istotnego z systemu?

3. Co radzicie zrobić w tej sytuacji, żeby upewnić się, że wszystko jest ok?

Komputer mam nowy, a nie chciałem dzwonić z tym problemem do sklepu, bo jak mi się coś kiedyś zepsuje to powiedzą, że przez wirusa i nie uznają gwarancji. Poza tym chcę mieć 100% pewności, że wszystko gra i nie mam się czym martwić. Temat będzie przeze mnie często monitorowany więc w razie potrzeby będę odpowiadał na bieżąco.

[Sevard]

Przeskanuj system programem Malwarebytes' Anti-Malware i jeśli coś znajdzie, to wrzuć loga na forum. To jest szkodnik, który już jakiś czas istnieje, więc MBAM powinien sobie poradzić, jeśli jeszcze coś zostało.

Z innych rzeczy - CCleanera nie należy używać jako antywirusa lub czegoś podobnego. W takim przypadku może zepsuć jeszcze więcej niż zwykle (a i na czystym systemie może zepsuć bardzo dużo).

[bartazel]

Coś związanego z TornTV wykrył, wrzucam logi. Przeniósł do kwarantanny 4 pliki, kazałem Anti-Malware'owi potem je skasować. Przy okazji poproszę Cię o poradę - jak korzystać rozsądnie z CCleaner'a (czy też może go wywalić)? Co prawda nie używam go w takim celu jak napisałeś ale jesteś ciekaw co odpowiesz na ten temat.

mbam-log-2014-09-24 (22-29-19).xml

protection-log-2014-09-24.xml

[Sevard]

Malwarebytes' znalazł tylko PUP, więc nic szczególnie groźnego (PUP to programy, których najpewniej nie chcesz, ale same w sobie zagrożeniem nie są). Nie wytłumaczyło jednak tego co się stało ze skrótami.

Malware najpewniej jest usunięte, choć pewności nigdy nie ma. Nie za bardzo jednak widzę sens, by kazać robić Ci stertę logów, skoro wszystko wydaje się działać.

Jesteś w stanie z logów AVG wyczytać jakie malware on usunął (być może to pozwoli ustalić do się stało ze skrótami)?

Programy czyszczące rejestr lepiej sobie darować, bo one nic nie dają. Nie zwalniają miejsca, nie optymalizują rejestru, a mogą się przyczyniać do jego fragmentacji. Przydają się jedynie wtedy, gdy jakiś program nie daje się poprawnie odinstalować w inny sposób.

[bartazel]

Mam tylko problem gdzie szukać tych logów. Możesz mi przybliżyć mniej więcej w którym miejscu się znajdują? Ewentualnie jak te pliki się nazywają. Ogólnie co będzie potrzebne. Szukałem po necie ale niezbyt konkretnie jest to opisane i nie mogę znaleźć wymaganych plików. Jak będę mniej więcej wiedział czego potrzebujemy wrzucę nawet jutro na forum, bo sam jestem ciekaw tematu tych skrótów.

[Sevard]

Tu masz opisane jak wydobyć logi z AVG.

[bartazel]

Chyba mamy odpowiedź. Domyślam się, że chodzi o tego wirusa:

Znaleziono MalSign.ZhangLing.AA0, c:\Users\1\AppData\Local\Temp\714FCE0D-1CD2-480b-A9EE-1AF871AA2727[d]\1.zipDir\tmp\SupTab_v5.8.8.777_noblank.exe, Zabezpieczone, 2014-09-18, 23:29:58, Plik lub katalog, c:\Users\1\AppData\Local\Temp\714FCE0D-1CD2-480b-A9EE-1AF871AA2727[d]\1.zipDir\BaofengUpdate.exe

Wkleiłem, bo da się tylko uzyskać w logach poszczególne rzeczy, które znalazł. Natomiast kiedy wchodzę w szczegóły (z nich loga nie wyciągnę) wyświetla się w zainfekowanych masa rzeczy np. wspomniane wcześniej skróty. Zapodam jednak kilka załączników (wszystkich rzutów ekranu nie zrobiłem, bo jest tego w cholerę ale to powinno dać odpowiedź).

[Sevard]

Nie da, bo widać tylko jakie pliki były zainfekowane i szczerze mówiąc, to nie wygląda to dobrze. Wrzuć szczegóły z jakiegoś pliku z rozszerzeniem .lnk. Niestety widać tylko infekcję ZhangLing, która jest wkurzająca, ale to nie ona to zrobiła.

[bartazel]

Ok, zatem wypiszę Ci listę wirusów, które AVG wykrył w ostatnim czasie. Fakt, według antywirusa są groźniejsze:

1. Wirus Win32/Blacked

2. Win32/DH{gQwAWGM1}

3. MalSign.OpenCandy.7AF

4. MalSign.Generic.E22 i inne jego odmiany

5. Koń trojański Generic6_c.BMRB

6. Potencjalnie szkodliwy program HackTool.AHQB

7. Program typu adware Generic5.AOJI

To wszystko niektóre z tych rzeczy znalazł mi bardzo dawno temu dużo przed problemem z tematu. Natomiast wszedłem w "Przechowalnia wirusów" i znalazłem coś powiązanego z TornTV - IDP.Adware63AE8761. Dołączam screeny z AVG i raport, który jest ten sam albo praktycznie ten sam dla wszystkich 3 przypadków.

Co do plików .lnk - nie dałem rady wyciągnąć raportu itp., nie znalazłem takiej opcji ewentualnie może nie wiem jak to zrobić ale nie wydaje mi się, bo próbowałem i szukałem.

[Sevard]

OK, skan Malwarebytes' oraz AdwCleanerem powinny wszystko usunąć.

Co do plików lnk, to dosyć prawdopodobne, że to były false positive. Zastosuj się do tego.

Z innych rzeczy - używanie cracków i keygenów to naprawdę proszenie się o kłopoty.

I jeszcze nie zgodzę się, że PUPy są zupełnie nieszkodliwe. Mnie kiedyś jeden nie pozwolił zainstalować Origina.

Czyli mogą być nawet pomocne.

[bartazel]

Właściwie jestem ciekaw skąd ten keygen w raporcie mi się wyświetlił, bo takowych w sumie nie ściągam ani nie używam. Wtedy kiedy pobrał mi się ten trefny plik, którego uruchomienie spowodowało całą sytuację dokładnie pamiętam, że szukałem pliku torrent z update'em do gry (starej) więc może tam coś było zawarte. Skusiła mnie duża liczba seedów, mało kto to ściąga, nigdzie indziej nie znalazłem, a zapewne tutaj była ukryta cała podpucha. Więc... Od tej pory pozostaje mi uważać skąd coś pobieram, a do false positive się zastosuję. Zrobię też ponownie skan ww. programami. Poproszę Cię tylko, żebyś napisał czy mam coś po tych czynnościach wrzucić/napisać. Jeśli nie i zrobienie tych rzeczy Twoim zdaniem wystarczy, żebym był spokojny - temat uważam za zakończony.