Jump to content
Sign in to follow this  
bartazel

Prawdopodobnie wirus usunął skróty na pulpicie i w kafelkach

Recommended Posts

Witam! Opiszę problem, który wystąpił na moim komputerze kilka dni temu. Otóż ściągnął mi się na komputer jakiś downloader, który przypadkowo otworzyłem, a chciałem skasować. Przeklikałem krzyżyk, żeby nic mi nie pobierał ale i tak zainstalował się program TornTV. Antywirus (AVG Free) od razu wykrył wirusa. Kazałem go usunąć i w tym momencie zniknęło mi ok. 12 z 15 skrótów na pulpicie, skróty w pasku start i kafelkach (mam Windows 8.1) takie jak np. Ten komputer, Dokumenty, wszystkie skróty od gier (poza Football Manager 2014 ze Steama), Google Chrome, Internet Exploder itd. Natychmiast przeskanowałem komputer AVG (jak najbardziej szczegółowo) i wirusów nie wykrył. Przez CCleaner usunąłem zbędne pliki i naprawiłem błędy w rejestrze. Wykonałem skan adwcleaner i usunąłem błędy. Skróty przywróciłem ręcznie. Następnie odpaliłem FM 2014 i Sniper: Ghost Warrior 2, żeby sprawdzić czy gry chodzą dobrze. Spędziłem po pół godziny przy obydwu produkcjach - wszystko chodzi dobrze, płynnie, bez błędów. Wygląda też na to, że programy zachowały się wszystkie i chodzą poprawnie. Jednak nie mam porównania czy nie wywaliło mi przypadkiem programów z aplikacji w menu start, a do tego w opcji szukaj zauważyłem, że nie znajduje mi IE (mimo, że działa). Więc moje pytania są takie...

1. Czy istnieje ryzyko, że mimo wszystko mam zainfekowany czymś komputer?

2. Czy istnieje możliwość, że skasowało się coś istotnego z systemu?

3. Co radzicie zrobić w tej sytuacji, żeby upewnić się, że wszystko jest ok?

Komputer mam nowy, a nie chciałem dzwonić z tym problemem do sklepu, bo jak mi się coś kiedyś zepsuje to powiedzą, że przez wirusa i nie uznają gwarancji. Poza tym chcę mieć 100% pewności, że wszystko gra i nie mam się czym martwić. Temat będzie przeze mnie często monitorowany więc w razie potrzeby będę odpowiadał na bieżąco.

Share this post


Link to post
Share on other sites

Przeskanuj system programem Malwarebytes' Anti-Malware i jeśli coś znajdzie, to wrzuć loga na forum. To jest szkodnik, który już jakiś czas istnieje, więc MBAM powinien sobie poradzić, jeśli jeszcze coś zostało.

Z innych rzeczy - CCleanera nie należy używać jako antywirusa lub czegoś podobnego. W takim przypadku może zepsuć jeszcze więcej niż zwykle (a i na czystym systemie może zepsuć bardzo dużo).

Share this post


Link to post
Share on other sites

Coś związanego z TornTV wykrył, wrzucam logi. Przeniósł do kwarantanny 4 pliki, kazałem Anti-Malware'owi potem je skasować. Przy okazji poproszę Cię o poradę - jak korzystać rozsądnie z CCleaner'a (czy też może go wywalić)? Co prawda nie używam go w takim celu jak napisałeś ale jesteś ciekaw co odpowiesz na ten temat.

mbam-log-2014-09-24 (22-29-19).xml

protection-log-2014-09-24.xml

Share this post


Link to post
Share on other sites

Malwarebytes' znalazł tylko PUP, więc nic szczególnie groźnego (PUP to programy, których najpewniej nie chcesz, ale same w sobie zagrożeniem nie są). Nie wytłumaczyło jednak tego co się stało ze skrótami.

Malware najpewniej jest usunięte, choć pewności nigdy nie ma. Nie za bardzo jednak widzę sens, by kazać robić Ci stertę logów, skoro wszystko wydaje się działać.

Jesteś w stanie z logów AVG wyczytać jakie malware on usunął (być może to pozwoli ustalić do się stało ze skrótami)?

Programy czyszczące rejestr lepiej sobie darować, bo one nic nie dają. Nie zwalniają miejsca, nie optymalizują rejestru, a mogą się przyczyniać do jego fragmentacji. Przydają się jedynie wtedy, gdy jakiś program nie daje się poprawnie odinstalować w inny sposób.

Share this post


Link to post
Share on other sites

Mam tylko problem gdzie szukać tych logów. Możesz mi przybliżyć mniej więcej w którym miejscu się znajdują? Ewentualnie jak te pliki się nazywają. Ogólnie co będzie potrzebne. Szukałem po necie ale niezbyt konkretnie jest to opisane i nie mogę znaleźć wymaganych plików. Jak będę mniej więcej wiedział czego potrzebujemy wrzucę nawet jutro na forum, bo sam jestem ciekaw tematu tych skrótów.

Share this post


Link to post
Share on other sites

Chyba mamy odpowiedź. Domyślam się, że chodzi o tego wirusa:

Znaleziono MalSign.ZhangLing.AA0, c:\Users\1\AppData\Local\Temp\714FCE0D-1CD2-480b-A9EE-1AF871AA2727[d]\1.zipDir\tmp\SupTab_v5.8.8.777_noblank.exe, Zabezpieczone, 2014-09-18, 23:29:58, Plik lub katalog, c:\Users\1\AppData\Local\Temp\714FCE0D-1CD2-480b-A9EE-1AF871AA2727[d]\1.zipDir\BaofengUpdate.exe

Wkleiłem, bo da się tylko uzyskać w logach poszczególne rzeczy, które znalazł. Natomiast kiedy wchodzę w szczegóły (z nich loga nie wyciągnę) wyświetla się w zainfekowanych masa rzeczy np. wspomniane wcześniej skróty. Zapodam jednak kilka załączników (wszystkich rzutów ekranu nie zrobiłem, bo jest tego w cholerę ale to powinno dać odpowiedź).

post-70162-0-32832700-1412023962_thumb.j

post-70162-0-33424000-1412024083_thumb.j

post-70162-0-74208400-1412024117_thumb.j

post-70162-0-85603900-1412024198_thumb.j

post-70162-0-33713900-1412024239_thumb.j

post-70162-0-69278400-1412024402_thumb.j

Share this post


Link to post
Share on other sites

Nie da, bo widać tylko jakie pliki były zainfekowane i szczerze mówiąc, to nie wygląda to dobrze. Wrzuć szczegóły z jakiegoś pliku z rozszerzeniem .lnk. Niestety widać tylko infekcję ZhangLing, która jest wkurzająca, ale to nie ona to zrobiła.

Share this post


Link to post
Share on other sites

Ok, zatem wypiszę Ci listę wirusów, które AVG wykrył w ostatnim czasie. Fakt, według antywirusa są groźniejsze:

1. Wirus Win32/Blacked

2. Win32/DH{gQwAWGM1}

3. MalSign.OpenCandy.7AF

4. MalSign.Generic.E22 i inne jego odmiany

5. Koń trojański Generic6_c.BMRB

6. Potencjalnie szkodliwy program HackTool.AHQB

7. Program typu adware Generic5.AOJI

To wszystko niektóre z tych rzeczy znalazł mi bardzo dawno temu dużo przed problemem z tematu. Natomiast wszedłem w "Przechowalnia wirusów" i znalazłem coś powiązanego z TornTV - IDP.Adware63AE8761. Dołączam screeny z AVG i raport, który jest ten sam albo praktycznie ten sam dla wszystkich 3 przypadków.

Co do plików .lnk - nie dałem rady wyciągnąć raportu itp., nie znalazłem takiej opcji ewentualnie może nie wiem jak to zrobić ale nie wydaje mi się, bo próbowałem i szukałem.

post-70162-0-56871100-1412182944_thumb.j

post-70162-0-29616200-1412183275_thumb.j

Share this post


Link to post
Share on other sites

Może trochę nie na temat, ale polecam na przyszłość zachowanie większej ostrożności w Internecie, bo długość tej listy jest przerażająca.

I jeszcze nie zgodzę się, że PUPy są zupełnie nieszkodliwe. Mnie kiedyś jeden nie pozwolił zainstalować Origina. o_O

Share this post


Link to post
Share on other sites

OK, skan Malwarebytes' oraz AdwCleanerem powinny wszystko usunąć.

Co do plików lnk, to dosyć prawdopodobne, że to były false positive. Zastosuj się do tego.

Z innych rzeczy - używanie cracków i keygenów to naprawdę proszenie się o kłopoty.

I jeszcze nie zgodzę się, że PUPy są zupełnie nieszkodliwe. Mnie kiedyś jeden nie pozwolił zainstalować Origina. o_O

Czyli mogą być nawet pomocne. :D

Share this post


Link to post
Share on other sites

Właściwie jestem ciekaw skąd ten keygen w raporcie mi się wyświetlił, bo takowych w sumie nie ściągam ani nie używam. Wtedy kiedy pobrał mi się ten trefny plik, którego uruchomienie spowodowało całą sytuację dokładnie pamiętam, że szukałem pliku torrent z update'em do gry (starej) więc może tam coś było zawarte. Skusiła mnie duża liczba seedów, mało kto to ściąga, nigdzie indziej nie znalazłem, a zapewne tutaj była ukryta cała podpucha. Więc... Od tej pory pozostaje mi uważać skąd coś pobieram, a do false positive się zastosuję. Zrobię też ponownie skan ww. programami. Poproszę Cię tylko, żebyś napisał czy mam coś po tych czynnościach wrzucić/napisać. Jeśli nie i zrobienie tych rzeczy Twoim zdaniem wystarczy, żebym był spokojny - temat uważam za zakończony.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...