Skocz do zawartości

jrr

Użytkownicy
  • Postów

    10
  • Dołączył

  • Ostatnia wizyta

  1. Załączam jeszcze losowe raporty z tamtego okresu. Pierwszy z dn. 26.05 czysty, po tym jak wcześniej usunął ok. 300 wyników. I następny z dn. 26.05. znowu z wieloma zagrożeniami. W następnych dniach tych wykryć nie było już tak wiele, ale zawsze coś przy którymś skanie się pojawiało. Dzisiaj zrobiłem skan MBAM i faktycznie wygląda, że jest czysto. Jeśli tylko w najbliższym czasie coś się znowu niepokojącego wydarzy, dam znać. A na tą chwilę dziękuję bardzo za pomoc. 26.05 - OK.txt 26.05. - Not OK.txt 30.05 - Not OK.txt 31.05 - Not OK.txt
  2. MBAM komunikował, że usunął wirusy. Po restarcie komputera, uruchamiałem skaner i było OK. Jednak za jakiś czas (nie wiem, czy było to związane z otwarciem przeglądarki, czy raczej tylko po wyłączeniu i włączeniu komputera) znajdował znowu te same zagrożenia (PUP.Optional.Linkury). Procedurę powtarzałem kilka razy, również w trybie awaryjnym i ciągle było to samo - po pierwszym skanowaniu po usunięciu w porządku, po którymś następnym - wyniki do usunięcia. Podobnie sytuacja wyglądała z ADWCleaner, który raz pokazywał, że wszystko jest OK, by następnym razem znaleźć jakiś wpis w rejestrze, który należy usunąć. W czasie tych kilkunastu skanów, zmieniła mi się również raz samoistnie strona startowa z Google na jakąś inną podejrzaną (niestety nazwy nie pamiętam). Wydawało mi się, że to wszystko stanowi problem, i że wirus ciągle gdzieś siedzi. Zgodnie z zaleceniami wskazane wersje (luki) odinstalowałem w panelu sterowania. W załączeniu przesyłam fixlog. Fixlog.txt
  3. Witam. Poproszono mnie o pomoc w sprawdzeniu komputera. Objawami było: długie uruchamianie systemu, wolne działanie internetu i zmiana strony startowej. System przeskanowałem MBAM (skaner ten w wynikach pokazywał najcześciej nazwę PUP.Optional.Linkury) i ADWCleaner. Po wykryciu i usunięciu wyników, myślałem, że wszystko jest w porządku. Niestety problem nieustannie powraca. Użyłem ponadto programów HitmanPro i JRT. Bez oczekiwanego efektu. Ostatnią deską ratunku jaka przyszła mi do głowy, jesteście Wy Proszę zatem o pomoc w rozwiązaniu problemu. Załączam wymagane logi oraz dodatkowo ostatni log po ''usunięciu'' z ADWCleaner. Gmer.txt Shortcut.txt Addition.txt FRST.txt AdwCleanerC15.txt
  4. Strzał w dziesiątkę, w tym tkwił cały szkopuł : ) Skaner co prawda się nie uruchamia, ale gdzieś czytałem, że uaktywnia się tylko wtedy, jak coś znajdzie. Zatem wszystko jest już w porządku. Ja nie widziałem nigdzie, tylko Secunia Online sugerowała po przeskanowaniu, że jest już wersja Java 6 u 29 i jest ona 'bezpieczniejsza dla mojego komputera', czy jakoś tak ; ) Ale skoro to tylko zmiana kosmetyczna, to sobie daruję. Już wiem, dlaczego tak się zwykle przyzwyczajam do programów i nie przepadam za ich aktualizowaniem. Po zainstalowaniu nowego OpenOffice'a, pojawił mi się problem ze zgodnością dokumentów tekstowych z poprzednimi wersjami OO i MO. Każdy otwarty dokument w nowym programie zapisany w formatach z programów poprzednich, nie wyświetla się poprawnie. Chodzi tu dokładnie o funkcję 'wyjustuj' w wierszach samodzielnie dzielonych (shift+del), która nie działa. W ustawieniach edytora, w zakładce zgodność, jest co prawda coś co pomaga, ale tylko na ten konkretny, otwarty plik. A trudno przecież, żeby ręcznie otwierać każdy plik z osobna i tą opcję zaznaczać : ( Serdecznie Wam dziękuję za pomoc w walce z wirusem : )
  5. Katalog taki istnieje, ale po wejściu do niego znaleźć można 'FlashUtil11c_ActiveX' , a więc wersję 11 zdaje się. EDIT: Przyjrzałem się jeszcze raz temu, co wyświetla skaner Secunia. Wskazuje on dokładnie na plik NPSWF32.dll, czyli Shockwave Flash 9. Mam go ręcznie usunąć? Na liście jest tylko Java 6 Update 22 i Java 7 Update 1. OpenOffice mam zainstalowany na dysku D, zatem nie jest to partycja systemowa. A Secunia wskazuje na: C:\Program Files\Java\jre6\bin\java.exe. Dziwna sprawa z tą aktualizacją. Wykonałem powyższe kroki. Po pobraniu narzędzia do złośliwego oprogramowania na dysk i uruchomieniu, 2 sekundy trwa 'Extracting files' i na tym się kończy. Zdaje się, że w trayu zółtka ikonka już się nie pojawia, aczkolwiek, gdy uruchamiam WindowsUpdate, za każdym razem znajduje mi tą samą aktualizację, już pobraną i gotową do zainstalowania. Zatwierdzam instalację. Strona informuje o zakończeniu instalacji powodzeniem. Następnie historia się powtarza. WindowsUpdate sugeruje jeszcze uaktualnienie do rozszerzenia MicrosoftUpdate, ale nie wiem, czy warto. EDIT#2: No niestety, męcząca ikonka w trayu znów się pojawiła.
  6. Większość aplikacji już aktualizowałem. Komunikatorów w zasadzie w ogóle nie używam. Secunia OSI raportuje, że mam gdzieś w systemie Adobe Flash Player w wersji 9 (NPAPI), a w 'Dodaj lub usuń programy' tego nie ma (jest to, co instalowałem, a więc wersja 11). Powinienem się tym przejmować i próbować to jakoś odinstalować? Przy instalacji OpenOffice zainstalowała się Java 6. Javę 7 doinstalowałem osobno, zgodnie z zaleceniami. Secunia raportuje, że posiadam wersję 6.0.220.4, a powinienem mieć 6.0.290.3. Faktycznie? A jeśli faktycznie, to jak to wpłynie na Javę zintegrowaną z OO. Ponadto Secunia wskazuje, że IE 8 również nie jest bezpieczny i przedstawia szereg niezainstalowanych poprawek KB z Microsoft Update. Dziwne, bo aktualizacje miałem zwyczajowo włączone. Jak już jestem przy aktualizacjach to to, co niepokoi mnie najbardziej, to fakt, iż nie mogę zainstalować narzędzia do usuwania złośliwego oprogramowania z października (KB890830). Próbowałem przez WindowsUpdate. Pobrało się, instalacja trwa chwile, nawet informuje, że 'Instalacja zakończona', po czym po chwili ponownie pojawia się w trayu zółta ikonka z tą samą aktualizacją. I tak w kółko. Próbowałem również ręcznie pobrać poprawkę na dysk i zainstalować ją, ale po dwukliku i chwili wypakowywania, nie dzieje się nic. Reset zapory tak czy owak zrobiłem, bo w wyjątkach jakoś dziwnie dużo było usług HP. Poza tym, przy starcie systemu, tuż przed pokazaniem się loga XP, na czarnym ekranie z możliwością wyboru między standardowym uruchomieniem, a Recovery Console, pojawił się następujący komunikat, którego wcześniej nie było: 'do not select this [debugowanie włączone]'. Mam jeszcze pytanie odnośnie JavaScript w AdobeReader. Czy wyłączenie ich w tym programie (gdzieś o tym przeczytałem) zwiększa bezpieczeństwo i jak wpływa na funkcjonowanie Readera?
  7. Zrobione. Skanowanie Kasperskim standardowe (system memory, hidden startup objects, disk boot sectors) nie wykazało zagrożenia. Jakieś rady końcowe? Folder (config.msi) i plik (boot.bak) na partycji C rozumiem, że można spokojnie skasować. W podobnym wątku czytałem coś o resecie ustawień zapory. Jasne jest też, że muszę zaktualizować OpenOffice. Ciągle to sobie powtarzam, ale zdaje się, że powiedzenie 'przyzwyczajenie drugą naturą człowieka' sprawdza się w moim przypadku znakomicie. Mam jeszcze parę nurtujących pytań związanych z tym trojanem: - możliwość otwarcia z karty ulubionych wyłącznie strony z bankowością internetową, jak już pisałem w pierwszym poście. Czy to celowe działanie rookita, czy zabezpiecznie ze strony banku? - czy format c i zainstalowanie systemu na nowo w tym przypadku pomogłoby? A jeśli tak, to czy istnieją w ogóle wirusy, które mogą się odtworzyć na nowym systemie? - czy koniecznym jest zmiana haseł w serwisach? Czy po logach (lub w jakiś inny sposob) da się odczytać, czy rookit przechwycił je w jakiś sposób (lub chciał to zrobić)? EDIT: Uruchomiłem pełne skanowanie Kasperskim (zaznaczyłem wszystkie możliwe obszary) i przy 18% znalazł dwa zagrożenia: - Trojan program Trojan.Win32.Patched.mf, które znajdowało się w: C:\Program files\HP\Digital Imaging\bin\hpqusgl.exe. - ten sam trojan w C:\Sytem Volume Information\_restore{AB188....exe Oba Kasperski zdezynfekował. Po zakończeniu skanowania umieszczę log. EDIT#2: Zamieszczam log ze znalezionymi zagrożeniami. Skończyło się na dwóch. Raportu ze skanowania nie mogę zamieścić, ponieważ waży ponad 60 MB. EDIT#3: Po ponownym uruchomieniu systemu i pełnego skanowania, Kaspersky nic nie znalazł. Detected threats.txt
  8. Nie wiem, czy to ważne, ale nie mogę usunąć aplikacji 4f2iti7z (Gmer) z pulpitu (''...odmowa dostępu. Sprawdź czy dysk nie jest zapełniony lub chroniony przed zapisem oraz, czy plik nie jest aktualnie używany''). OTL.Txt Log po wykonaniu skryptu.txt
  9. Witam. Tym razem Eset znalazł rookita w pliku afd.sys i go zdezynfekował. Po restarcie systemu uruchomiłem Combofix. Proces skanowania i dezynfekcji przebiegł w miarę sprawnie. W załączniku logi. OTL.Txt ComboFix.txt
  10. Witam. Mam problem najprawdopodobniej z Rookitem Zero Access. W tym momencie z konieczności piszę z innego komputera. Na tym, który mnie interesuje pojawiły się jak dotąd następujące objawy: - z początku przekierowanie stron po otwarciu z Google na inne, niż wyszukiwane; obecnie brak możliwości otwarcia jakichkolwiek stron www, oprócz strony z bankowością internetową (hmm, ciekawe swoją drogą, czy to jakieś zabezpieczenie ze strony banku, czy też rookit celowo pozostawił mi możliwość zalogowania się i przechwycenia hasła) - brak możliwości uruchamiania (nie wiem, czy wszystkich) plików .exe (np. Nero) i standardowy komunikat: ''System Windows nie może uzyskać dostępu do określonego urządzenia...'' - problemy z uruchomieniem (lub dokończeniem skanowania) większości skanerów antywirusowych, niedziałący WindowsUpdate. Wypróbowałem wszystkie cztery RemovalTool'sy do tego trojana. Jeden go nie wykrył w ogóle. Natomiast trzy pozostałe: - od BitDefender'a stwierdził, że rookita usunął (co jest rzecz jasna nieprawdą) - Webroot w pozycji ''check rookit device'' pokazuje ''Found!'', w ''system disk class driver state'' - ''Infected!'', a na końcu w podsumowaniu - ''Your system is not infected by...'' (hmm) - od Kaspersky'ego po restarcie systemu znajduje ciągle to samo. W załączeniu logi z OTL, Gmera (ale tylko preskan, bo przy pełnym po jakimś czasie progam się wyłącza), SecurityCheck oraz TDSSKiller. Rozumiem (choć nie wiem, czy dobrze), że program DOSBox 0.74 do emulacji starych gier, nie jest emulatorem wirtualnego napędu i nie trzeba go usuwać. Trochę już minęło odkąd ostatnim razem i na poprzednim forum jeszcze prosiłem Panią Picasso o pomoc. Spodziewałem się jednak, iż prędzej czy później zrobię to ponownie ; ) Przez myśl przeszedł mi oczywiście format c, ale jeśli jest jakaś szansa tego uniknąć i dowiedzieć się czegoś na przyszłość, będę wdzięczny. OTL.Txt Extras.Txt Gmer.txt TDSSKiller.2.6.11.0_21.10.2011_19.48.29_log.txt
×
×
  • Dodaj nową pozycję...