eksploder

Dziękuję picasso za wyjaśnienie błędu z woluminami. Miałem wątpliwości, czy wystarczająco jasno opisałem ten dziwny błąd - czasem prostą sprawę trudno mi opisać Co do ustawień Przywracania systemu - ten krok nie wykonany - chwilowo nie mam dostępu do leczonego laptopa. Druga sprawa - znajoma zgłosiła, że ponownie ładują się reklamy. Nie jestem w stanie póki co sprawdzić co się dzieje. Możliwe jednak, że laptop nie będzie do tego czasu używany. Powrócę do wątku najpóźniej za ok dwa tygodnie. Mimo wszystko, dziękuję picasso za dotychczas poświęcony czas i pomoc z Twojej strony.

Ad. 1. Fix przeprowadzony. Log fixlog.txt - http://wklej.org/id/1458094/ Ad. 2. Zastosowany DelFix. Log DelFix.txt - http://wklej.org/id/1458096/ Ad. 3. Usuwanie folderów przywracania systemu - dziwne zachowanie. Przeprowadziłem kroki zgodnie ze wskazówkami, jednak zaskoczyło mnie to, że: Na liście Ustawienia ochrony dwa razy widnieje dysk (C:) - raz z ustawieniem ochrony Włączona, drugi raz z ustawieniem Wyłączona. Tak jak poniżej: Po kliknięciu Konfiguruj..., dla każdej pozycji z listy pokazuje się, że "Aktualnie w użyciu: Bajtów: 0". Mimo to, stosuję przycisk Usuń. Pojawiły się błędy w zatwierdzaniu [OK]. Następnie dla ostatniej pozycji z listy przełączam w Konfiguruj... na ustawienie "Wyłącz ochronę systemu" i po zatwierdzeniu [OK](tym razem bez błędu) cała pozycja znika z listy "Ustawienia ochrony" (pozostają tylko dwie pierwsze). Wydaje się, że więcej nic dziwnego w systemie się nie dzieje. Czy to byłby koniec naszych kroków?

Dziękuję za szybką odpowiedź i za wskazówki! Kroki wykonywane w przeciągu dwóch wieczorów (pierwsze skanowania podobnie, stąd tamta nienajnowsza wersja). Ad.1. Uruchomiony Fix w FRST (pobrałem najnowszą wersję). Proces wykonał się, potem reboot, bez problemów. LOG Fixlog.txt - http://wklej.org/id/1457636/ Ad.2. Deinstalacje przez Panel Sterowania. Nie obyło się bez kłopotów: Ad. 3. Przed ywkonaniem tego kroku, widzę, że nadal wyświetlają się dodatkowe reklamy podpisane jako "Ad by TheAdBlock" Krok z czyszczeniem historii (przy wyborze z listy jaki okres wyczyścić) spowodował zawieszenie się karty, a po wymuszeniu zamknięcia, przeglądarka Chrome nie chce się ponownie uruchomić. Ręczny restart systemu i dość długie ponowne uruchamianie systemu. Za drugim razem historia w Chrome wyczyściła się już bez problemu. Na liście chrome://extensions jedno z widniejących Rozszerzeń to "TheAdBlock" w trybie wyłączonym, ręcznie Usuwam. (Po tym kroku dodatkowe reklamy wygląda, że już się nie pojawiają). Reszta kroków wg wskazówek. Ad. 4. AdwCleaner. Działający antywirus Kingsoft wykrył uruchomienie skanera, znajdując w nim wirus (Win32.Heur.KVM011.a.(kcloud)), usuwając cały plik skanera. Traktuję alert jako jako false-positive, ponownie pobieram AdwCleaner z podanych na forum źródeł. Uruchamiam w trybie wyłączonej ochrony Kingsoft. Efekty Szukania w i Usuwania w logu. LOG AdwCleaner[R0].txt - http://wklej.org/id/1457641/ LOG AdwCleaner[s0].txt - http://wklej.org/id/1457642/ Ad. 5. Przeprowadziłem. LOG ponowny FRST.txt - http://wklej.org/id/1457644/ LOG ponowny Addition.txt - http://wklej.org/id/1457647/ Ponadto: Dodatkowe dwa wirtualne napędy zostały usunięte. Zgadzam się, że infekcja mogła nastąpić przez nieuważne instalowanie programów. Zresztą, przydałoby się sporo z nich jeszcze pousuwać, ale to już poza wątkiem. Czy mogę uznać, że oczyściliśmy system z wirusów/trojanów? Na podstawie pierwszego skanu z gmer-a - czy słusznie wnioskuję, że nie mieliśmy w tym przypadku rootkita?

Witam po długiej nieobecności na forum Chciałbym się zwrócić o pomoc przy weryfikacji i oczyszczeniu z infekcji komputera znajomej osoby. Zidentyfikowane przeze mnie(skaner drweb cureit) infekcje wirusami jak w temacie. Laptop, system Windows 7, wersja 64-bitowa. Widoczne objawy: Przy przeglądaniu stron www dołączane reklamy (z podpisem TheAdBlock), czasem przekierowania na oddzielne strony reklamowe. Czasem przy przekierowaniach Chrome informuje, że pobierany plik "jest złośliwy" i blokuje jego pobranie. W przeglądarkach (Chrome, IE) podstawione strony startowe; w IE doinstalowany dodatek o nazwie CostMin, którego nie da się deaktywować (przyciski Włącz/Wyłącz wyszarzone) (brak daty pliku); oprócz tego w IE dodatek o nazwie FunDeals również nie dający się wyłączać z datą pliku 13sierpnia2014. Niekiedy przy przeglądaniu stron www pojawia się okno komunikaty chyba z przeglądarki: "Komunikat ze strony dl99.lsstny.com: UWAGA!!! Wersja Twojego oprogramowania Java jest przestarzała i stanowi zagrożenie dla bezpieczeństwa, Zaktualizuj teraz!" - zamknięcie komunikatu skutkuje przekierowaniem na podejrzaną stronę, która wygląda niemal jak oficjalna strona do aktualizowania Java. Działająca w systemie podejrzana usługa o nazwie "be0fb33b" (Nazwa wyświetlana: "Supporter"), ścieżka do pliku wykonywalnego: "C:\Windows\system32\rundll32.exe" "c:\progra~2\suppor~1\SupporterSv".... (ucięte, przepisuję ręcznie co widać, przy czym w folderze "Program Files (x86)\Supporter" istnieje plik "Supporter_x64.dll"). Z relacji znajomej wynika, że w pewnym momencie została poproszona o aktualizację czegoś, zatwierdziła i odtąd zaczęły dziać się "cuda", tzn. kolejne programy doinstalowywały się, z systemu zaczęły ginąć wcześniej zainstalowane programy (np. zniknęła Opera, Maxthon, skype, gadu-gadu, Adobe Reader, Flash player przestał działać, DAEMON Tools, i być może inne). Oprócz wyświetlania agresywnych reklam miały też pojawiać się nieznane dźwięki. Już PO wystąpieniu pierwszych objawów zainstalowano wersję testową 30-d AVG (obok istniejącego wcześniej antywira Kingsoft), przeglądarkę Chrome(nowa instalacja), ponownie zainstalowano skype, gg. Wydaje się, że infekcja mogła nastąpić tuż po północy 2014-07-09, gdyż takie daty noszą nowe foldery w "Program Files (x86)", tzn. foldery "Supporter", "CostMin", "TowerTilt". Ze względu na odległą datę skany z OTL wykonałem także z ustawieniem "Pliki młodsze niż 180dni". Co zrobiłem: Wstępnie przeskanowałem system narzędziem od drweb cureit. Wykrył trzy podejrzane elementy (kopiuję z pełnego raportu skanowania): \Device\HarddiskVolume3\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe - is adware program Adware.Downware.6556 \Device\HarddiskVolume3\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe - infected C:\Windows\SysWOW64\hfpapi.dll - infected with Trojan.DownLoader11.19531 C:\Windows\TEMP\SecurityScan_Release.exe - infected with Trojan.MulDrop5.34522 ===> próba wyleczenia z poziomu cureit zakończyła się błędem BSoD (z pamięci) 0x00...0050 PAGE_FAULT_IN_NON-PAGED_AREA, nic nie zostało usunięte/wyleczone. Kolejno, ręcznie wyłączyłem usługę "Supporter". Poniżej załączam wymagane na forum ogólne logi. Niestety, przed wykonaniem logów nie udało się wyłączyć emulowanych napędów. Fizycznie w laptopie jest napęd optyczny DVD, natomiast w systemie widnieją dodatkowo dwa napędy BD - wygląda że są emulowane przez DAEMON Tools Lite. Jednakże, zgodnie z tym co wcześniej napisałem program DAEMON Tools samoistnie zniknął z systemu, pozostały jedynie błędne skróty w menu start, a więc nie da się go uruchomić. Próbowałem użyć metody alternatywnej opisanej w wątku o usuwaniu/deaktywowaniu oprogramowania emulującego napędy - niestety użycie programu Defogger nie wyłączyło wirtualnych napędów. Wszystkie skany przeprowadzono w takim stanie systemu. Logi: Defogger - defoger_disable.log - http://wklej.org/id/1456343/ FRST - FRST.txt - http://wklej.org/id/1456339/ FRST - Addition.txt - http://wklej.org/id/1456340/ FRST - Shortcut.txt - http://wklej.org/id/1456341/ OTL - OTL--30d.txt http://wklej.org/id/1456345/ OTL - OTL--180d.txt - http://wklej.org/id/1456347/ OTL - Extras--180d.txt - http://wklej.org/id/1456350/ GMER - (skan dysk systemowy C:, nie QuickScan) http://wklej.org/id/1456338/ Uprzejmie prosimy o pomoc.

Witam ponownie po 2 tygodniach. Zdecydowałem się napisać, gdyż zależy mi na ewentualnej dalszej pomocy z Waszej strony, a nie miałem czasu ostatnio prowadzić wątku. Ze zmianą trybu z PIO poradziłem sobie wg wskazówki. Przeszło w tryb Ultra DMA, czyli ok. Nie poradziłem sobie z pozbyciem się starych szczątków Javy. Próbowałem posłużyć się progr. JavaRa, oto efekt (końcowy log po operacji Remove Java): Zrozumiałem z tego, że udało się pozbyć szczątków javy od Sun 6 update 37, natomiast pozostałości po starej wtyczce IBM Java Runtime 1.4.2 nadal nie zostały usunięte. Tak teraz wygląda sytuacja z Javą: próba uruchomienia apletu java na stronie internetowej kończy się informacją od przegląrki koniecznością zainstalowania plug-in'u (czyli tak jakby ta wtyczka Java od IBM nie była aktywna?). Na dysku pozostają pliki Javy IBM-owskiej w lokalizacjach: - c:\Program Files\IBM\Java142\ ---> tutaj pełne katalogi plików jre\ bin, javaws, lib; - c:\WINDOWS\IBM\Java\Deployment\ ---> pozostał wyłącznie niniejszy pusty katalog; - c:\Documents and Settings\admin\Dane aplikacji\IBM\Java\Deployment\ ---> wiele katalogów, większość pustych, pozostał m.in. plik deployment.properties (i kilka innych plików po kilka kB); oraz od javy Sun-owskiej: - c:\Documents and Settings\admin\Dane aplikacji\Sun\Java\ ---> w nim m.in. katalog Deployment i inne katalogi z plikami W panelu sterowania w dodaj/usuń programy nadal widnieje wpis "IBM 32-bit Runtime Environment for Java 2, v1.4.2". Próbowałem już wcześniej (zanim rozpocząłem wątek, ponad 2 tyg temu) odinstalować przez panel sterowania - uruchomił się (de)instalator, przeszedł pasek postępu, następnie info że deinstalacja przebiegła pomyślnie i... nic się nie zmieniło (wpis pozostał, pliki wtyczki w Program Files pozostały). Zastanawiam się czy mogę powyższe pousuwać ręcznie, skoro przeglądarki (Fx i Opera) już nie widzą javy. Ewentualnie mogę spróbować jeszcze coś takiego. W katalogach backupowych od IBM-a jest oryginalny plik instalacyjny javy 1.4.2 - zainstalować od nowa, aby nadpisać popsutą wtyczkę i spróbować ponownie odinstalować (ale czy to nie narobi za dużo zamieszania?). Trochę utknąłem na tym etapie, proszę o ewentualne wskazówki co do pozbycia się javy. Pozdrawiam! PS. W pozostałym czasie powoli zwalniam miejsce na dysku, aby móc wkrótce spokojnie dokonać uaktualnień.

Na początek dziękuję za szybką odpowiedź. @picasso ad. 1. Ten wpis z gmera też mnie zaniepokoił. Nie był jednak wyróżniony w wyniku na czerwono. Ponadto, przypominam sobie, że coś takiego mogło pozostać ze starej infekcji (jeszcze wówczas rozwiązywane na forum SE (mogę znaleźć link do tematu)). Dołączam log z: Kaspersky TDSSKiller - http://wklej.org/hash/effe0374228/ ad. 2. pozbędę się starego ZA, po zakończeniu ewentualnej dalszej diagnostyki (laptop pozostawiam na razie odpięty od internetu) ad. 3. katalog Minidump – zawiera wyłącznie kilka dość starych logów, brakuje zrzutów z błędów ostatnich „nastu” dni. Plik C:\Windows\MEMORY.DMP – całkowicie pusty (0 bajtów) z datą modyfikacji z końca kwietnia gdy ostatni BSoD mógł się pojawić. We właściwościach systemu w obszarze „Awaria systemu” na liście wyboru „Zapisywanie informacji o debugowaniu” widniało „(brak)” [możliwe, że sam kiedyś przestawiłem, choć nie przypominam sobie tego]. Obecnie ustawiłem na „Zrzut pamięci jądra” tak jak w instrukcji o analizie BSoD. Jak na razie nie udało mi się ponownie wywołać BSoD-u, aby uzyskać nowy wpis w logu zrzutu pamięci (wywołanie javaw.exe jakimś cudem nie powoduje ponownie wcześniejszego błędu; zarówno przy włączonym jak i wyłączonym ZA). Wcześniejsze BSoD-y udało mi się uchwycić zwykłym aparatem fotograficznym. Oto komunikaty błędów (mogę przepisać więcej szczegółów jeśli potrzeba): BSoD 1. (ten błąd był tylko raz) (brak nazwy błędu), STOP: 0x0000008E, plik 36C0B9E23.sys (nie udało mi się tego odnaleźć na dysku) BSoD 2. (ten błąd powtarzał się) PAGE_FAULT_IN_NONPAGED_AREA, STOP: 0x00000050, plik srescan.sys (widzę, że należy do ZA) @Landuss Potwierdzam, dość dawno nie aktualizowałem. Z IE w ogóle od dawna nie korzystam, nie przyszło mi na myśl by wgrywać nowszy. Jak już uda mi się pozbyć tej starej Javy, to poaktualizuję wg wskazówek. (choć osobiście boję się tego trochę – niedawna autoaktualizacja skype „zgubiła” większość historii rozmów...). Widzę jednak, że nie ma sensu dłużej zwlekać. PS. Przy okazji, widzę, że dysk przeszedł na tryb PIO, nie zauważyłem kiedy to się mogło stać.

Witam! Od poprzedniej niedzieli (21.04) usiłuję rozwiązać problem z laptopem (system Windows XP SP2). Po paru dniach poszukiwania przyczyny problemu, podejrzewam, że może to być infekcja rootkitem i dlatego zdecydowałem się wystąpić o Waszą pomoc. Po kolei co się działo. We wspomnianą niedzielę (21.04) tuż po uruchomieniu systemu wyświetliła się prośba o aktualizację wtyczki Flash Player (tak jak zwykle co jakiś czas). Zgodziłem się i zostałem przeniesiony na stronę adobe. Przed kliknięciem „pobierz” można było odznaczyć opcję łącznego zainstalowania dodatków, co zwykłem odznaczać; tym razem jednak zgodziłem się na zainstalowanie McAfee Security Scanner. Tuż po instalacji obu, uruchomiłem ów McAfee by przeskanować system. Pamiętam, że w wynikach było jedno zagrożenie coś ze słowem „web”. Kliknąłem, aby obejrzeć więcej szczegółów zagrożenia – wynik miał się wyświetlić w przeglądarce (na stronie mcafee zapewne). MIAŁ się wyświetlić, ponieważ strony nie udało się otworzyć. Okazało się nagle, że żadne strony się nie otwierają (dostęp do LAN-u pozostał, zanikł dostęp do Internetu). Nie pomógł reset komputera ani karty sieciowej. Dopiero prawdopodobnie odinstalowanie karty z Menedżera urządzeń i zainstalowanie ponowne wyeliminowały brak internetu na laptopie (od tej pory działa). Odinstalowałem wówczas nowo pobraną wtyczkę Flash Player oraz ów McAfee Security Scanner. Wydawało mi się, że wszystko powróciło do normy. Parę dni później podczas korzystania z www nagle BSOD (błąd 0x0000008e). Po jakimś czasie znowu BSOD przy uruchamianiu apletu java na stronie. Odinstalowałem Javę (od Sun) poprzez panel sterowania (prawdopodobnie była to wersja mniej więcej 1.6.0__37). Jednak nie wyeliminowało to javy z systemu, gdyż system posiada oprócz tego preinstalowaną w laptopie wtyczkę IBM Java (Java Web Start) w wersji 1.4.2 (przedpotopowa wersja). Po wielu próbach odkryłem, że wywołanie javaw.exe z tej preinstalowanej od IBM javy powodowało zatrzymanie systemu i błąd BSOD (PAGE_FAULT_IN_NONPAGED_AREA, 0x00000050). Do tej pory w systemie zawsze były dwie javy – w miarę aktualna od Sun oraz ta od IBM, której nie potrafię odinstalować (z zaznaczeniem w jej opcjach, aby nie była domyślną wtyczką dla przeglądarek). Szukając rozwiązania problemu trafiłem m.in na tę informację z bazy MS: http://support.microsoft.com/kb/903251 - zasugerowałem się potencjalnym wirusem. Wykonałem pełny skan drweb z live cd, ale w wynikach oprócz niemożności otwarcia różnych archiwów nie widziałem nic nietypowego. Zamieszczam logi z GMER, OTL, Defogger-a i z SecurityCheck. Przed skanem gmerem zamknąłem ZoneAlarm. Logi: GMER http://wklej.org/hash/7a63ec31906/ OTL http://wklej.org/hash/0fe9ae2ed14/ OTL Extras http://wklej.org/hash/9af87b34512/ Defogger http://wklej.org/hash/251a40c8fda/ Security Check log A może problem związany jest głównie z javą? Jak mogę odinstalować tę starą javę od ibm? Nie jestem pewien co dalej robić. Dlatego przychodzę tu prosząc o Waszą pomoc.