Amverto
-
Postów
4 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Amverto
-
-
Trafił mi w ręce komputer z objawami prawdopodobnie jakiejś infekcji.
Właściciel komp-a mówił, że pojawiał mu się jakiś komunikat o RS remover TOOLS i komputer się wieszał, ale nie spisał dokładnie komunikatu. Więc nie wiem czy to nie fałszywy trop.
W pierwszej kolejności zrobiłem:
1. Uruchomiłem i wykonałem ręczne sprawdzenie dysku C przy starcie.
Wykrył jakieś drobne błędy, które naprawił. Poniżej log:
Sprawdzanie systemu plików na C:
Typ systemu plików to NTFS.
Etykieta woluminu: SYSTEM.
Zaplanowano sprawdzenie dysku.
System Windows sprawdzi teraz dysk.
Porzadkowanie niewielkich niespójnosci na dysku.
Oczyszczanie 5 nieuzywanych wpisów w indeksie $SII pliku 0x9.
Oczyszczanie 5 nieuzywanych wpisów w indeksie $SDH pliku 0x9.
Porzadkowanie 5 nieuzywanych deskryptorów zabezpieczen.
CHKDSK sprawdza dane pliku (poziom 4 z 5)
Zakonczono sprawdzanie danych pliku.
CHKDSK sprawdza wolne miejsce (etap 5 z 5)
Zakonczono sprawdzanie wolnego miejsca na dysku.
2. Wykonałem test dysku programem WD Data Lifeguard Diagnostic. Nie wykazało błędów.
3. Wykonałem test pamięci Memtest-em - brak błędów
Mimo powyższych czynności często, ale nie zawsze przy starcie systemu uruchamia się sprawdzanie dysku C. Oczywiście komputer jest wyłączany prawidłowo.
Następnie przeskanowałem komputer w poszukiwaniu malware:
1. Kaspersky Rescue Disk - pełne skanowanie. Wykrył i usunął:
Status: Deleted (events: 13)
6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact//PecBundle//PECompact High
6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact//PecBundle High
6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact High
6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe High
6/4/11 12:47 PM Deleted Trojan program Trojan-Downloader.Java.OpenConnection.dz C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/4/1d25b0c4-14e46b5f High
6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-7bd0e74d High
6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-725a6c3a High
6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-49d8cec5 High
6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-43a0ebec High
6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-3830c918 High
6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-3233aec2 High
6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-1f8ec4fb High
6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-4fe423e8 High
2. Spybot Search & Destroy - nic nie znalazł
3. Malwarebytes Anti-Malware Free - pełne skanowanie nic nie wykazało
4. SUPERAntiSpyware FREE Edition - szybkie i pełne skanowanie wykrył i usunął:
Trojan.Agent/Gen-Falcomp[Cont] C:\WINDOWS\SYSTEM32\TELNETI.DLL
5. Skan Avira Antivir Personal partycji systemowej oraz w poszukiwaniu rootkitów - nic nie znalazła
Kolejna dziwna rzecz to, że przy pracującym Spybot-cie przy zegarku pojawił się żółty trójkąt z wykrzyknikiem oraz dymek z komunikatem:
SpybotSD.exe - Uszkodzony plik : Plik lub katalog C: jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK.
To samo było jak robiłem logi w Gmerze tylko tym razem w komunikacie była nazwa pliku Gmera.
W jednym i drugim przypadku program działał normalnie tzn. dokończył skanowanie.
Na komputerze działa cały czas Avira Antivir Personal z aktualnymi bazami oczywiście.
P.S.
W logu Gmera pojawiła się wzmianka o DAEMON Tools Lite. Odinstalowałem go zgodnie z instrukcją z forum tylko, że w momencie deinstalacji był on ręcznie wyłączony z poziomu msconfig-a i nie usunął się widocznie wpis.
Proszę o sprawdzenie logów.
Z góry dzięki.
-
Ma problem z Outpost Security Suite 7 Free.
Mam dwa komputery, obydwa z systemem Windows XP Pro SP3. Jeden z nich ma podłączony Internet za pomocą modemu połączonego kablem USB z komputerem. Komputery są połączone ze sobą kablem krosowym. Komputer z Internetem ma skonfigurowane udostępnianie połączenia internetowego. Na maszynie tej zainstalowany jest Outpost Security Suite 7 Free.
Problem polega na tym, że Outpost blokuje udostępnianie połączenia internetowego. Gdy go wyłącznie na drugim komputerze internet działa bez żadnych problemów.
W Settings -> Firewall -> LAN Settings jest dodany adres sieci lokalnej wykrytej przez Outpost-a zaznaczonymi opcjami (NetBIOS, Trusted, NAT Zone). Poza tym próbowałem dodawać też IP komputera, który korzysta z udostępnionego połączenia z zaznaczonymi opcjami (NetBIOS, Trusted). Testowałem też różne warianty powyższych ustawień. W logach nie widać, żeby Outpost blokował te połączenia.
W teorii wszystko powinno działać, ale nie działa. Szukałem odpowiedzi w necie i na forum Outposta. Jedyne co znalazłem to kilka podobnych zgłoszeń takiego problemu, bez działającego rozwiązania. Były też jakieś konfiguracje do starszych wersji Outpost-a, ale w tej nie ma takich opcji. Gdzieś się też natknąłem na informację, że ten firewall domyślnie blokuje udostępnianie Internetu (przynajmniej jeśli chodzi o jakąś wcześniejszą wersję).
Czy ktoś ma jakieś pomysły lub udało się komuś skonfigurować Outposta, żeby działał Internet na drugim kompie??
Z góry dzięki za pomoc.
P.S.
Z podziękuję za propozycję usunięcia Outpost-a. Oczywiście tak pewnie zrobię jak się nie da tego rozwiązać.
-
Jak część forumowiczów trafiłem tutaj z SE podążając za Naszą mentorką ... prawie jak w jakiejś sekcie
Postanowiłem zareklamować nieco FIXITPC na SE wklejając link w sygnaturkę (proponuję to także innym ) mam nadzieję, że nikt się nie obrazi
Wstawiłem, więc link w sygnaturkę, zapisuję zmiany, a po zapisie widzę kropki zamiast adresu WWW.
Próbowałem wstawić link do jakiś innych stron i wszystkie zapisywały się poprawnie. Żeby to ominąć skorzystałem z serwisu skracającego linki (ja użyłem pierwszego lepszego: tnij.org) i poszło.
Coś mi się wydaje, że w SE się połapali, że rośnie im konkurencja i cenzurują FIXITPC.
-
Witam wszystkich "starych" (z SE) i nowych.
Człowieka "chwilkę" nie było, a tu takie zmiany się w polskim necie porobiły.
Komunikaty o uszkodzeniu plików, kilka usuniętych wirusów
w Dział pomocy doraźnej
Opublikowano
Jeśli chodzi o centrum zabezpieczeń to usługa była wyłączona (bardzo prawdopodobne, że przez użytkownika). Po jej włączeniu i restarcie kompa Centrum zabezpieczeń normalnie działa.
Z kolei, jeśli chodzi o Checkdisk-a przy starcie systemu to uruchamiał się on nie zawsze tylko czasami, dlatego też nie robiłem zmian w rejestrze, które mi podałeś, bo też gdzieś coś takiego znalazłem w necie.
Załączam nowe logi po czyszczeniu.
Co ciekawe w trakcie wykonania skryptu w OTL-u wyskakiwało okienko z ostrzeżeniem:
OTL:OTL.exe - Uszkodzony plik
Plik lub katalog C: jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK.
To jest taki komunikat jak pisałem wcześniej tylko tym razem to było okienko z przyciskiem OK zamiast w dymku.
OTL zakończył skrypt z sukcesem
ExtrasNowe.Txt
OTLNowe.Txt