Amverto

Jeśli chodzi o centrum zabezpieczeń to usługa była wyłączona (bardzo prawdopodobne, że przez użytkownika). Po jej włączeniu i restarcie kompa Centrum zabezpieczeń normalnie działa.

Z kolei, jeśli chodzi o Checkdisk-a przy starcie systemu to uruchamiał się on nie zawsze tylko czasami, dlatego też nie robiłem zmian w rejestrze, które mi podałeś, bo też gdzieś coś takiego znalazłem w necie.

 

Załączam nowe logi po czyszczeniu.

Co ciekawe w trakcie wykonania skryptu w OTL-u wyskakiwało okienko z ostrzeżeniem:

 

OTL:OTL.exe - Uszkodzony plik

Plik lub katalog C: jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK.

 

To jest taki komunikat jak pisałem wcześniej tylko tym razem to było okienko z przyciskiem OK zamiast w dymku.

OTL zakończył skrypt z sukcesem

ExtrasNowe.Txt

OTLNowe.Txt

Trafił mi w ręce komputer z objawami prawdopodobnie jakiejś infekcji.

 

Właściciel komp-a mówił, że pojawiał mu się jakiś komunikat o RS remover TOOLS i komputer się wieszał, ale nie spisał dokładnie komunikatu. Więc nie wiem czy to nie fałszywy trop.

 

W pierwszej kolejności zrobiłem:

1. Uruchomiłem i wykonałem ręczne sprawdzenie dysku C przy starcie.

Wykrył jakieś drobne błędy, które naprawił. Poniżej log:

 

Sprawdzanie systemu plików na C:

Typ systemu plików to NTFS.

Etykieta woluminu: SYSTEM.

 

Zaplanowano sprawdzenie dysku.

System Windows sprawdzi teraz dysk.

Porzadkowanie niewielkich niespójnosci na dysku.

Oczyszczanie 5 nieuzywanych wpisów w indeksie $SII pliku 0x9.

Oczyszczanie 5 nieuzywanych wpisów w indeksie $SDH pliku 0x9.

Porzadkowanie 5 nieuzywanych deskryptorów zabezpieczen.

CHKDSK sprawdza dane pliku (poziom 4 z 5)

Zakonczono sprawdzanie danych pliku.

CHKDSK sprawdza wolne miejsce (etap 5 z 5)

Zakonczono sprawdzanie wolnego miejsca na dysku.

2. Wykonałem test dysku programem WD Data Lifeguard Diagnostic. Nie wykazało błędów.

3. Wykonałem test pamięci Memtest-em - brak błędów

 

Mimo powyższych czynności często, ale nie zawsze przy starcie systemu uruchamia się sprawdzanie dysku C. Oczywiście komputer jest wyłączany prawidłowo.

 

Następnie przeskanowałem komputer w poszukiwaniu malware:

1. Kaspersky Rescue Disk - pełne skanowanie. Wykrył i usunął:

 

Status: Deleted   (events: 13)	

6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact//PecBundle//PECompact High

6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact//PecBundle High

6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe//PE_Patch.PECompact High

6/4/11 12:48 PM Deleted Trojan program Trojan-Dropper.Win32.Patched.ax D:/Program Files/Warblade/CrashReportSender.exe High

6/4/11 12:47 PM Deleted Trojan program Trojan-Downloader.Java.OpenConnection.dz C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/4/1d25b0c4-14e46b5f High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-7bd0e74d High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-725a6c3a High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-49d8cec5 High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-43a0ebec High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-3830c918 High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-3233aec2 High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-1f8ec4fb High

6/4/11 12:47 PM Deleted virus HEUR:Trojan.Win32.Generic C:/Documents and Settings/User/Dane aplikacji/Sun/Java/Deployment/cache/6.0/36/46ee36a4-4fe423e8 High

2. Spybot Search & Destroy - nic nie znalazł

3. Malwarebytes Anti-Malware Free - pełne skanowanie nic nie wykazało

4. SUPERAntiSpyware FREE Edition - szybkie i pełne skanowanie wykrył i usunął:

 

Trojan.Agent/Gen-Falcomp[Cont] C:\WINDOWS\SYSTEM32\TELNETI.DLL

5. Skan Avira Antivir Personal partycji systemowej oraz w poszukiwaniu rootkitów - nic nie znalazła

 

Kolejna dziwna rzecz to, że przy pracującym Spybot-cie przy zegarku pojawił się żółty trójkąt z wykrzyknikiem oraz dymek z komunikatem:

 

SpybotSD.exe - Uszkodzony plik : Plik lub katalog C: jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK.

To samo było jak robiłem logi w Gmerze tylko tym razem w komunikacie była nazwa pliku Gmera.

W jednym i drugim przypadku program działał normalnie tzn. dokończył skanowanie.

 

Na komputerze działa cały czas Avira Antivir Personal z aktualnymi bazami oczywiście.

 

 

P.S.

W logu Gmera pojawiła się wzmianka o DAEMON Tools Lite. Odinstalowałem go zgodnie z instrukcją z forum tylko, że w momencie deinstalacji był on ręcznie wyłączony z poziomu msconfig-a i nie usunął się widocznie wpis.

 

Proszę o sprawdzenie logów.

Z góry dzięki.

Extras.Txt

Gmer.txt

OTL.Txt

Ma problem z Outpost Security Suite 7 Free.

Mam dwa komputery, obydwa z systemem Windows XP Pro SP3. Jeden z nich ma podłączony Internet za pomocą modemu połączonego kablem USB z komputerem. Komputery są połączone ze sobą kablem krosowym. Komputer z Internetem ma skonfigurowane udostępnianie połączenia internetowego. Na maszynie tej zainstalowany jest Outpost Security Suite 7 Free.

 

Problem polega na tym, że Outpost blokuje udostępnianie połączenia internetowego. Gdy go wyłącznie na drugim komputerze internet działa bez żadnych problemów.

W Settings -> Firewall -> LAN Settings jest dodany adres sieci lokalnej wykrytej przez Outpost-a zaznaczonymi opcjami (NetBIOS, Trusted, NAT Zone). Poza tym próbowałem dodawać też IP komputera, który korzysta z udostępnionego połączenia z zaznaczonymi opcjami (NetBIOS, Trusted). Testowałem też różne warianty powyższych ustawień. W logach nie widać, żeby Outpost blokował te połączenia.

W teorii wszystko powinno działać, ale nie działa. Szukałem odpowiedzi w necie i na forum Outposta. Jedyne co znalazłem to kilka podobnych zgłoszeń takiego problemu, bez działającego rozwiązania. Były też jakieś konfiguracje do starszych wersji Outpost-a, ale w tej nie ma takich opcji. Gdzieś się też natknąłem na informację, że ten firewall domyślnie blokuje udostępnianie Internetu (przynajmniej jeśli chodzi o jakąś wcześniejszą wersję).

 

Czy ktoś ma jakieś pomysły lub udało się komuś skonfigurować Outposta, żeby działał Internet na drugim kompie??

 

Z góry dzięki za pomoc.

 

P.S.

Z podziękuję za propozycję usunięcia Outpost-a. Oczywiście tak pewnie zrobię jak się nie da tego rozwiązać.

Jak część forumowiczów trafiłem tutaj z SE podążając za Naszą mentorką ... prawie jak w jakiejś sekcie

 

Postanowiłem zareklamować nieco FIXITPC na SE wklejając link w sygnaturkę (proponuję to także innym ) mam nadzieję, że nikt się nie obrazi

Wstawiłem, więc link w sygnaturkę, zapisuję zmiany, a po zapisie widzę kropki zamiast adresu WWW.

Próbowałem wstawić link do jakiś innych stron i wszystkie zapisywały się poprawnie. Żeby to ominąć skorzystałem z serwisu skracającego linki (ja użyłem pierwszego lepszego: tnij.org) i poszło.

 

Coś mi się wydaje, że w SE się połapali, że rośnie im konkurencja i cenzurują FIXITPC.

Witam wszystkich "starych" (z SE) i nowych.

Człowieka "chwilkę" nie było, a tu takie zmiany się w polskim necie porobiły.