arconuss

1. Sprzątanie z OTL zrobione. 2. Przywracanie systemu wyzerowane. wszystko wygląda ładnie przede wszystkim można zobaczyć pliki ukryte, ale: 3. Podpiąłem dysk twardy przez USB do innego komputera z zainstalowanym McAfee i wykonałem dokładny skan. McAfee wykrył kilka zainfekowanych plików i wrzucił do kwarantanny (niestety nie można zrobić z tego żadnego raportu, jak wrócę do domu do wrzucę PrintScreeny). 4. Jak wyleczyć i zabezpieczyć (najprawdopodobniej zainfekowane) karty pamięci używane za pośrednictwem czytnika na USB - czy załączyć raporty z opcji Listing z USBfix przy podpięciu każdego z nich? 5. Przez jakiś czas używałem tych kart pamięci na kilku komputerach (komp1: laptop WinXP+NOD32, komp2: netbook Win7_32bit+NOD32, komp3: stacjonarny Win7_64bit+McAfee, no i komp0: stacjonarny ten z tego wątku WinXP+różneTrialeAV a obecnieNOD32). AntyVir'y raportowały wykrycie i unieszkodliwienie zagrożeń. Ponieważ padał mi system na komp0 to w obawie przed awarią HDD skopiowałem na komp3 najważniejsze dla mnie pliki (jeszcze przed wyczyszczeniem infekcji z komp0). Potem po wyczyszczeniu infekcji, by dokończyć kopie bezpieczeństwa ważnych plików to co opisałem w pkt3. Komp1,2,3, poza sygnalizacją AntyVir po włożeniu czytnika do USB raczej nie wykazują objawów infekcji tym bardziej, że komp2 i komp3 to nowe jednostki ze świeżo zainstalowanymi systemami. Czy zasadne jest profilaktyczne wygenerowanie z komp1,2,3 logów obowiązkowych i wrzuceniu tu to analizy? Edit: dodanie oznaczeń wersji systemów Win7 w komp2 i komp3

raport OTL po wykonaniu skryptu: OTL_postWykonajSkrypt_2010.12.29 22.15.txt raport OTL po restarcie i skanowaniu: OTL_2010.12.29 22.25.txt ExtrasOTL_2010.12.29 22.25.txt raport GMER (tryb awaryjny): gmer_TrybAwaryjny_2010.12.30 02.19.txt (w międzyczasie walczyłem z przegrzewającym się procesorem - zainstalowałem programik HWMonitor ver. 1.17.0 i zmieniłem wentylator)

System postawiony - dzięki bootowalnej płytce picasso z tego wątku: link_konsola_odzyskiwania (komenda chkdsk /r załatwiła sprawę). A więc można się zająć infekcją. Czekam niecierpliwie na instrukcje.

Chciałem cichutko przypomnieć o moim problemie . Jeśli ten przypadek wymaga dłuższej analizy to przepraszam za brak cierpliwości . Edit 2010.12.28 18:41: Problem się powiększył - nie mogę uruchomić systemu - po mniej więcej 10s ładowania Windowsa pojawia się BlueScreen: unmountable boot volume linkBlueScreen. Tryb awaryjny też nie idzie. Sprawdzałem w BIOS - dysk jest widoczny, i pod KNOPPIXem - daje się go odczytać. Może pomogłaby próba skorzystania z Konsoli Odzyskiwania, którą instalował swego czasu ComboFix - tylko ... nie wiem jak, i czy to pomoże, i nie chcę czegoś dodatkowo "sknocić". Poza tym jak pisałem działanie ComboFixa nie skończyło się normalnie. Ech ...

melduję: 0. Udało mi się uruchomić GMER w trybie awaryjnym (za pierwszym razem mimo, że skan ładnie przeszedł nie mogłem skopiować raportu, bo "buttonik-KOPIUJ" był niewidoczny - musiałem użyć ResizeEnable i odpalić GMER jeszcze raz i wtedy udało się przeskalować okno, wszystkie przyciski były widoczne, ale po kilkunastu godzinach skanowania system pracował tak wolno, że praktycznie skanowanie utknęło w miejscu, więc je przerwałem i skopiowałem to co zrobił do tej pory (jestem pewien, że jest to identyczne z tym co zrobił poprawnie do końca za pierwszym razem - więc chyba można potraktować że raport jest kompletny): gmer_TrybAwaryjny_2010.12.26 15.00.txt i zgodnie z zaleceniami: 1. log z OTL na dodatkowym warunku i w oknie Własne opcje skanowania/Skrypt wpisz netsvcs a nastepnie kliknij w Skanuj (nie w Wykonaj skrypt): OTL_2010.12.26 15.33.Txt Extras_2010.12.26 15.33.txt 2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport: UsbFix_2010.12.26 15.37.txt Czekam na dalsze instrukcje.

Objawy infekcji: - najważniejszy - samoistnie przywraca się opcja "Nie pokazuj ukrytych plików i folderów", - wolna praca systemu, - kliknięcie rolką myszy na linku w firefoxie otwiera kilka takich samych kart ze stroną klikniętego adresu (ale to może być kwestia wiekowości używanej myszki); - i wcześniej (skan EsetNOD32 wyeliminował problem) zamierało połączenie z internetem (tzn ikona w tray'u pokazywała połączenie, ale skype się gubił, przeglądarki nie wyświetlały stron) - pomagał dopiero reset routera. dotychczasowe działania: - instalacja i uruchomienie skanu Eset NOD32: link do zrzutu kwarantanny http://img828.imageshack.us/img828/5860/kwarantannaeset.jpg oraz tekst pliku dziennika raport EsetNOD32.txt - Użycie COMBOFix (niestety w zbyt wielu miejscach polecają to narzędzie nawet laikom komputerowym) - nie udane - po 50 etapie: niebieski ekran windows, na szczęście restart się powiódł ale nie mam żadnych plików raportów z działań ComboFixa obowiązkowe logi: - OTL: OTL.Txt, Extras.Txt - RootRepeal (GMER od razu wywala do niebieskiego ekranu): RootRepeal report 12-25-10 (20-45-54).txt - SecurityCheck: Results of screen317's Security Check version 0.99.8 Windows XP Service Pack 3 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! ESET Smart Security WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Java 6 Update 23 Java 6 Update 7 Out of date Java installed! Adobe Flash Player 10.0.45.2 Adobe Reader 9 Lite Out of date Adobe Reader installed! Mozilla Firefox (3.6.13) Mozilla Thunderbird (2.0.0) Thunderbird Out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` Jak pozbyć się szkodników bez reinstalacji?