Witam,
trzy lata temu zostałem zarażony jakąś infekcją, pochodzącą z pendrive'a znajomego. Infekcja następowała przez plik ufo.exe, który z kolei uruchamiany był przez autorun pendrive'a. Trochę przy tej infekcji podłubałem, na wstępie wyłączając autoruny dla wszystkich urządzeń. Później w bardzo nieumiejętny sposób skorzystałem kilkakrotnie z combofixa. Na koniec jeszcze pomęczyłem nieco cały plik (choć nie pamiętam w jaki sposób ) i - stwierdziwszy, że komputer nie infekuje następnych pendrive'ów - olałem sprawę. Nie wiedzieć czemu pojawiło się we mnie przeświadczenie, że replikacja jest jedynym celem tego złośliwego programu i poprzez uniemożliwienie jej, pozbyłem się wszystkich problemów związanych z plikiem. Przeświadczenie to zyskiwało z czasem na sile, gdyż nic złego z moim komputerem się nie działo.
Ostatnio ping zaczął mi coś dziwnie skakać, co jakiś czas przyjmując wartości 100-180 podczas łączenia się z maszynami położonymi względnie blisko. Nie wiedząc, czy to mój ISP czy coś u mnie, stwierdziłem, że dawno "się" nie skanowałem. Wtedy też przypomniałem sobie o moim starym pasażerze na gapę, Secpolu i po chwili zastanowienia stwierdziłem, że nie wiem, na czym bazowałem moje przeświadczenie o niegroźności tego programu.
Okazało się zaś, że robal potrafi całkiem sporo. Na jakiejś stronce przeczytałem, że pełni między innymi funkcje keyloggera i trojan downloadera.
Po efektach, jakie mogę zaobserwować na ekranie w sumie trudno mi w to uwierzyć. Nie dzieje się bowiem prawie nic, poza tym dwurazowym (w ciągu ostatniego tygodnia) skaczącym pingiem. Na przestrzeni lat też w sumie zbyt wiele się nie wydarzyło. Jedynym dziwnym wydarzeniem był komunikat przy wyłączaniu Windowsa, pytający mnie, czy na pewno chcę wyłączyć komputer, jeżeli liczba połączonych ze mną użytkowników wynosi: 2. Zdarzyło się to w sumie chyba jedno- czy dwukrotnie.
Od czasu do czasu komputer też coś "rzęzi" po dysku twardym bez wyraźnego powodu, ale w gruncie rzeczy robił to od zawsze (co jednak o niczym nie świadczy, bo komputer ma właśnie 3 lata), więc przestałem na to zwracać uwagę. Robił to zawsze w czasie zwykłej pracy, nigdy w czasie oglądania filmów, grania w gry, czy też robieniu czegoś równie zasobożernego. Potrafił za to robić to w czasie oglądania filmów na youtube, co owocowało kilkusekundową przerwą w odtwarzaniu klipu.
Tak czy inaczej postanowiłem pozbyć się problemu. Nie jestem jednak ekspertem od bezpieczeństwa i nie wiem, czy koniec końców ten program mi coś ściągnął, czy też nie. Co oznacza, że nie wiem, czy nie mam jeszcze jakichś innych infekcji poza wspomnianą. Sam secpol tak wielkim problemem nie jest - nadal mam kilka pomysłów na usunięcie go, choć raczej dość amatorskich (np: próba usunięcia go za pomocą płyty z bootowalnym Linuxem). Nie wiem jednak, czy w ciągu tych trzech lat nie dostałem w prezencie czegoś jeszcze. Dlatego postanowiłem zwrócić się do Was.
Do sprawy starałem się podejść jak najbardziej poważnie. Usunąłem Daemon Tools i wszystkie pozostałości po nim zgodnie z zaleceniami. Wygenerowałem wszystkie logi. Przy generowaniu pierwszego loga za pomocą OTL, Avast oskarżył tenże program o szkodliwe działanie wobec systemu i poinformował mnie o tym, że zamierza zakończyć jego działanie. Najwyraźniej jednak jego starania w tym względzie były mizerne, gdyż log się wygenerował. Niemniej jednak postanowiłem powtórzyć skan, tym razem z wyłączonym avastem. Z dość dużym zdziwieniem zauważyłem, że drugi log nie zawiera informacji o pliku secpol.exe, podczas gdy ten pierwszy takową posiada. Powtórzyłem test, z podobnym efektem. Uznając, że pierwszy log jest najbardziej wiarygodny, zamieściłem go poniżej.
Do tego wygenerowałem loga opcjonalnego:
To chyba wszystko. Ogólnie rzecz biorąc to nie do końca wiem, jak ten komputer powinien się działać, bo wygląda na to, że znam go tylko jako... "osobnika chorego".
Za ewentualną pomoc - serdecznie dziękuję. Wskazówki odnośnie podniesienia poziomu zabezpieczeń również będą mile widziane i postaram się wprowadzić je w życie.
gmer.txt
OTL.Txt
Extras.Txt