zafrasowany

Witam, Windows XP Home SP3, Comodo Internet Security, używam IE 8. Podczas rutynowego skanu 13.11 a następnie 20.11 (tydzień wcześniej umknęło to mojej uwadze) Comodo wykrył dwa pliki malware w Java cache, a konkretniej:. C:\Documents and Settings\Paweł\Dane aplikacji\Sun\Java\Deployment\cache\6.0\9\322ad149-6eacfbbd|bnmbnmbnma.class Malware@gj25r5tl13x8 C:\Documents and Settings\Paweł\Dane aplikacji\Sun\Java\Deployment\cache\6.0\9\322ad149-6eacfbbd|NewClass1.class Malware@2m90zm28o2m2g Brak objawów infekcji, ale dużo się pisało w ostatnich miesiącach o groźnych Java exploitach. Zastanawia mnie, czy wspomniane malware w cache Java oznacza, że odwiedziłem jakąś zainfekowaną stronę, o czym Comodo nie poinformował mnie w czasie rzeczywistym, a dopiero później przy rutynowym skanie i na tym koniec..., czy też jest ryzyko, że mogło dojść do infekcji i że zainstalował się u mnie niewidoczny backdoor / rootkit /keylogger? Od tego czasu odinstalowałem starą Javę i zainstalowałem najnowszą wersję (a następie wyłączyłem Javę w przeglądarce) oraz wykonałem kolejny skan Comodo, a również skany Malwarebytes, Microsoft Safety Scanner oraz DrWeb w trybie awaryjnym... nic nie wykryto. Mimo to kierując się zasadą dmuchania na zimne a nie mając wystarczającej wiedzy o działaniu i ryzyku związanym z exploitami Java, załączam wymagane logi i proszę o opinie. Pozdrawiam i z góry dziękuję (EDIT: przepraszam za różne czczionki, posta napisałem na brudno w Outlooku zanim odnalazłem hasło do mojego profilu na tej stronie, potem dałem kopiuj-wklej). OTL.Txt Extras.Txt gmer.txt

Witam! komputer stacjonarny, dosc archaiczny, 8-letni, Pentium 4 CPU 2.4 GHz w tym czasie jedyny "format" - poczatek 2009 roku, wymiana twardego dysku, upgrade pamieci do 1.5 GB RAM i tym samym ponowna instalacja Windowsa XP Home... Zdaje sobie sprawe, ze to staroc, kompletna wymiane planuje dopiero na polowe 2012. Dla mnie osobiscie zawsze priorytetowe jest bezpieczenstwo; przed malware chroni CIS Comodo, skanowalem tez ostatnio DrWeb'em i regularnie, co ok 10 dni skanuje Malwarebytes; wydaje mi sie, ze nie mam infekcji. Ponizsze problemy (o ile nie wiaza sie z zadna infekcja) nie sa AZ tak wazne, ale mimo to denerwujace, wiec prosilbym o probe zdiagnozowania. od ok 3 miesiecy zaobserwowalem: 1. wieszanie calkowite, srednio raz na pare dni... generalnie muzyka z youtube nagle przestaje grac, stopniowo wszystko sie zamraza, z czasem kursor myszki przestaje reagowac zawsze po takiej sytuacji szybko recznie restartuje, ale kiedys akurat bralem kapiel, jak wrocilem, wszystko bylo zamrozone, nawet zegar byl zatrzymany tych 10 minut do tylu! 2. raz na pare dni, (ale bez widocznego bezposredniego zwiazku przyczynowo-skutkowego z problemem nr 1) pojawia mi sie komunikat o braku pamieci wirtualnej, zalaczam zrzut ekranu z rownoczesnym uchwyceniem wartosci pamieci w tamtym momencie (dosc wysokich wartosci, "limit" podniesiony, zawsze jest tam wartosc "29..."" ) http://wstaw.org/m/2...1/07/pamiec.JPG. Generalnie, jak odpalam kompa, to w menedzerze zadan -> pamiec zadeklarowana -> wartosci "Razem i "Szczyt" sa dosc niskie w miare uplywu godzin te liczby maja tendencje zeby rosnac (przewaznie mam stala liczbe otwartych okien IE, okolo 5, w kazdym po ok. 2-3 zakladki). Z gory obawiam sie, ze sugestia jakiejs zmiany w moich konfiguracjach wywola dyskusje na pare postow, z racji mojej nieznajomosci tematu, specyfiki mojej konfiguracji i z racji tego, ze przedsmak dyskusji z Picasso o pamieci wirtualnej/pliku wymiany mialem tutaj. (ale wtedy byl to watek dosc poboczny) http://www.fixitpc.p...ta-w-rejestrze/ dodam jeszcze, ze 3 lata temu, przed ponowna instalacja systemu, rowniez pojawialy sie te komunikaty o braku pamieci wirtualnej, z czasem (tzn az do restartu) przestawaly dzialac rozne funkcje np. kopiuj wklej) , teraz dmucham na zimne i od razu po tym komunikacie restartuje, nie czekajac na to, zeby zobaczyc jak zmieni sie ewentualnie praca kamputera oto moje obecne ustawienia http://wstaw.org/m/2...c_wirtualna.JPG przypomne tez, ze mam caly dysk zaszyfrowany TrueCryptem 3. blad powodujacy zamkniecie IE - sporadyczne, w sumia malo wazna sprawa, ale kiedys tego nie bylo. Konkretnie chodzi o blad mshtml, http://wstaw.org/m/2.../07/blad_ie.JPG Zalaczam logi OTL, log Autoruns (czytelnosc dosc kiepska w pliku .txt) i ponizej securitycheck. Suma sumarum - z gory dzieki za spojrzenie na te problemy. pozdrawiam! Results of screen317's Security Check version 0.99.24 Windows XP Service Pack 3 x86 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: COMODO Internet Security ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware CCleaner Java™ 6 Update 29 Adobe Flash Player ( 10.3.183.10) Flash Player Out of Date! Adobe Reader X (10.1.1) Mozilla Firefox (x86 en-US..) ```````````````````````````````` Process Check: objlist.exe by Laurent Comodo Firewall cmdagent.exe Comodo Firewall cfp.exe ``````````End of Log```````````` OTL.Txt Extras.Txt AutoRuns.txt

no i sie troche teraz pogubilem napisalas wczesniej 'O tym nie wiem co sądzić, bo wg raportu jest plik wymiany i to duży: 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 59,00% Memory free 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 74,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data]" a potem, ze Truecrypt wymusil wylaczenie pliku wymiany rozumiem, ze na to wskazuje blad przy starcie systemu, ale czy screenshot tez ? oto moje obecne ustawienia, nic nie zmienialem jeszcze, ani nawet nie jestem pewien co zmienic link - zrzut ekranu

witam raz jeszcze, nie chce naduzywac uprzejmosci, bo zaczalem od "rootkita" ale potem Ty sama zwrocilas mi uwage na inne rzeczy.. a wiec: wylaczylem uslugi zalezne czyli co byloby optymalnym ustawieniem dla pliku wymiany w tej sytuacji? jesli da sie to krok po kroku (ale bardzo skrotowo) opisac, bylbym wdzieczny generalnie to ta sytuacja z tym bledem ma raczej miejsce juz od 2 lat, od czasu zmiany dysku, instalacji na nowo systemu i szybkiego "zatruecryptowania" go moja wiedza w tym zakresie nie jest najwieksza, delikatnie rzecz ujmujac aha, ogolnie oprocz bledu o ktorym teraz mowimy, a wiec oprocz Error - 2011-03-21 18:23:04 | Computer Name = PAWEL | Source = Ftdisk | ID = 262193 Description = Konfigurowanie pliku strony dla zrzutu awaryjnego nie powiodło się. Upewnij się, że na partycji rozruchowej znajduje się plik strony i że jest wystarczająco duży, aby zawierać całą pamięć fizyczną. przy starcie komputera jest jeszcze jeden blad: KLIK Dzieki raz jeszcze za poswiecony czas

to dobrze Co do mojej osoby, o ile 5 lat temu bylem szczerze zdziwiony, gdy ktos powiedzial mi, ze fakt, ze jeden antywirus nie znalazl wirusa, nie swiadczy o tym, ze na 100% komp jest czysty, o tyle od tego czasu troche sie doksztalcilem, a do tego stalem sie bardzo ostrozny, (no bo nie powiem sam o sobie, ze prawie-paranoikiem... ). Nie wiem, czy wolalbym ukryta kamere we wlasnej sypialni czy keyloggera na kompie skrypt wykonalem, dzieki a czy te bledy w czyms przeszkadzaja? bo to, ze rejestruje je Dziennik Zdarzen, to maly problem dla mnie BTW oprocz WWDC uzylem tez kiedys SeconfigXP, a takze zastosowalem sie do Twoich b. starych postow ze starego forum, na ktorym pisalas, jakie uslugi lepiej powylaczac w Windowsie XP, dla zwiekszenia bezpieczenstwa i przyspieszenia pracy. Moze tamte modyfikacje rowniez wplywaja na niektore alerty w Dzienniku zdarzen, ale jak mniemam sa to rzeczy jednak dosc drugorzedne. zrobione, dzieki cos luzno pamietam, ze przy instalacji TrueCrypta dla dodatkowego bezpieczenstwa zalecane byly jakies machlojki z plikiem wymiany. Ale szczegolow za zadne skarby nie przytocze. Moze to ma z tym zwiazek, moze nie... ale nawet jesli nie, to chyba nie powod, zeby byc znowu slightly_concerned BTW kiedys za zadne skarby nie wiedzialem, (i w sumie do dzis nie wiem) skad sie bierze sporadyczny alert w Dziennik Zdarzen -> System (event ID 4226) "protokol tcp/ip osiagnal limit zabezpieczen ustalony dla prob rownoczesnych polaczen TCP". Ludzie mowili, ze albo korzystam a p2p, albo mi wirus na kompie spam rozsyla, ale ani to ani to nie mialo miejsca. Alert ten mam sporadycznie do dzis, i mialem go tez tuz po zmianie dysku na nowy ze sklepu i natychmiastowym zainstalowaniu wszystkich zabezpieczen. W sumie nie pytam o to, tylko przytaczam jako zdarzenie z dziennika zdarzen, nie do konca jasne. dzieki za rekomendacje, GG 7.7 uzywam dlatego, bo za zadne skarby nie wejde na nowsze wersje, pelne reklam i zbednych dodatkow. Rozwaze zmiane na cos innego, choc wtedy chyba strace dostep do dosc sporego archiwum. super, no to wyjasnilo sie juz nie na 99,98% ale na 100%, ze to false positive w sumie pomylilo mi sie, myslalem, ze mbrcheck.exe to to samo co mbr.exe nie wiem, ktory z nich jest bardziej miarodajnym narzedziem w celu wykrywania infekcji typu rootkit MBR (chodzi mi o teoretyczna sytuacje, a nie moj przypadek). dla pewnosci, zrobilem tez 3 sekundowy skan mbr.exe i wynik jest OK: Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: SAMSUNG_HD252HJ rev.1AC01113 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Pobiezna lektura internetu wskazala, ze wylaczenie zbyt wiele w WWDC uniemozliwia jakos windowsupdate, ale tym razem akurat bardzo mozliwym jest, iz to zle doczytalem. gdy polaczylem sie z windowsupdate.com przez IE pojawily mi sie w 'outbound connections" w Comodo podobne adresy IP do tego, z ktorym laczyl sie svchost wtedy kiedy WWDC zalarmowal mnie o tym, ze svchost zuzywa za duzo pamieci, wiec wszystko wskazuje na to, ze to istotnie Microsoft ! Ogolnie to bardzo dziekuje za pomoc.

Witam , widze, ze picasso przeniosla sie tutaj z innego forum wiec ja rowniez tak uczynie. Ok , nie powiem, ze bedzie krotko, ale za to maksymalnie konkretnie. Windows XP Home sp3, komputer stacjonarny pamietajacy czasy gdy ludzie nie znali Youtube, 2 lata temu zmiana dysku i upgrade ramu, a tak to wielka staroc.. no ale moj jedyny jak na razie. Ochrona-wczesniej AVG i Comodo Firewall, teraz ok 2 msc temu wyrzucilem AVG i mam tylko caly pakiet Comodo (najnowszy CIS ). W CIS wlaczylem opcje skanera rootkitow (heurestics - low). Program znalazl Rootkit.HiddenValue@0 w HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load co ciekawe, nie widac tego "load' w tej galezi rejestu w Regedit, ani nawet w Regalyzer. na forum Comodo pare osob mialo podobne problemy z "rootkitami" (?) i u nich rowniez tych wartosci w rejestrze nie widac. Screen z Regedit nie wiem dlaczeg Comodo widzi tam ten "load" i twierdzi, ze to rootkit. Wskutek tego, iz pare innych osob mialo podobne problemy na forum Comodo, i wskutek przeskanowania kompa: SuperAntiSpyware, Dr Cure It Web, Malware Bytes (nie wykazaly zadnych infekcji) a takze RootkitRevelerem i Sophos Anti Rootkit (nie pokazaly problemow w HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load ) stwierdzilem, ze z duza doza prawdopodobiensta to jakis FP. Uzylem ponadto rowniez Registry Trash Key Finder, Ccleaner, Comodo System leaner oraz Wise Registry Cleaner, a wiec imponujaca liczba narzedzei, ale zadne z nich nie wyczyscilo rejestru na tyle, zeby Comodo przestal pokazywac tego "rootkita". No ale naszlo mnie i uzylem rowniez MBRCheck.exe, zalaczam log. Znalazl on Unknown MBR Code co mnie najpierw przestraszylo, ale za chwile stwierdzilem, ze to moze roniez nie jest powod do niepokoju, albowiem mam partycje C zaszyfowana TrueCryptem (pre-boot password authentication). Wiec moze to ten TrueCrypt jest powodem tego nieznanego kodu MBR? Licze, ze ktos na to spojrzy trzezwym i eksperckim okiem No i na tym bylby koniec, gdyby nie fakt, iz po zainstalowaiu WWDC.exe i zamknieciu wszystkich portow, lacznie z opcja na samej gorze, port 135 i usluga DCOM, wszystko bylo OK, ale dzisiaj jak wlaczylem ponownie WWDC, pojawil sie komunikat "Your system seems to be infected by a virus, your SVCHOST virtual memory usage (dokladnej wartosci nie zapisalem), is beyond usual values. It is strongly advised to check your sytem with an anti virus up to date and an antiTrojan" Mniej wiecej w tym samym czasie w Comodo widzialem, ze svchost laczy sie z adresem 65.199.63.7 ( screen ) o ktorym nie znalazlem w google nic odobrego ani zlego. No ale dzis wtorek, czas na windows update , w pogladzie zdarzen znalazlem, ze update sie nie udala, byc moze dlatego, ze pare dni wczesniej w WWDC zablokowalem DCOM (to moj calkowicie "wild guess"). Reasumujac, zalaczam log gmera, dwa logi z OT i log z MBRcheck.exe Uprzejie prosze o 1. przejrzenie logow 2. zinterpretowanie tego dziwnego wyniku z Comodo Rootkit.HiddenValue@0 w HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load 3. Zinterpretowanie logu MBR Check.. czy to kod True Crypta czy znak infekcji rootkitem MBR? 4. zinterpretowanie komunikatu WWDC o przekroczeniu pamieci svchost. Czy to mozliwe i prawdopodobne, ze svchost sciaga windows update i nie moze jej zainstalowac, bo WWDC wylaczyl zbyt wiele? Jesli tak, to jak przywrocic mozliwosc automatycznej aktualizacji windowsa? dodam, iz nie widac na kompie sladow infekcji, ale ja sie nie boje wyskakujacych reklam lub fake-komunikatow o wirusie. Mi glownie chodzi o bezpieczenstwo, prywatnosc i swiadomosc, ze jestem na prawie 100% wolny of infekcji i moj komputer nalezy tylko do mnie pozdrawiam i z gory dziekuje MBRCheck_03.22.11_01.02.52.txt gmer.txt OTL.Txt Extras.Txt