part

Dzięki wszystkim za odzew. Office 2010 już raz odinstalowywałem' date=' a później jakimś cudem znów widziałem w "programach i funkcjach". Da się tego jakoś łatwo pozbyć raz na zawsze? Przerażające, że 2 tygodnie po instalacji systemu połowa oprogramowania jest do wymiany Ale akurat wymienione rzeczy powinny się zaktualizować same. FX nawet już to zrobił Ciekawi mnie, że nie przyczepiłaś się do IE8. A jeszcze bardziej to, że dziewiątka nie spłynęła sama z WU. Myślę, że możemy przejść do tego: Polecacie coś?

Pytanie o to czy rootkity atakują sterowniki było raczej retoryczne @up - raczej chodzi o dysk systemowy, bo podczas tworzenia logów nic nie było podpięte. Dzięki za odzew, spodziewałem się, że to fałszywy alarm, ale wolałem się upewnić. Program dd wypluł coś takiego: Nie mam pojęcia czym jest dysk Q, chyba jakiś program mi go już pokazywał, system nie widzi. Strzelam, że to partycja recovery? Z uruchomieniem MHDD bedzie problem ze względu na brak napędu optycznego (netbook). Spróbuję z USB jeżeli uznacie po powyższym logu, że jest to potrzebne. Ale to już nie dziś. Dodam jeszcze, że to nowy komputerek - używany raptem 2 tygodnie, niezbyt intensywnie, oczywiście na gwarancji, ale wolałbym się z nim nie rozstawać nawet na 1 dzień, bo jest potrzebny, więc mam nadzieję, że dysk jest sprawny. Poza opisywanymi przypadkami nie sprawia póki co żadnych problemów, trochę czasem muli, ale to może być tylko takie wrażenie, bo na co dzień używam dużo mocniejszego sprzętu. Edit: Doczytałem datę i godzinę - jest to noc po dniu, w którym kupiłem kompa, używa go moja dziewczyna i nie ma pewności, ale wydaje jej się, że o 4 rano tej nocy już spała, a komp był wyłączony. Nie przypomina sobie żadnych problemów z działaniem. Kojarzę, że świeżo po instalacji systemu była lekko przestawiona data, nie pamiętam o ile, ale niewiele (1 dzień brzmi prawdopodobnie) - być może zatem błąd wystąpił zanim otrzymałem kompa?

Znaczy się rootkity nigdy nie atakują systemowych sterowników?

Witam. To co tu napiszę może być niezwiązane z problemem, ale wychodzę z założenia, że lepiej za dużo, niż za mało Od kilku dni przestał się wczytywać Gmail w Operze, ale tylko jedno konto nie działało. Nie pomagało czyszczenie cache ni reinstalacja Opery. Za namową znajomego użyłem opcji przywracania systemu do stanu z dnia, w którym wszystko działało. Nie pomogło, a zniknęło trochę softu zainstalowanego w międzyczasie, więc chciałem cofnąć przywracanie i zaczęły się jaja - po przywróceniu system się nie uruchamiał, odpalało się tylko narzędzie do naprawy systemu przy starcie, które żeby było śmieszniej było po angielsku, mimo, że zaznaczyłem tam język polski. Narzędzie początkowo mimo długiego mielenia dyskiem nie mogło naprawić problemu, ale po 2 albo nawet 3 użyciach, kiedy już w sumie straciłem nadzieję, nagle system się uruchomił i wszystko było OK (sądząc po zainstalowanych aplikacjach przywracanie systemu zostało cofnięte). Potem wykonałem standardowe czyszczenie dysku ze śmieci (używam do tego CCleanera) i defragmentację "boot time" ze sprawdzeniem dysków programem Puran Defrag. Nie byłem pewien, czy ma ona zastosowanie do wszystkich plików, czy tylko do systemowych, więc odpaliłem jeszcze "normalną" defragmentację tym samym programem, podczas której Avast wywalił komunikat o rootkicie wrzucony w załączniku. Kliknąłem OK, zawiesił się Puran Defrag, a Avast wyrzucił drugie takie samo okienko. Mlasnąłem ponownie OK, Avast poinformował mnie, że chciałby zrestartować kompa, coby poskanować sobie pliki przy boocie, a poprosił mnie o to tak grzecznie, że poczułem się oczarowany i pozwoliłem. Nie znalazł nic. No i w zasadzie tyle. Niby już czysto, ale chcę się upewnić, więc wykonałem logi. Plik, o który Avast się rzucał nadal istnieje, ale już się o niego nie rzuca, ręczne skanowanie też nic nie znajduje. Z uwag technicznych: Defoggera użyłem już po wykonaniu loga z OTL, ale nic chyba nie zablokował i nawet nie chciał restartować kompa, więc myślę, że to nie zaszkodziło. Nie mam pojęcia skąd mógłbym mieć rootkita, gdyż nic podejrzanego nie było odpalane/ściągane, a komputer moim zdaniem jest wystarczająco zabezpieczony, choć oczywiście jeżeli się mylę proszę o wskazanie mi ewentualnych kroków, które warto podjąć. A może to był fałszywy alarm? PS: Przy okazji - staram się uważać na to co instaluję, ale jeżeli w systemie są jakieś zbędniki, to proszę o ich wskazanie, chętnie się pozbędę Results of screen317's Security Check version 0.99.18 Windows 7 Service Pack 1 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: avast! Free Antivirus WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: CCleaner Java 6 Update 26 Adobe Flash Player 10.3.183.5 Mozilla Firefox (x86 pl..) ```````````````````````````````` Process Check: objlist.exe by Laurent AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe ``````````End of Log```````````` skan1.txt skan2.txt OTL.Txt Extras.Txt defogger_disable.txt

Wybaczcie post pod postem, ale minęło już kilka dni i nie jestem pewien, czy moje edycje zostały zauważone Poza tym mam pytanie - ile GB optymalnie przeznaczyć na przywracanie systemu?

Dzięki za pomoc, wykonam to co piszesz pod wieczór i się odezwę najpóźniej jutro. Co do dokładniejszego raportu z Avasta załączę więcej informacji jak tylko znowu coś wyskoczy, niestety jak napisałem to wyskakuje raz na jakiś czas i ciężko wywołać celowo, ale jak już wyskoczy raport tu będzie. Torrenty są pobierane z prywatnych trackerów (z passkeyem), trzeba mieć konto, aby je pobrać. Korzystam z nich na co dzień, dużo seeduję (uTorrent chodzi 24h na dobę), a jak Ci dam plik torrent i spróbujesz go pobrać, to połączenie z 2 różnych IP z tym samym passkeyem zaowocuje odrzuceniem połączenia przez tracker i być może banem dla mnie, więc to raczej odpada. Ewentualnie mogę sobie odpuścić ściąganie/seedowanie na parę dni i zarzucić Ci przykładowego torrenta do diagnostyki, wtedy nie powinni się czepiać, ale może zostawmy to na koniec. Wira znajduje w różnych torrentach pobieranych z różnych stron. Wcześniej pobierałem z nich i nie znajdował. Na stronie nikt nie raportował, żeby gdzieś mu wykrywało wiry. Pliki są wrzucane przez różne grupy. Jest mała szansa, że ludzie uploadujący te pliki się czymś zarazili i rzeczywiście pliki po prostu są zawirusowane, ale jakoś dziwnie mi się to zbiegło w czasie z tymi padami łącza i z moją chwilową nieobecnością w domu gdzie domownicy mogli coś namieszać, co mnie zaalarmowało. Zdaję sobie sprawę ze złych skutków małej ilości wolnego miejsca na C i na pewno wykonam zalecone rady plus będę wdzięczny za dalszą asystę. Na przyszłość - znasz jakiś darmowy program, który pozwoli to przepartycjonować nie chrzaniąc jednocześnie tego, że są 2 systemy i partycje Linuksa itp? ================================================================================================== Edit: ================================================================================================== W złym dzienniku szukałem - sprawdzałem dziennik skanowania na żądanie, a info zapisało się do osobnego dziennika osłony P2P, nie wiedziałem, że Avast ma osobne. Znalazłem taki wpis: Plik: sciezka\nazwa_pliku.r45|>crd.exe ( nie jestem pewien co oznacza tu "|>") Poziom zagrożenia: wysoki Stan: Zagrożenie: Win32:Malware-gen Akcja: Przenieś do kwarantanny Wynik: Czynność zakończona powodzeniem. Avast nic więcej nie pokazuje i podczas gdy alertował też więcej informacji nie widziałem. Jedyne czego nie zapamiętałem, to czy cdr czy crd - teraz to już jasne - crd.exe. Zrobiłem mały trik - zatrzymałem udostępnianie tego torrenta i wybrałem "ponowne sprawdzanie" - okazuje się, że torrent nie był pobrany w 100%, mimo, że uTorrent tak pokazywał (ponad doba seedowania za mną) - brakowało trochę danych właśnie w tym pliku, w którym wtedy wykryto wirusa. Dane dociągnąłem i tym razem Avast się nie rzucał. Plik przeskanowałem - jest czysty. Wrzuciłem go na VirusTotal (zmieniłem jedynie nazwę pliku): http://www.virustotal.com/file-scan/report.html?id=cff89735834e005a82f88e753584ff989c367b49e45231b4abe02e8fccd55564-1305667577 Przeskanowałem cały folder, w którym siedział plik - czysto (avast ma włączone szukanie wewnątrz archiwów). Wewnątrz archiwum WinRAR widzi tylko jeden plik avi. Moja teoria, nie wiem czy możliwa, ale jedyna, jaka wydaje mi się prawdopodobna - mam w systemie coś, co próbowało zainfekować ten plik (podmienić część pliku) podczas, gdy uTorrent zapisywał go na dysk i Avast na to nie pozwolił. Podczas ponownego pobierania to coś już nie zaatakowało (wydaje się, jakby atakowało w losowych momentach). Słyszałem o wirusach, które "dopisują" się do exe i po takiej operacji exe działa, ale podczas jego działania pliki są infekowane. Wrzuciłem na VirusTotal pliki uTorrent.exe, WinRAR.exe, Rar.exe - wyniki ładne, tylko 1 raz "suspicious" dla uTorrent: http://www.virustotal.com/file-scan/report.html?id=c5f3206b895eec7d9d482cde0e3795921435eb1b08d5b182facbcfbd5f757b0c-1305668558 Nie bardzo wiem gdzie dalej szukać i z jakiej strony jeszcze można to ugryźć. Tyle w kwestii wirusa, zabieram się za wykonywanie rad optymalizacyjnych i odezwę się niebawem. ================================================================================================== Edit: ================================================================================================== SumatraPDF jest super, dzięki za polecenie. Foxit Toolbar jak i Reader poleciały, przy okazji skasowałem nieaktualną javę. TFC za pierwszym razem się zawiesił, za drugim wykasował jakieś kilkadziesiąt MB - zawsze coś. Aktualizacji dużo nie było, ale też kilkadziesiąt MB więcej wolnego. Pierwsza metoda na usunięcie kopii zapasowej po SP1 nie usunęła nic, zastosowanie drugiej pomogło (ok. 3 GB miejsca się zwolniło). Przeniosłem ok 2 GB danych z pulpitu na inny dysk. I wciąż mam niedosyt... 10,5 GB to już 2 razy więcej niż wcześniej, ale nie mam pojęcia ile zeżre System Restore jak je włączę. Wygenerowałem raport z poleconego narzędzia, wersję png wrzucam w załączniku, wersja txt do pobrania z zewnętrznego serwera ze względu na rozmiary (9 MB): [KLIK] Czy coś jeszcze można z czystym sumieniem wykasować? Czy 1 GB na pagefile to dobry wybór przy 4 GB RAM? Czy dobrym pomysłem jest ustawienie tego na auto? Czy dobrym pomysłem jest przeniesienie tego na inną partycję? To samo się tyczy hiberfil. Ile powinno być wolnego miejsca na C, aby po włączeniu System Restore zostało tyle, aby nie powodowało zwalniania ani problemów przy aktualizacji (zakładając, że nie planuję w najbliższym czasie instalować nowego softu)?

Z góry przepraszam za ilość tekstu, starałem się jak najdokładniej opisać sytuację i tyle wyszło OS: 2 systemy - Win7 Pro x64 PL z SP1 (oryginalny, auto-uaktualniany) i Ubuntu x86 (uaktualniany raz na jakiś czas). Przy starcie kompa uruchamia się grub i domyślnie jest ustawiony start Windows. Priorytetem jest, aby nie trzeba było przeinstalowywać systemów, ani nie naruszyć w/w stanu rzeczy - oba systemy są na co dzień potrzebne. Zabezpieczenia Windows: System Restore OFF (wszystkie dyski), Avast Free (auto-aktualizowany), domyślny systemowy firewall, system za natem, ale na routerze otwarte porty do uTorrenta i kilku innych aplikacji. Czasem się z Windows Update ściąga jakieś narzędzie do usuwania syfu od MS, ale nie mam pojęcia czy to w ogóle działa i jak, ręcznie nic takiego nie było nigdy uruchamiane. Wszystkie gry i aplikacje oryginalne (głównie free). Żaden użytkownik nie przypomina sobie, żeby kiedykolwiek uruchamiał cracki, keygeny, aplikacje podejrzanego pochodzenia, ale wiadomo - pamięć lubi zawodzić Problem: Podczas pobierania plików uTorrentem (pliki są raczej czyste - wieloczęściowe archiwa z plikami avi, pobierałem je na innym komputerze z Avastem i nie było problemów) Avast czasami alertuje, że wykrył Win32:Malware-gen w uTorrencie - w jakiejś części pobieranego archiwum wykrywa zawirusowany plik crd.exe lub cdr.exe - nie pamiętam dokładnie (WinRAR nie widzi w archiwum takiego pliku). Dany part archiwum ląduje w kwarantannie, po ręcznym przywróceniu Avast nic w nim nie wykrywa. Niestety Avast ma wyłączone logowanie takich rzeczy do dzienników, a ja widząc ostatni raz ten błąd nie pomyślałem, aby spisać dokładniejsze informacje. Alert ciężki do celowego wywołania - występuje sam z siebie raz na jakiś czas (nie w każdym pobieranym pliku, tylko w niektórych). Objawy, które mogą, ale nie muszą być spowodowane wirusem: Grzanie - wiatrak często pracuje na wysokich obrotach przy prawie-bezczynności - może to wina kiepskiego chłodzenia, z którym już wcześniej były problemy. W systemowym menadżerze nie widać procesów, które by nadmiernie męczyły proca. Zrywy połączenia z Internetem - może być winą ISP (wcześniej były takie problemy) lub routera. Swego czasu gdy miałem dużo plików w uTorrencie połączenie padało przy wyłączaniu uTorrenta i leżało martwe aż do restartu routera - wtedy się aktualizował tracker na bardzo dużej ilości torrentów, myślę, że po prostu router tego nie wytrzymywał. Teraz torrentów jest mniej i połączenie już nie pada w tym konkretnym momencie, ale zdarzają się sporadyczne pady w momentach, w których raczej nie dzieje się w systemie nic szczególnego, samo się naprawia po paru sekundach. Poza tym system wydaje się działać w porządku, zero zwisów, restartów, podejrzanych komunikatów czy innych niecodzienności. Maszyna mocna, nie jest specjalnie obciążana, więc niewykluczone, że ewentualny spadek wydajności po prostu nie jest zauważalny. Podjęte przeze mnie kroki: Zaktualizowano ręcznie Avasta z wersji 6.0.1 na 6.0.11.25, upewniono się, że definicje są aktualne, dociągnięto jedną aktualizację z Windows Update, po restarcie kompa wykonano pełny skan systemu - nie znaleziono żadnego zagrożenia. Uruchomiono HiJackThis i SilentRunners w jakichś archaicznych wersjach, które miałem zachomikowane - pierwszy wywalał errory, drugi nie rozpoznał systemu, wtedy uświadomiłem sobie, że moje doświadczenie w diagnostyce jest mocno nieaktualne i podjąłem decyzję o zasięgnięciu pomocy u was. Ze względu na obecność Alcohola 52% i StarBurna rozchmurzono peceta Defoggerem. Być może bez potrzeby, bo żaden napęd wirtualny nie był widoczny w systemie. Użyłem na wszelki wypadek i dołączam log. Wygenerowano log Z OTL. Wg instrukcji wszystko pięknie się zrobiło, dołączam do posta. Odptakowałem opcję "pomiń znane dobre pliki" niewidoczną na screenie z przykładową konfiguracją przez analogię to tej z plikami MS. Zmieniłem też domyślne 30 dni na 40, bo wtedy nie było mnie w domu przez kilka dni i może ktoś coś nabroił. Jest też ten drugi opcjonalny z SecurityCheck - jak szaleć, to szaleć W przypadku gdyby okazało się, że system został zainfekowany poza pomocą w leczeniu proszę o informację czy jest możliwe, że przez zainstalowany syf ktoś uzyskał np. hasła do banku? Proszę także o info czy infekcja mogła rozprzestrzenić się na nagrywane ostatnio płyty CD, podpinane pamięci flash, tworzone archiwa itp. Czy mam ostrzegać innych użytkowników sieci lokalnej i osoby, którym wysyłano jakieś pliki? Generalnie jakie szkody mogły zostać poczynione? Prosiłbym także o info czy można coś zrobić w kierunku optymalizacji startu itp - jakieś zbędne usługi czy aplikacje uruchamiane przy starcie... o ile widać coś takiego w tych logach Results of screen317's Security Check version 0.99.11 Windows 7 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: avast! Free Antivirus WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Out of date HijackThis installed! HijackThis 1.99.1 Java 6 Update 24 Java 6 Update 22 Out of date Java installed! Adobe Flash Player 10.3.181.14 Mozilla Firefox (x86 pl..) ```````````````````````````````` Process Check: objlist.exe by Laurent Alwil Software Avast5 AvastSvc.exe Alwil Software Avast5 AvastUI.exe ``````````End of Log```````````` Edit: Połapałem się, że po zmianie z 30 na 40 dni OTL zrobił listę z "All days" zajmującą 2 MB Generuję jeszcze jeden log, zaraz go wrzucę, a ten usunąłem. Edit2: Done. defogger_disable.log.txt OTL.Txt Extras.Txt