ichito

Wybacz Ukash...nawet spora dawka rozumu czasem nie będzie Cię w stanie uchronić przed zainstalowaniem czy uruchomieniem niechcianych elementów. Po pierwsze - nie wiemy do końca czego unikać, po drugie nic, co masz zainstalowane w komputerze Cię nie ostrzeże, po trzecie - z poprzedniej właśnie przyczyny już nie to, że niewłaściwie zareagujesz na takie próby, ale w ogóle nie zareagujesz. Jakieś możliwości daje Panda CA, ale to eliminuje tylko część potencjalnego zagrożenia.

Returnil Virtual System to pierwszy program do wirtualizacji dysków, który poznałem bardziej, niż inne...to program, którego rozwój obserwowałem "na żywym organizmie" przechodząc prze kolejno instalowane wersje stabilne od RVS 2008, poprzez wszystkie chyba buildy RVS 2010 Beta, a skończywszy na kolejnych wersjach stabilnych RVS 2010 Home i Home Lux. Dlatego zaintrygował mnie mail od Returnila o nowościach, jakie wprowadził: * pierwsza to całkiem świeżo założony blog pod nazwą "RETURNIL - the Real Security", który oprócz aktualności na temat firmy i produktów...jak widać po artykułach...poruszać będzie zagadnienia szeroko pojętego bezpieczeństwa, ewentualnych zagrożeń, itp. Blog się rozwija i pewnie niedługo będzie bardziej bogaty w treść...póki co, ze względu pewnie na niedawny start pomysłu, jest dość ubogo. Interesująca informacja - RVS otrzymał ocenę pięciu gwiazdek od prestiżowego na rynku amerykańskim portalu Bright Hub (portal nastawiony na prezentowanie nowości i osiągnięć w różnych dziedzinach nauki i technologii - ok. 800 tys. wejść w miesiącu!). Blog Returnila jest dostępny tu RVS blog * następna nowość to wersja eksperymentalna RVS nosząca obecnie nazwę Returnil Virtual System Lite 2011 Beta (poprzednia nazwa edycja Labs). Ta wersja przynosi sporo zmian, o których słów kilka: - pierwsze, co rzuca się w oczy - nowa wersja w swojej formie nawiązuje do RVS 2008 - układ paneli funkcyjnych jest na powrót zakładkowy, a nie jak w teraz w wersji stabilnej przełączniki paneli mamy z boku okna programu - brak modułu Virus Guard - podkreślam to, ponieważ jak Returnil sam podkreśla, że postawiono m.in. na lekkość pakietu i w związku z tym plik instalacyjny ma teraz zaledwie 3 MB przy poprzednich 35 MB - możliwość wirtualizacji wszystkich napędów stałych w komputerze - to istotna i chyba najważniejsza zmiana, bo poprzednio wirtualizacja dotyczyła tylko dysku systemowego (tu program zbliża się możliwościami do Shadow Defendera) - dodano moduł HIPS pod nazwą System Guard, który ma chronić przed plikami wykonywalnymi i sterownikami - dano użytkownikowi wybór pomiędzy wersją Client dla pojedynczego komputera a wersją Console, która służy do zdalnego zarządzania wirtualizacją dysków na wielu komputerach w sieci - wyboru między nimi dokonujemy podczas instalacji - podczas instalacji decydujemy również o jeszcze jednej przydatnej rzeczy, którą oferuje RVS - o dysku/kontenerze wirtualnym (o jego rozmiarze, literze jaką mu przypiszemy, o jego lokalizacji i czy ma się instalować ze startem systemu). Przypuszczam, że zdecydowano się na takie rozwiązanie z jednej przyczyny - prawdopodobnie część użytkowników nie umiała sobie poradzić z zapisem swoich danych, kiedy dysk systemowy był zwirtualizowany (wersje płatne posiadają narzędzie File Manager do tego celu, wersje free tej możliwości nie mają). Wirtualny dysk/kontener stworzony przez RVS taką możliwość daje i właśnie m.in. do takich sytuacji został przeznaczony, o czym poniższy cytat "The File Manager is not the only way you can save data and documents to your hard drive Create a RVS Virtual Disk which can store your documents and data even if the virtual system is active. It works just like a real partition on your hard drive, but when dismounted, it looks like nothing other than a very large file with empty space. Further, no one can access its contents unless it is mounted in RVS. Further, you can mount it as read only, meaning that anything stored inside of it can be seen, but not edited." - przewidziano wsparcie dla systemów 32 i 64 bitowych opartych na WinXP/Vista/Win7 - na koniec również bardzo zachęcająca i przydatna rzecz - pojawiła się możliwość opuszczania trybu wirtualizacji bez restartu systemu ale dotyczy tylko dysków niesystemowych (funkcja zbliżona do podobnej w Wondershare Time Freeze). Lista pełnych możliwości oraz kolejnych zmian wersji Labs TUTAJ Jak widać Returnil nie zasypuje gruszek w popiele...czerpie to, co najlepsze z najbardziej uznanej konkurencji, wprowadza swoje własne rozwiązania i wychodzi na to, że kroi się premiera chyba najbardziej wszechstronnego programu do wirtualizacji dysków. Jak będzie naprawdę, czy program będzie w wersji płatnej (RVS 2010 Labs jest w pełni funkcjonalnym trialem, chyba że posiada się klucz aktywujący) i czy ewentualna wersja free będzie okrojona z jakiś funkcji - czas pokaże...

No cóż...nie do końca się chyba udało. Usunąłem wskazane "końcówki" kluczy...a pliku, który wskazałaś nie znalazłem. Panda wciąż bezczelnie uśmiecha się w Panelu sterowania...i jak patrzę na te ikonkę, to już mi się tylko śmiać chce...jest cholera skuteczna w maskowaniu się Pomyślałem, że wylistuję wszystkie pliki *.CPL - może tobie coś przyjdzie do głowy, co mnie umknęło. pliki CPL.txt

OK...więc tamtym kluczem się nie przejmuję. Odnośnie plików *CPL szukałem za pomocą Everything - ma ustawione skanowanie wszystkich lokalnych dysków, wiec pokazał wszystko, co ma to rozszerzenie. Sprawdzę pliki i klucze, które podajesz - możliwe, że i ja mam je u siebie. Rozumiem, że są do usunięcia?

- Plików z rozszerzeniem *.CPL jest całe mnóstwo, ale żaden z nazwy nie pasował wprost do Pandy - W tej drugiej lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ nie mam dalej klucza ControlPanel - Za to przypadkiem znalazłem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring gdzie znalazłem nazwy programów zabezpieczających m.in. Pandy (zrobiłem import tego klucza) HKEY_L_M_NameSpace.txt HKEY_L_M_Security CenterMonitoring.txt

Myślę, że to sprawa jednorazowa, bo cytując: "Na liście potencjalnie niepożądanych programów F-Secure zgromadził już 40 tysięcy cyfrowo podpisanych próbek. W przypadku malware'u skala zjawiska ogranicza się jedynie do 24 tysięcy próbek." Mowa jest tylko o jednym producencie, a i reszta pewnie coś w temacie robi...przecież z pewnością o tym wiedzą

Meir...no to chyba mamy u Ciebie zmianę podejścia do ochrony...jak pamiętam, to HIPSy/blokery gościły u Ciebie raczej rzadko i na krótko A co potrafi ten AVG w porównaniu do TF?...TF znam o AVG nie wiem nic, a wygląda interesująco, bo przecież zawsze właściwie miałem coś w tym typie Moje podejście do ochrony proaktywnej jest niektórym znane...prawda Omkar? ...no dobra, bez wycieczek...w każdym zestawie, który miałem i na każdym komputerze, który mam jest coś w tym stylu jak HIPS/bloker/monitor. Oczywiście pozostaje kwestią, jak on jest obsługiwany - czy użytkownik ma wiedzę, doświadczenie i chęć taki program obsługiwać, reagować na jego komunikaty i podejmować jeszcze decyzje...inna sprawa czy słuszne. Dlatego mam na pozostałych 2 komputerach programy z modułem ochrony proaktywnej - Zemana i SpyShelter free, ponieważ moja rodzina nie za bardzo jest zachwycona czymś bardziej "krzykliwym" w reakcjach, a te 2 programy mają wbudowanych bardzo dużo reguł, dzięki którym akceptują wiele programów czy procesów z definicji. Na swoim zaś przewałkowałem niemal wszystko, co było mi dostępne...poza tym, co zainstalować się nie udało. Do niedawna miałem Malware Defender, ponieważ to bardzo skuteczny program z mnóstwem narzędzi informacyjno-diagnostycznych, ale od kiedy mam licencję na pełną wersję SpySheltera nie było sensu go już trzymać. Oczywiście do tego program do wirtualizacji - obecnie Shadow Defender, wcześniej Returnil Virtual System, Wondershare Time Freeze, a eskperymentalnie Comodo DiskShield i Virtual Protect.

Po uruchomieniu komputera pokazała mi się w trayu ikona centrum zabezpieczeń z komunikatem, że mam niechroniony system...po wejściu w Centrum zabezpieczeń dałem opcję, że mam inna zaporę. Po restarcie związanym z instalacją IE8 centrum wskazuje, że mam zainstalowanego BullGuarda i wszystko wygląda OK. Natomiast w Panelu terowania nieustannie tkwi ikonka Pandy i po wszystkich zabiegach do tej pory ma się chyba tam bardzo dobrze. Nie powiem jest to wkurzające Położyłem oba pliki w lokalizacji, którą wskazałaś... - po pierwsze nie sądziłem, że OTL sam zmieni lokalizację, ale że tylko "przyklepie" i zastosuje te zmiany w systemie - po drugie nie wiedziałem, czy skopiowanie ich w stare lokalizacje nie wywoła dziwnych skutków...w końcu poprzednio udało się to tylko tymczasowo...tym bardziej, że napisałaś "Ułóż go bezpośrednio na C:\, taką ścieżkę daję w skrypcie.". Skoro więc miałem tam położyć ipfltdrv.sys, to czemu nie irbus.sys jeśli miał w skrypcie tę samą lokalizację na C:\ Oba pliki są na C:\ więc nie wiem, czy z tym jest już w porządku, czy nie. Czyszczenie po OTL i ComboFIX zrobiłem - wygląda na to, że udało się usunąć wszystko. To chyba koniec wątku, więc chcę bardzo Ci podziękować...bez Ciebie nie poradziłbym sobie, a tak mam zdrowy system i nareszcie jego kopię do ewentualnego przywrócenia

Usunąłem irbus.sys i ipfltdrv.sys z katalogu C:\WINDOWS\System32\drivers\ i wgrałem ponownie oba pliki do lokalizacji, którą dla nich wskazałaś...wszystko spod Midnight Commandera. Potem odpaliłem OTL i wkleiłem skrypt - następnie restart i wygenerował się log (w załączeniu). Niestety tu możecoś nie tak, ponieważ nie odznaczyłem przed skanowaniem jednej z opcji - Extra Registry zostało na "Non" zamiast na "Use SafeList". Mam nadzieję jednak, że nie zafałszuje to za bardzo wyników....przy drugim te opcje były prawidłowo zaznaczone. Potem uruchomiłem zapisany na pulpicie plik FIX.BAT, następne skanowanie OTL i kolejne logi. -------------- Dziwna rzecz...kiedy próbowałem załączyć pierwszy raport (rozszerzenie *.log) dostałem komunikat, że nie mam uprawnień do załączania takiego pliku...zmieniłem rozszerzenie na *.txt i poszło OTL_06222010_051048.txt OTL.Txt

Pozwolę sobie na trochę prywaty i powiem nieco egoistycznie...póki co, mało mnie obchodzi, że wersja darmowa SS nie ma wsparcia dla systemów 64-bitowych...XP-ki i W7 u mnie są 32-bitowe i chyba nieprędko się zanosi na zmianę Ale już poważniej...owszem wiem, że podałem stare testy, ale już wtedy SS miał potężną moc, a od tego momentu wyszło już sporo nowych wersji, które wciąż coś udoskonalają. Wiem, że konkurencja nie śpi i dobrze, że Zemana też ma już porównywalne wyniki - w końcu ten program też mam w pełnej wersji na stacjonarnym komputerze W każdym razie dzięki za informacje...będę spokojniejszy

Miło mi poinformować, że stało się coś chyba nieoczekiwanego, aczkolwiek bardzo sympatycznego i pożytecznego - wraz z pojawieniem się nowej wersji SpySheltera oznaczonej numerem 4.17 (19 czerwca b.r.) producent postanowił zaoferować również darmową wersję swojego programu. Od tego momentu produkt ma dwie linie rozwojowe: SpysShelter Personal (darmowa) i SpyShelter Premium (płatna). Wersja Personal ma pewne ograniczenia funkcjonalne w stosunku do wersji płatnej - porównanie obu wersji http://www.spyshelter.com/description.html#Overview SpyShelter uznawany jest za najskuteczniejszy program do blokowania loggerów - czyli tego rodzaju złośliwego oprogramowania, które potrafi przechwytywać np. tekst wprowadzony z klawiatury, ekran użytkownika, zawartość schowka, obrazy z kamery internetowej czy przekazywany przez sieć głos...jest pierwszym na świecie programem, który właśnie przed tym ostatnim zagrożeniem ustanowił ochronę (AntiSoundRecorder). Nie będę się rozpisywał na temat możliwości programu - jego ocen na różnych zagranicznych i polskich forach jest dość sporo - w każdym razie program swoimi możliwościami i wynikami testów wzbudził wiele sprzecznych opinii i kontrowersji, niemniej wyniki tych testów wskazują jednoznacznie, że w porównaniu ze SpyShelterem poległy m.in. osławiony OA, Comodo, DefenseWall czy najbardziej znany w tej kategorii Zemana AntiLogger - mały przykład tutaj Oczywiście należy nadmienić, że SpyShelter jest POLSKIM produktem, co wg niektórych opinii na zagranicznych forach było m.in. przyczyną lekkiego niedowierzania, co do jego skuteczności Strona domowa programu http://www.spyshelter.com/download.html

Ponieważ nie bardzo wiedziałem, co robić, postanowiłem iść "po całości" i zrobić coś na własną rękę...czy było to prawidłowe - nie wiem, ale faktem jest, że zniknęły objawy w postaci skokowego zużycia zasobów przez Explorer.exe...pozostaje ono teraz niezmiennie na poziomie 3-5 K/s. Wczoraj zaktualizowałem pandraka z SARDU o moduł VirusBlokAda - kiedyś tylko ten AV wyleczył mnie z infekcji na moim laptoku - i zapuściłem skan. Pokazał kilkanaście wpisów na czerwono, część z nich wyleczył, część nie...raportu nie załączę, bo nie umiem go zlokalizować. Po tym komputer "poszedł spać"...rano obudził się znów ze starymi objawami. Postanowiłem nie dać za wygraną i zacząłem jeszcze raz procedurę... TDSSKileer nie wykrył infekcji - log w załączeniu podmiana pliku ipsec.sys - tym razem zrobiłem na pendraku kopie tego pliku ze swojego systemu i za pomocą "normalnego" wreszcie menadżera plików Midnight Commander od VBA32 wywaliłem obie wersje pliku z systemu zarażonego (obydwie lokalizacje: drvers i ddlcache), potem skopiowałem go ze zdrowej lokalizacji - najpierw do dllcache, potem do drivers Na koniec skan skanowanie OTL i Gmer - logi w załączeniu W tzw. "międzyczasie" odinstalowałem Prevx Online Scanner - nie wiem, ale miałem nieodparte wrażenie, choć żadnych dowodów, że to on może mieć coś wspólnego z tym zamieszaniem. Cudem chyba jakimś po którymś już restarcie "zabawy" Explorer.exe ustały. Oczywiście poszedłem za ciosem...najpierw półgodzinna kwarantanna, czy przypadkiem znów coś się nie pochrzani...potem czyszczenie systemu ze śmieci, czyszczenie rejestru...kolejne restarty i wciąż spokojnie od prawie 5 godzin. Na koniec zapuściłem jeszcze kilka skanerów - ESET Win32/Olmarik fixer, Sophos Anti-rootkit, VBA32 Antirootkit, NormanTDSS Cleaner - wszystkie wyniki negatywne...znaczy się bez znalezionych infekcji. Pozostałyby więc...jeśli po sprawdzeniu logi okażą się OK...porządki z Repozytorium WMI. Chyba, że z logów wyjdzie, że urodziło się coś nowego. TDSSKiller.2.3.2.0_19.06.2010_07.59.21_log.txt OTL.Txt Extras.Txt GMER.txt

Po raz któryś z rzędu przychodzi coś na myśl a propos treści wątku...tym razem dopisują się w tym miejscu po raz ostatni...chyba Podobne listy figurują na wielu portalach, ale nie chodzi mi o to, że jest ta tutaj jest w związku z tym niepotrzebna...jest i to bardzo...jedną z bardziej popularnych zagranicznych list, jest lista na Techsupportalert.com pod nazwą "Probably the Best Free Security List in the World". Lista jest bardzo obszerna, aktualizowana i dla mnie była bardzo przydatna, kiedy stawiałem pierwsze kroki w temacie "programy do zabezpieczeń". http://www.techsupportalert.com/content/probably-best-free-security-list-world.htm

Dodam do tej kategorii jeszcze jeden program...i nie będzie to Comodo DiskShield już nierozwijany, ale VirtualProtect (Vpcache) chińskiej produkcji ...nota bene Chińczycy mają na swoim koncie wcale pokaźną liczbę znanych softów nie tylko zabezpieczających. Trochę o programie jest TU i TU. Strona domowa...bardzo uboga...ostatniej wersji komercyjnej http://www.vpcache.com/english/englishdn.html oraz link do ostatniej wersji free http://download.cnet.com/VirtualProtect/3000-8022_4-10902410.html Do darmowych programów szyfrujących dorzucę FreeOTFE - podobnie działający do TrueCrypta http://www.freeotfe.org/ Natomiast do głowy przyszedł mi jeszcze jeden producent oprogramowania zabezpieczającego, który z hukiem wdarł się na listę wyników Matouska i zajął II zaszczytne miejsce z wynikiem 99% produktem Online Solutions Security Suite - rosyjska firma Online Solution http://www.online-solutions.ru/en/products/list.html

Mam wrażenie, że brak w ogóle kategorii HIPS/monitory/blokery - Arovax Shield - Core Force - DiamondCS Process Guard - Drive Sentry - Malware Defender - Netchina S3 - PCTools ThreatFire (jest, ale w kategorii inne programy zabezpieczające) - WinPatrol - Real-time Defender Pro - Real-time Defender Smart - System Safety Monitor - Spyawre Terminator (jest jako bezpłatny AV, ale to raczej HIPS+anty-spyawre+AV) - AntiHook - EdgeGuard Solo - PE Guard (Opaida) - WehnTrust - MJ Registry Watcher - Winsonar Ponieważ softy, które weszły w skład innych programów/pakietów mają nie być uwzględniane zabraknie pewnie dwóch w tej kategorii i choć nie są oficjalnie wspierane, to ich instalki można spokojnie w internecie znaleźć: - Comodo BoClean (nierozwijany od maja ubiegłego roku), którego część zaimplementowano do CIS - Dynamic Security Agent (Privacyware), który od zeszłego roku wszedł w skład PrivatFirewall Brakuje w zestawieniu produktów Blue Ridge Net Works (do nich należy podany wyżej EdgeGuard Solo) - firmy od ponad 15 lat działającej w branży "security", która otrzymała w 2009 r. tytuł...tu zacytuję "Winner in Best Anti-malware category in GSN's 1st Annual Homeland Security Awards Competition" http://www.blueridgenetworks.com/products/index.php Brak również produktów NETGATE Technologies, a znane są przecież NETGATE Internet Security, FortKnox Firewall czy Spy Emeregncy...tym bardziej, że jest również oficjalna strona polska tej marki http://www.fortknox-firewall.com/index.php http://www.sksoft.pl/fortknox-firewall/

OK...to dobrze, że te śmieci po starych softach nie są problemem Ipsec.sys skopiowałem z takiej lokalizacji C:\WINDOWS\SoftwareDistribution\Download\dd64aa87403cfac627c6c8f37d245aa4 wydawała mi się na tyle "egzotyczna", że bezpieczna...ale możesz mieć inne zdanie Odnośnie zachowania komputera...jest bez zmian, bo też nic z nim nie robiłem. Poniżej log z Gmera...zastanawia mnie tylko jedno - raz skan trwa jakieś pół godziny, raz dwie...skąd takie rozbieżności na tym samym systemie? Poza tym stało się coś dziwnego,bo przy pierwszym dzisiejszym skanowaniu komputer "zamroził się" po czym wywaliło błękitny ekran...chyba mignęło coś o zrzucaniu pamięci...dopiero po restarcie wróciło do normy i następny skan poszedł normalnie. Gmer_log.txt

Wcześniej dłuższy czas używałem Macrium Reflect, ale skusiłem się na produkt od Paragona...i nie zawiodłem się. Program ma czytelny, podzielony na panele interfejs, a obsługuje się go w bardzo prosty sposób...tym bardziej, że program uruchamia się po instalacji od razu w polskiej wersji. Kreator prowadzi przez wszystkie kroki wybranej funkcji aż do finału i wiedząc, czego chcemy nie jesteśmy w stanie popełnić błędu. Odzyskiwanie systemu z obrazu jest bardzo proste...przy założeniu, że wykonamy obowiązkowo dysk ratunkowy - bądź na CD/DVD, bądź na pendraku. Mam na pendraku, a jego tworzenie to właściwie chwila...potem wystarczy tylko podpiąć do komputera przed startem, wybrać start systemu z USB i mamy okienko, w którym możemy przywrócić system. Wszystko prosto, jasno i bez kłopotów. Na tyle mi się to spodobało, że program mam już na 2 laptoku w domu, a będzie i na stacjonarnym jeszcze, gdzie zastąpi Macrium. Między 16 a 19 czerwca jest promocja za free na bardziej rozbudowaną wersję Backup & Recovery 10 Compact - czy komuś tyle potrzeba...zależy od indywidualnych potrzeb Strona promocji http://www.paragon-software.com/home/brc/

Dzięki za wyjaśnienia...jestem właśnie po skanowaniu ComboFixem...wygląda na to, że chyba się w końcu uspokoiło - w każdym razie Explorer.exe już nie szaleje ze zużyciem zasobów...widać to na wykresie i kolumnie "czas pracy" - płasko przez ponad 25 minut i wciąż tak jest (załączam screen). W ogóle zacznę od tego, że mimo wcześniejszego przywrócenia systemu znów pojawiły się te dziwne, opisywane wcześniej objawy z opóźnionym ładowaniem systemu, procesów i brakiem połączenia internetowego. Sprawdziłem w katalogu C:\WINDOWS\system32\drivers i znów nie było tam ipsec.sys. Zgłupiałem zupełnie i "na żywca" skopiowałem plik ze zdrowej lokalizacji. Potem restart...wszystko wróciło do normy, to znaczy Explorer.exe szalał, jak poprzednio, ale miałem połączenie i wszystko się poprawnie załadowało. Przyszedł czas na ComboFix, ale zanim to zrobiłem sporo poczytałem i nieco zaniepokoiłem się możliwością nie-postawienia systemu po jego użyciu...więc szybka decyzja i instalacja Paragon Drive Backup. Program mam na swoim laptoku, samostartujący dysk USB ratunkowy do Paragona też, więc problemu nie było...wiedziałem, że jakby coś, to skorzystam z obrazu dysku i postawię system na nowo. Na szczęście obyło się bez takich problemów ComboFix zaraz na początku pokazał komunikat, że działają wciąż programy: Bullguard, AVG-AV, MSE i ClamAV...tych trzech ostatnich nie mam. Wyłączyłem przedtem wszystko (w polecanych instrukcjach nie było nic o Bullguardzie ani o Prevx SafeOnline) jak tylko potrafiłem, korzystając z możliwości które dawały te programy oraz wyłączenia tych procesów (nawet z autostartu), które wyłączyć się dało. Mam tylko nadzieję, że ComboFix stworzył w tej sytuacji prawidłowy log. Reszta poszła gładko i szybko...nie trwało więcej, niż może 15 minut łącznie ze stworzeniem loga. Pojawił się jeden plik usunięty i jeden restart tylko...reszta w logu. -------------------------------- edit: Jak to mówią starożytni Rosjanie - nie chwal dnia przed zachodem słońca. Sprawdziłem, co się dzieje i mniej więcej od 15 minut Explorer.exe zaczął od nowa swoje "zabawy" (następny screen z dopiskiem 2)...czyli było spokojnie jakieś trzy kwadranse. Normalnie ręce i nogi opadają...to ja już chyba sobie pójdę do domu... ComboFix.txt

Przeczulony nieco po wciąż nierozwiązanej infekcji na drugim laptoku, postanowiłem zrobić profilaktycznie szybki skan MBAM na swoim ,którego używam na co dzień. Wynik mnie zaskoczył (poniżej załączam log skanowania), bo pojawiły się na liście 4 pliki, które zostały zakwalifikowane jako Malware.Trace i wszystkie w nazwie mają iruni. Wszystkie zlokalizowane są w głównym katalogu Windows: C:\WINDOWS\irunin.bmp C:\WINDOWS\irunin.dat C:\WINDOWS\irunin.ini C:\WINDOWS\irunin.lng W sieci poczytałem i wszędzie jest napisane, że to infekcja i trzeba się tego pozbyć, a z drugiej strony piszą coś o tym w kontekście potrzebnych sterowników dyskowych...no i jednak nie podjąłem żadnej akcji, bo skoro jest plik o rozszerzeniu *bmp to znaczy się jest to "obrazek", który postanowiłem najpierw podejrzeć...no i przejrzałem w XnView. Okazało się, że to obrazek wyglądający jak "splah-screen" pojawiający się przy ładowaniu jakiegoś dyskowego programu narzędziowego - skojarzyło mi się to z Macrium Reflect, którego już nie mam. Nie wiem jak z resztą, ale sprawdziłem je na Virus Total, a wyniki poniżej: http://www.virustotal.com/analisis/3973d354045be781eabf9114772fe2e5e96d1e557793de10c914d901b16e8c09-1274805711 http://www.virustotal.com/analisis/4e8ba4fc21820d05922446aceac69d7d06cf10804e3659e5a3024204a1177d4d-1274805710 http://www.virustotal.com/analisis/f69dab63132cff0316818d92cb4b9cd3fbb48c1d08481c07a0a5c804c850f7b5-1276581550 http://www.virustotal.com/analisis/de4baa540b128b303c3bd6f33e1f7ee7b840143fbdaa3f931519a36d6e9063bc-1274805717 Log z MBAM mbam-log-2010-06-15 (07-49-50).txt

Dzięki Picasso za dotychczasową pomoc i wyjaśnienia...dziś tylko krótko się odezwę, bo dopiero niedawno wróciłem, a wczoraj prze laptokiem żony i swoim spędziłem niemal 16 godzin z krótkimi przerwami na kawę, papierosy i obiad Nie mam siły już po prostu zaczynać ponownych analiz i koniecznych działań. Ale tylko krótko...masz rację, że mogłem coś skopać przy kopiowaniu w trakcie pracy z SARDU i jego modułami..."chyba może na pewno" nie rozpakowałem tego pliku i zresztą jego wielkość była inna, niż macierzystego, co teraz sobie przypominam. Nie wiem, skąd jakieś akcje na ipfltdrv.sys...pliku nie ruszałem, bo to plik systemowy...chyba, że coś skopałem przy kopiowaniu, bo menadżery zadań w tych narzędziach są mało poręczne, a ipsec.sys jest jakoś dziwnie blisko z nazwy przy tym nowym. Przywracanie postanowiłem zrobić z ostatniej dobrej kopii...czyli po pomyślnym zainstalowaniu na powrót Office 2000. Pisałem, że system przedziwnie się zachowywał i trochę inaczej po każdym niemal restarcie, a najgorsze było, że czasem "przymrażał" i właściwie nie miałem dostępu do sieci. Już miałem po prostu dość i wróciłem do stanu wyjściowego...choć jak mówisz, nic tam groźnego chyba nie ma. Za Combofix wezmę się już jutro i spróbuję jeszcze raz podmiany...o ile to coś da.

W EPM na samym dole po lewej stronie pola z zadaniami jest lista akcji do wykonania...choć w programie w oknie dysków są już zmiany, to bez zatwierdzenia listy zmian...co wiąże się z restartem...nic w rzeczywistości się nie zmieni. Dopiero zatwierdzenie i restart spowodują wywołanie okna EPM przed załadowaniem systemu i postęp wykonywanych zadań-zmian na partycjach. Potesm start systemu już z nowymi dyskami. Odnośnie partycji "recovery"...na laptoku HP u mojej żony też jest taka partycja, i działanie jej chyba po zmianach dokonanych za pomocą EPM się nie zmieniło...mówię chyba, bo nie miałem okazji z tego korzystać. Gdybym miał cos takiego, jak kopia zdrowego systemu, nie miałbym teraz problemu o jakim piszę w innym wątku tutaj

No właśnie...zacząłem wgrywać załączniki, ale miałem komunikat, że przekraczam przydzielone 500 KB...usunąłem screena, a potem musiałem przerwać pisanie. Zaczynam więc od nowa i to z nowego komputera...wycięło mi połączenie przez przeglądarkę, a BullGuard równeż nie może się połaczyć z serwerem aktualizacji. Co najdziwniejsze sieć jest wykryta, a połączenie "znakomite". Ale od początku: - skorzystałem ze zaktualizowanej wersji SARDU i narzędzi, które tam mam w nowych wersjach m.in. PuppyLinux, AOSS PCToolsów i Kaspersky RD...Kaspersky załadował się do pewnego momentu, a potem wykrzaczył. - w PuupyLinux załadowałem dyski i próbowałem wywalić zainfekowany plik, a potem wgrać z nowej lokalizacji (wcześniej skopiowany na inny dysk ze świeżo ściągniętej wersji SP3)...przy wychodzeniu linux zaczął pytać o zapisanie zmian, potem o sposób zapisu, przy tym jakiś wybór między FAT, NTFS...potem wielkości klastrów...spanikowałem, bo nie chciałem nabruździć i popsuć jeszcze więcej i nie wiem, czy w ogóle coś tym sposobem zrobiłem - AOSS PCToolsów też ma menadżera plików i w nim również próbowałem wykasować ipsec.sys z macierzystego katalogu, a potem wgrać kopię ipsec.sy_ Niby się wgrało, ale po restarcie pliku nie było tam, gdzie się go spodziewałem...w ogóle właściwie nie było - próbowałem też na żywym systemie wywalić ipsec.sys, ale momentalnie uruchamiała się jego kopia i plik odradzał się w tym samym miejscu... - teraz jest tak, że połowa procesów stałych się nie ładuje, żaden program nie może połączyć się z internetem...wtedy Explorer.exe nie wariuje już...po którymś restarcie i po strasznie zamulonym załadowaniu się wszystkich w końcu programów znów zaczynają się skoki zużycia , jak poprzednio - ale nie ma połaczenia przez istniejące łącze - przywracam system z systemowego ostatniego punktu...i robię skany TDSSKileer, OTL i Gmer. Za chwile je załączę ----------------- edit: Chwila trwała 2 godziny, bo tyle trwał ku mojemu zaskoczeniu skan Gmerem...ale w końcu jest, więc załączam komplet. Jakby co...to nic się nie zmieniło niestety. Aha...załączam również screen sprzed kilku minut w zamian za tamten usunięty...przepraszam. OTL.Txt Extras.Txt TDSSKiller.2.3.2.0_13.06.2010_18.40.37_log.txt Gmer_log.txt

Easeus PM tworzy nowe partycje i zmienia rozmiar istniejących bez utraty danych. Najlepiej wcześniej wywalić pliki-śmieci za pomocą jakiego cleanera, a potem zdefragmentować wszystko. Potem uruchomić EPM i dzielić dysk twardy wg uznania i potrzeby. Używałem tego programu na wszystkicj swoich domowych kompach - 2 laptoki i stacjonarny.

Jeśli masz jakieś dane na dyskach, które chcesz zmieniać, to proponuję Easeus Partition Master. Obsługa jest prosta mimo angielskiej wersji http://www.partition-tool.com/

Problem jest chyba kilkuwarstwowy, a wszystko zaczęło się od sytuacji opisanej w innym wątku na forum, a dotyczącej skonfliktowania Office 2000, 2007 i pakietu do konwersji dokumentów między tymi programami ( tu https://www.fixitpc.pl/topic/513-office-2000-i-2007-brak-mozliwosci-przeinstalowania/). Od tamtego zdarzenia udało mi się zwalczyć temat, niemniej użycie żadnego rozwiązania nie dało ostatecznych i rozstrzygających wyników - ani odinstalowanie w trybie awaryjnym, ani edycja wpisów w rejestrze, ani usuwanie niektórych innych, ani narzędzie Remove Office 2007, ani Windows Install Clean Up...to samo dotyczy oficjalnych porad na stronach Microsoftu. Wszystkie chyba możliwe warianty były zastosowane w "kombinacjach iście alpejskich" i w końcu ostatnim problemem, jaki się pojawił był błąd instalacji Office2000 wynikający z niewłaściwej litry dysku - i tu już byłem w domu, bo możliwości z nazwami poszczególnych dysków nie było tak wiele...w końcu instalacja po zmianie nazw liter dysków powiodła się. I na tym powinno się właściwie wszystko zakończyć, ale przy tym całym zamieszaniu dotyczącym Offica i szukania usług czy komponentów do wyłączenia, zwróciłem uwagę na dziwne zachowanie procesu Explorer.exe, który w dokładnie 2-sekundowych odstępach zwiększa i zmniejsza użycie HDD między 5 K/s a 1250 K/s. Tak to wygląda na screenie. Nie spotkałem się z czymś takim wcześniej na żadnym innym komputerze, który mam w domu lub który przez dłuższy czas użytkowałem. Następna sprawa to infekcja, która wykrył i zneutralizował BullGuard (chyba, bo tak program pokazuje) - chodzi o Gen:Variant.Tdss.24 wykryty C:\System Volume Information - możliwe, że coś po tym zagrożeniu zostało i stąd skokowe zużycie zasobów. Do tego dochodzi ostatni problem, który wyszedł przy instalacji BullGuarda, ale ponieważ nie przeszkadzało to w pracy pakietu, nie zajmowałem się tym aż do teraz - przy instalacji program wykrył jako zainstalowane 4 softy zabezpieczające: MSE, Panda, AVG I F-Secure...ale te programy już na tym komputerze nie istnieją i nie działają. Po każdej deinstalacji takiego typu softu sprawdzam i usuwam ewentualnie wpisy w rejestrze, wyszukuję pliki po nazwie, sprawdzam Autoruns czy nie ładują się po nich jakieś pozostałości i wydaje się, że nic, co może się skojarzyć z programem nie powinno w systemie być. Niestety jest i to chyba nawet więcej, bo przy analizie OTL wyszły nazwy następnych softów, które gdzieś tam głęboko się ukryły - przy czym żadnego z nich już nie ma. Poniżej załączam logi Proszę o jakąś pomoc, wskazówki, co o ty myśleć i jak to ewentualnie naprawić. Gmer.txt OTL.Txt Extras.Txt