wojtron

Czytnik kart był zamontowany to prawda ale nie działał od początku i został odpiety dawno

Komputer 2: Zauwazylem teraz kolejny dziwny objaw mianowicie folder C:\Users posiadal status udostepnionego z pelnym dostepem mimo tego iz nikt korzystający z komputera tego nie ustawil. Podmianka user32.dll jako naprawa skutkow, ale co z lokalizacją przyczyny takiego stanu rzeczy ? Skoro norton nie widzial problemow ciezko mi czuc sie pewnym likwidacji zrodla tymbardziej biorąc pod uwagę powyższe. Fixlog,txt w zalaczniku z komputera 2 Komputer 1: Wszystkie partycje poza tymi bez systemu plikow byly wczesniej i dzialaja jak nalezy. Moim zdaniem szukanie przyczyny powstania owych dyskow/partycji w dziale hardware nie bardzo ma sens bo ani nie jest to zbyt aktywny dzial ani moim zdaniem nie ma zadnych podstaw by go tam kierowac jako że pochodzenie problemu wyglada na typowo softwarowe. Skoro ich ujawnienie/pojawienie sie stało się w trakcie wykonywania podanych tutaj w tym temacie polecen i uzyciu ich wedlug podanych tutaj w tym temacie instrukcji w FRST. Rozmiar 0 bajtow rowniez nie wskazuje na podloze inne niz softwarowe ? Ponadto skoro pojawily sie jako skutek polecen w tym temacie to czemu ktos w innym dziale w innym temacie mialby wogole chciec sie podjąć kontynuacji tego tematu. Dziękuję za pomoc i podkreślam, iż zdaję sobię sprawę iż mój przypadek jest wymagający, dlatego zglosiłem się właśnie do was na wasze forum ktore cenie i uwazam za najlepsze tego typu, mając w pamięci geneze i moment jego powstania i jeszcze dawne czasy skutecznego przebudowywania całego systemu obslugi sieci w WinXP z pomocą picasso jeszcze na searchengines gdy poziom ingerencji infekcji i stan systemu wtedy byly naprawde beznadziejne a osiagnelismy pelny sukces. Pozdrawiam serdecznie i liczę na dalszą pomoc :) Fixlog.txt

Kolejnym z objawow ktore pojawily sie wraz z infekcja o ktorych zapomnialem bylo to, ze po zaladowaniu systemu przy wczytywaniu pulpitu znikaly wszystkie ikony tzn. byly ale biale te standardowe obrazki i dopiero stopniowo po kolei sie wczytywaly, przed infekcja takie cos nie mialo miejsca przez wiele lat uzytkowania systemu jak juz to bardzo sporadycznie kilka razy w ciagu kilku lat, od czasu infekcji przez pewien czas przy kazdym uruchomieniu komputera. Ostatnio rzadziej ale teraz po uzyciu fixa komputer sie zrestartowal (FRST tak chcial) i znow sie tak zrobilo. Duzo bardziej jednak zastanawia mnie to co stalo sie (a wlasciwie pojawilo) w okienku moj komputer po uzyciu fixa i restarcie systemu sugerowanym przez FRST a dokladnie chodzi o 4 dyski wymienne od K do N, poczatkowo myslalem ze to wylaczone dyski wirtualne daemon toolsa ale one wcale nie zniknely i byly rodzaju bddisk i dalej są a te się pojawily widze je pierwszy raz i mają nieznany system plikow i rozmiar. https://i.imgur.com/Kxft6Lj.png Log z pierwszego komputera gdzie pojawily sie owe magiczne dyski Fixlog.txt oraz log z drugiego komputera Search.txt Pozdrawiam serdecznie Fixlog.txt Search.txt

Witam serdecznie, moim problemem jest prawdopodobnie infekcja na temat ktorej bardzo ciezko znalezc przydatne informacje w internecie - mianowicie stosunkowo nowa/rzadka odmiana trojana wacatac. Podejrzenie to pada ze względu na to iz infekcja daje subtelne znaki od momentu uruchomienia pliku wykonywalnego gry wyjątkowo atrakcyjnego serwera w pewnej leciwej grze online (teraz juz wiem dlaczego tak wiele zainwestowałi w serwer) ktory to plik main.exe prawdopodobnie ze wzgledu na swoją budowę peexe opartą o zawarte w tym samym folderze biblioteki posiadające drobne wyniki po kilka wykryc na virustotal, zaś głowna biblioteka IGC.dll wykorzystywana przez program posiada 8 wykryć (IGC.dll ktore bylo z zainfekowanym plikiem wykonywalnym): https://www.virustotal.com/gui/file/7dd1528b7dcb7784c835a54d335b8cd3fe4fab4ddddc4e68bbd2338561e70659/detection Ku sporemu zaskoczeniu mimo iż plik wykonywalny poniżej z którego pochodzi infekcja na dwóch moich komputerach jest wykrywany na virustotal przez 13 antywirusów: https://www.virustotal.com/gui/file/2c593c5a632d4f015d7c0cff4edafc6438f4fbe58e642a9a228913158fedad79/detection To w momencie uruchomienia nie został on wykryty jako podejrzany przez zaktualizowaną wersję Nortona, co dużo ciekawsze jednak po kilku dniach użytkowania Norton usunął plik po którym w tamtym miejscu ani histori nie ma śladu (chyba że ewentualnie sam się jakoś usunął) jednakże nie pozostawiając żadnego śladu w dzienniku histori antywirusa co jest naprawdę bardzo dziwne. Pierwszymi objawami było zauważalne wydłużenie zarówno czasu wyłączenia jak i uruchomienia systemu co odrazu zwróciło moją uwagę. Kolejnym z objawów było co pewien czas występujące minimalizowanie aplikacji z trybu pelnoekranowego (zarowno VLC w trakcie odtwarzania filmu jak i roznorakie gry - nie tylko na origin ale i battle.net co wczesniej nigdy sie nie zdarzało) mało tego wyglądające jak wręcz wysmiewający timestamp pod print screena ponieważ za każdym razem przesuwając kursor nad kalendarz obok prawego dolnego rogu wysuwając windowsowy bialy dymek z data i dniem tygodnia co jednak nie zdarzaloby sie gdyby kursor uciekal calkowicie w róg - gdyz wtedy rzucający się w oczy dymek sie nie ukaze- kursor byl celowo tam pozycjonowany. Konkurencyjne serwery niemal tej samej wersji gry dla analogicznego pliku main.exe (choć ten również ma wyniki na virustotal) uzywaja np. tylko 4 bibliotek mianowicie COMCTL32.dll IMM32.dll KERNEL32.dll USER32.dll podczas gdy owy feralny korzysta aż z : IPHLPAPI.DLL advapi32.dll awesomium.dll crypt32.dll dbghelp.dll fmodex.dll gdi32.dll glew32.dll glu32.dll imm32.dll kernel32.dll netapi32.dll ole32.dll oleaut32.dll opengl32.dll shell32.dll shlwapi.dll urlmon.dll user32.dll version.dll wininet.dll winmm.dll ws2_32.dll Gdzie wiele z nich nie jest potrzebna grze na porównywalnych klientach gry i sugerujące ewentualne zagrożenie biblioteki takie jak wininet.dll z ktorym mialem ciężkie batalie jeszcze na Windows XP czy mocno podejrzane dla tego pliku advapi32.dll czy crypt32.dll Kolejnym znakiem infekcji są zmodyfikowne systemowe pliki user32.dll ktorych data modyfikacji obu egzemplarzy pliku jest taka sama dla danego komputera oraz nie posiada zgodnej sygnatury co wskazuje FRST. Pojawiły się również dziwne zachowania i przywieszki explorera czy duzo rzadziej rzadziej innych aplikacji, komputer nieraz przesadnie się przegrzewa i dużo pracuje gdy nie był tak mocno obciążany, pojawiły się sporadyczne crashe roznych aplikacji choć w przypadku pewnej aktualnej aplikacji kazdorazowo przy probie uruchomienia crash, zaś w rozwinieciu tresci błędu modułem odpowiedzialnym za crash był... kernelbase.dll Drogą dedukcji podejrzewałem o to infekcję gdzie dość szybko znalazłem inną analizę innego pliku niż wysłane przezemnie zawartą na virustotal która również posiada sygnaturę wacatac która jak się nie mylilem - według analizy full report na virustotal.com większość operacji przeprowadza właśnie z użyciem owej biblioteki kernelbase.dll : https://www.virustotal.com/gui/file/e061ffaa0f358d0a9590b20f9ee07962896f42f43ce67a5bcdc6e28f25d97a78/behavior/VirusTotal Jujubox Ostatecznym problemem podkreślającym możliwą skalę i powagę aktywności infekcji okazała się początkowo nie kojarzona przezemnie z infekcją sprawa wychodzenia Origin w tryb offline następująca jednoczesnie na dwoch komputerach zainfekowanych w podobnym czasie owym feralnym plikiem, gdzie na obu jest najnowszy norton oraz origin i czasem na zmiane jeden z nich lub oba przechodzą w tryb offline na origin lub gdy origin jest offline gry działają lub gry przechodzą w offline gdy origin działa – i to w danym momencie na tym samym komputerze. Wczoraj gdy taka sytuacja miała miejsce wyjątkowo intensywnie przez ponad pół godziny w tym samym momencie obserwując znaczny spadek wolnej przepustowości łącza ze stałych 10 Mb na 2,6 Mb w aplikacji na oddzielnym urządzeniu – telefonie gdzie pomiar na speedtest dokonywany jest blisko mnie u mojego dostawcy który udostępnia serwer pomiaru (niestety nie sprawdziłem w tej sytuacji zużycia sieci w tamtym momencie a jedynie speedtest jednakże wyniki były przez ten czasnon stop 2-4 2,6 mb). Jak się okazało w tym samym momencie wielu użytkowników Origin ale również zupełnie innej firmy tj Riot Games ale tylko w Polsce zgłaszało problemy z dostępem do serwerów co widac na wykresie https://i.imgur.com/87HI4EB.png Jednakże nie tyczyło to jednego serwera końcowego jednej firmy lecz wielu firm jednak na ograniczonym obszarze co samo sugeruje problem dzielonego elementu w sieci dla obu połączeń. Znaczny normalnie nigdy nie zdarzający się spadek ze stałych zapewnianych 10 mb na 2,6, dosłowne wariowanie origin na obu komputerach na raz i na zmiane przez ponad pol godziny oraz tysiące przypadkow u innych osob w tym samym momencie szybko uswiadomily mi ze to prawdopodobnie nie z tyle z samymi serwerami po drodze jest problem lecz najzwyczajniej w świecie infrastruktura została potraktowana DDoS – co gorsza definitywnie wyglądało to jak by oba zainfekowane komputery (trzeci komputer w domu w tym momencie bez zadnych problemów korzystając z internetu na nim i telefonie na wifi, na każdym komputerze staly ping rzedu 20-30 ms) wygląda ze zainfekowane ostatnio robiace naprawde dziwne rzeczy komputery były jednymi z elementów botnetu który tego ataku w danym momencie dokonał. Oba komputery od momentu zainfekowania feralnym plikiem co jakis czas nieraz dwa razy w ciagu 5 min minimalizują do pulpitu z fullscreena, początkowo tylko zarażony jako pierwszy później głównie drugi, ten zarażony później. Oba mają zmienione sygnatury systemowych plików user32.dll i oba mają w ostatnim czasie modyfikowane owe pliki – na jednym komputerze oba systemowe pliki user32.dll modyfikowane o tej samej godzinie i minucie dnia 10.01.2020 zas na drugim komputerze oba modyfikowane w tym samym momencie i minucie dnia 14.01.2020. I to wszystko pod nosem obu systemów Windows 7 Ultimate zaopatrzonych w najnowsze wersje Nortona z uruchomionymi wszystkimi modułami – plik z infekcją wciąż uznawany jest jako czysty (ale nie na virustotal) Po wielu godzinach bezinwazyjnego poszukiwania śladów infekcji np. w rejestrach i analiz różnych odmian wacatac przeskanowanych na virustotal szukając u siebie zauważalnych zmian rejestru czy tworzonych plików przez nie oraz analizach logów FRST dotarłem do punktu w którym nie udaje mi sie odszukać wyraźnie rzucających się w oczy śladów, co w sumie mnie nie dziwi patrząc na konstrukcję i wyrafinowanie przy konstrukcji tego pliku wykonywalnego i kończą mi się pomysły na bezinwazyjne metody odnalezienia śladów konkretniejszych niż np znalezione zamienienie nazwy klucza z iexplore.exe na explorer.exe w obu systemach dla wpisu o ilosci dozwolonych maksymalnie połączeń czy pewności co do pewnych wpisów w logach oraz pomysłu na jakiekolwiek dalsze pewne skuteczne działania biorąc pod uwagę metody jakimi kamufluje sie ta dopracowana wersja wacatac. W związku z powyższym zwracam się do doświadczonych będących na bieżąco w takich sprawach specjalistów z prośbą o pomoc. Załączam logi z komputera który został zainfekowany jako pierwszy 1_ oraz komputera który ucierpiał drugi 2_ i obecnie częściej dokazuje (choć w pierwszym napis zapraszamy czy zamykanie pozwalają na naprawdę dobry sen w porównaniu do stanu sprzed infekcji początkowo i dalej nierzadko trwające tyle iż pół żartem przywodzi na myśl konieczność oczekiwania - aż dane się wyślą. 1_Addition.txt 1_FRST.txt 1_Shortcut.txt 2_Addition.txt 2_FRST.txt 2_Shortcut.txt

Załączam log SystemLook.txt

Tak, właśnie o to chodzi że nie chcą się zapisać i wracają na poprzednie miejsce, normalnie odświeżanie powinno występować chyba raz a dzieje się dwukrotnie. Odświeżanie to tylko ciekawostka, tak opcje się nie zapisują, coś je przestawia (sądzę po tym że odświeża 2x)

Punkty wykonane; W dalszym ciągu po odznaczeniu ukrywania plików systemowych i pokazywania pełnych rozszerzeń popularnych plików i zaznaczeniu zastosuj oraz ok odświeżają się dwukrotnie okienka i pulpit (z czego wnioskuje że coś aktywnie nadpisuje to ustawienie).

C:\WINDOWS\System32\autorun.exe usunięty skan https://www.virustot...sis/1354822089/ No tak, ale coś cały czas blokuje mi włączenie pokazywania plików systemowych i rozszerzeń popularnych plików, gmer zawiesza się na wielu rzeczach a nie na jednej jak kiedyś a żadne skanery av nic konkretnego nie wykrywają albo ja tego nie widze, czyli równie dobrze coś może wysyłać cały czas logi z moimi passami bo coś w tle działa. Dlatego udałem się tutaj po pomoc kogoś kto bardziej coś dostrzeże

Witam. Mam od paru tygodni problem z wirusem Trojan.Hider (wnioskuje po wyniku skanu jednego z tworzonych plików, wykonanym na virustotal.com ) złapanym z pendrive. Wirus tworzył na pendrive pliki exe wyglądające jak folder a foldery prawdopodobnie ukrywa jako pliki systemowe, blokuje zmianę ukrywania plików systemowych, zmienił opis plików exe z Aplikacja na File folder celem maskowania się. Znalazłem podejrzany plik isass.exe który ręcznie usunąłem z poziomu płyty live cd, po tym wydaje mi się że wirus przestał ukrywać foldery na pendrivach. Problem pojawił się gdy próbowałem przeskanować system GMERem, o ile pamietam po którejś walce z wirusami która zakończyła się formatem partycji C kiedyś pojawił się problem zawieszania komputera przy skanowaniu modułów, nie pamiętam dokładnie którego, chyba był to sterownik NVIDIA nForce Networking Controller. Po reinstalacji systemu miałem problem z zainstalowaniem sterownika płyty głównej zawierającego ten sterownik, kilkukrotnie wyskakiwał mi przy tym BSOD ale jakoś wreszcie zainstalowałem. Po tym GMER działał dopóki nie zaznaczałem skanowania modułów, tylko tam się zawieszał. Od paru tygodni zawiesza się też o ile pamietam na ntkrnlpa.exe wiec ciężko cokolwiek zeskanować. Uruchomiłem narzędzie Kaspersky TDSSkiller oraz Malwarebytes sądząc że może coś wykryją, jednak nie zauważyłem niczego szczególnie rzucającego się w oczy poza paroma wyjątkami (np oreans.sys) Kolejnym problemem jest to, że drugi komputer a dokładnie laptop ma tą samą infekcje zdobytą tą samą drogą ale nim zajmę się później. Dołączam logi OTL, Malwarebytes; TDSSkillera, GMER w prescanie nic nie wykazuje. W systemie zainstalowane jest oprogramowanie Daemon Tools, przed skanowanami użyty był jednak Defogger. Proszę o pomoc OTL.Txt Extras.Txt TDSSKiller.2.8.15.0_27.11.2012_16.58.41_log.txt TDSSKiller.2.8.15.0_26.11.2012_21.52.51_log.txt mbam-log-2012-11-27 (17-37-18).txt defogger_disable.txt

Poszło bez problemów. Robieniem płytki ze zintegrowanym SP3 zajmę się prawdopodobnie dopiero jutro. Albo jednak zajmę się tym już teraz, zależy mi na rozwiązaniu tego możliwie szybko. #edit 2 Jednak dopiero jutro uda mi się wypalić płytkę, ostatnia czysta CD którą miałem jednak jest już zapisana. #edit 3 I tak tym sposobem dotarłem do pewnego momentu w którym się poddaje. Mimo wszystko dziękuję za okazaną pomoc, mogę bez problemu przerzucić potrzebne pliki z systemu więc nie ma problemu. Na zakończenie dodaję unikatową pamiątkę (kolejny do kolekcji) na zwieńczenie przeprowadzonych tu operacji.

A więc tak: System ładuje się naprawdę szybko na pewno nie wolniej niż było. Co do usług: Routing i dostęp zdalny Typ uruchomienia - Automatyczny Stan - Wyłączony Menedżer autopołączenia dostępu zdalnego Typ uruchomienia - Wyłączony Stan - Wyłączony Menedżer połączeń usługi Dostęp zdalny Typ uruchomienia - Wyłączony Stan - Wyłączony Telefonia Tryb uruchomienia - Ręczny Stan - Wyłączony Stan usług z ręcznym uruchomieniem

Zdaję sobie sprawę z przestarzalności SP 2 ale dotychczas nie miałem żadnych najmniejszych problemów od lat w związku z tym. Wiem jaką tu operacje wykonałem w związku z TCP/IP, ale zdaję sobie sprawę, że dane wykorzystane do naprawy w owym procesie także mogły zostać uszkodzone. Wcale nie odrzucam np. naprawy metodą nakładkową, bo od dawna mam poustawiany system dokładnie tak jak mi odpowiada i nie chcę od nowa kompletować wszystkiego bo jest to praktycznie niemożliwe. I tak nie mam wiele do stracenia w związku z systemem, jeżeli stoję w obliczu reinstalacji systemu, czyż nie? Ściągam SP3 co zajmie jeszcze około godziny, narazie wrzucam dziennik zdarzeń (uznałem że na google docs będzie najwygodniej sciągnąć) Klik

Dalej nie działa, ale tak łatwo się nie poddam. Jakieś sugestie? Na laptopie mam dokładnie ten sam system, mogę podmienić wszystkie uszkodzone sterowniki sieciowe, jakieś dllki itd.

Już w poprzednim poście ukazałem listę po usunięciu wszystkich które było możliwe urządzeń sieciowych (obrazek 3). Comodo ma przez cały czas wyłączone wszystkie ochrony włącza się wyłącznie jego "panel sterujący", wywaliłem go teraz dodatkowo z autostartu. Bez zmian, dalej internet nie działa, ubyło tylko kilka połączeń np loopback i hamachi z Połączeń sieciowych. Zastanawia mnie cały czas dlaczego w ipconfig w połączeniu wskazuje dwa adresy ip z czego jeden jest poprawny a w drugim zamiast wartości jest pytajnik, w laptopie gdzie wszystko działa i ipconfig tego drugiego ip nie wyświetla. : Karta Ethernet NEt: Sufiks DNS konkretnego połączenia : Opis . . . . . . . . . . . . . . : Karta Realtek RTL8139 Family PCI Fast Ethernet NIC Adres fizyczny. . . . . . . . . . : 00-30-4F-27-98-59 DHCP włączone . . . . . . . . . . : Tak Autokonfiguracja włączona . . . . : Tak Adres IP. . . . . . . . . . . . . : 192.168.1.100 Maska podsieci. . . . . . . . . . : 255.255.255.0 Adres IP. . . . . . . . . . . . . : ? Brama domyślna. . . . . . . . . . : 192.168.1.1 Serwer DHCP . . . . . . . . . . . : 192.168.1.1 Serwery DNS . . . . . . . . . . . : 192.168.1.1 Dzierżawa uzyskana. . . . . . . . : 4 kwietnia 2012 15:13:18 Dzierżawa wygasa. . . . . . . . . : 19 stycznia 2038 05:14:07

Pamiętam jak podmieniałem plik afd.sys. Teraz widnieje on na liscie sterowników niezgodnych z Plug and Play. #edit Nie dało się odinstalować żadnego z ukazanych na poniższym obrazku.