TANGO

Witam, Wczoraj w godzinach po południowych system zaczął się dławić. Co ok. 2-7 minut wstrzymywał działanie na ok. 5-8 sekund(klawiatura i myszka w tym czasie nie reagowały). Kursor myszki zmienił się w dużą "łapę"(w systemowych kursorach takiej nie znalazłem), podobną do tej, która pojawia się standardowo gdy kursor mamy nad jakimś odnośnikiem do strony internetowej, z tym, że była ona znacznie większa, w przybliżeniu 2 x 2 cm i miała kciuk odstający w bok, była też strasznie pikselowata. W niektórych momentach kursor zmieniał się też w pionową kreskę, którą widzimy jak klikniemy na pole do wprowadzania tekstu, tak było cały czas, po restarcie systemu również. System to Windows 8.1 Enterprise Evaluation 64-bit pobrany ze strony Microsoft. Nie instalowałem żadnych nakładek graficznych do zmiany menu start ani innych cudów, zainstalowane są tylko podstawowe programy typu avast free antivirus, skype, microsoft office, utorrent, photoshop itp. wszystkie w najnowszych wersjach bez żadnych toolbarów. Sprzętowo: dysk systemowy to SSD intela, procesor core 2 duo E8400, grafika GeForce GTX 460, 4GB RAM Powyższe objawy występowały wczoraj. Wczoraj też wykonałem skanowanie programem avast free antivirus, który nic nie wykrył. Trochę niedowierzając zainstalowałem Malwarebytes Anti-Rootkit BETA v1.07.0.1007, który wykrył coś takiego: Registry Data Items Detected: 1 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoDrives (PUM.Hijack.Drives) -> Bad: (8) Good: (0) -> Replace on reboot. Następnie zainstalowałem Malwarebytes Anti-Malware 1.75.0.1300, wykrył to samo co MBAR. Po restarcie Malwarebytes Anti-Rootkit usunął problem, bo jest już prawie dobrze. Zrobiłem jeszcze pełny skan avastem w trybie bootowania, ale nic nie wykazało. MBAM i MBAR też mówią, że jest już czysto. Moja sugestia: Po naprawie dokonanej przez MBAR w lokalizacji Mój komputer pojawiła mi się dodatkowa partycja D:\ o rozmiarze 350MB. Jest to zresztą partycja, którą zaraz po instalacji systemu sobie ukryłem, bo system tego nie zrobił, jest to partycja systemowa, która jest automatycznie tworzona przy instalacji Windows 7/8, być może nie została ona ukryta dlatego, że system jest na dysku SSD, a ona została stworzona na dysku talerzowym i po instalacji była widoczna w Mój komputer, dlatego ją ukryłem. Idąc dalej, przeczytałem w jednym z wpisów picasso, że rootkity tworzą dodatkową ukrytą partycję, a ja taką właśnie mam, tylko, że stworzył ją instalowany system Windows 8.1, a ja sam ją ukryłem:) Więc MBAR mógł błędnie zinterpretować ją jako partycję stworzoną przez rootkit i dlatego zdjął jej atrybut ukryty?? Moja wiedza jest znikoma, a pisząc to chciałem tylko coś zasugerować, być może będzie to jakaś wskazówka dla osoby przeglądającej logi. Sytuacja na tę chwilę wygląda dobrze. Kursor jest taki jak powinien, a system bardzo rzadko się przycina. Prosiłbym natomiast w miarę możliwości o sprawdzenie czy aby na pewno wszystko jest dobrze. Być może nie była to kwestia relanej infekcji, a raczej jakiś egzotyczny problem z samym Windows 8.1 lub sytuacja, którą zasugerowałem powyżej. Poniżej wymagane logi + raport z MBAR po wykryciu infekcji. Załączone pliki FRST.txt Addition.txt OTL.Txt Extras.Txt GMER.txt checkup.txt mbar-log-2013-11-12 (00-13-37).txt

Dziękuję za wyczerpujące wyjaśnienie picasso. Pozdrawiam TANGO

Rozumiem, że nie ma znaczenia to, że OTL podał te dwie identyczne ścieżki w dwóch różnych wersjach(małe i duże litery) i nie jest to podejrzane? Jeżeli to nic takiego to dziękuję Wam za pomoc Pozdrawiam TANGO

Daję logi z Windows XP o których wspominałem kilka dni temu. W Gmerze nie da się zaznaczyć wszystkich opcji do skanowania, większość jest *wyszarzała*. W trybie awaryjnym są zaznaczone wszystkie ale każdorazowo po rozpoczęciu skanowania wylatuje BSOD, więc zamieszczam raport z RootRepeal: OTL.Txt Extras.Txt ROOTREPEAL.txt

Dziękuję za podjęcie tematu, niestety będę poza domem do wtorku, więc jeżeli można to prosiłbym o nie zamykanie tematu do tego czasu, po przyjeździe wykonam Twoje zalecenia, dzięki picasso. 1. Nie udało mi się udnaleźć wszystkich wpisów w AutoRuns, te które usunąłem to ask toolbar i AF83.tmp, przy czym bezpośrednio w rejestrze pod Internet Explorer>Toolbar nadal znajduje mi wpis: D4027C7F-154A-4066-A1AD-4243D8127440 co sugeruje, że ask dalej tam siedzi, tak? Tej pozostałości po sterowniku Daemon Tools też nie odnalazłem w AutoRuns. 2. Zrobione 3. OK. muszę się przyznać, bo trochę tę historię nagiąłem, MBAM wykrył rootkita ale było to na XP, nie na 7-ce, więc pomyślałem, że może rootkit miałby możliwość przejścia z jednej partycji systemowej na drugą podczas np. kopiowania plików między nimi? Dlatego podałem, że to na 7-ce mi go wykryło, XP nie używam na co dzień - przepraszam za zamieszanie picasso. Czy mogę podać tutaj dodatkowo logi z XP? - co oprócz OTL i Gmer'a?. Poniżej screen z MBAM z XP 32bit Co do phishingu, daję raport z KIS 2010, bo screena nie mam, już to nie występuje w tej chwili, nie wiem czemu, może to był jakiś fałszywy alarm. Reszta zrobiona. phishing KIS2010.txt

Witam wszystkich na forum, ostatniego czasu miałem kilka dziwnych incydentów w systemie, a mowa o Windows 7 64bit. Malwarebytes kilkanaście dni temu wykrył rootkita, ale rzekomo go usunął, niestety nie potrafię podać jego nazwy. Wczoraj wszedłem na stronę hxxp://www.muzeum.torun.pl po czym po odblokowaniu NoScripta w firefoxie uruchomiła się java na chwilę i system się zawiesił, pomógł tylko restart(wtedy miałem jeszcze numerek przed najnowszą 6 update 22, po tym incydencie od razu zaktualizowałem do 22). Na XP identyczna sytuacja, ta sama strona zawiesiła komputer. Pod linuksem nic takiego nie miało miejsca, komputer działał normalnie. Po restarcie chciałem wejść na http://www.gmail.com/ i KIS 2010 ostrzegł mnie, że to phishing, więc jak na razie się wstrzymałem z logowaniem. Będę wdzięczny za pomoc, dziękuję. OTL Extras Wczoraj założyłem też temat na innym forum http://forum.dobreprogramy.pl/wykryty-rootkit-phishing-t418419.html Dodaję też raport z Kaspersky Virus Removal Tool raport Kaspersky Virus Removal Tool.txt