Witam, Wczoraj w godzinach po południowych system zaczął się dławić. Co ok. 2-7 minut wstrzymywał działanie na ok. 5-8 sekund(klawiatura i myszka w tym czasie nie reagowały). Kursor myszki zmienił się w dużą "łapę"(w systemowych kursorach takiej nie znalazłem), podobną do tej, która pojawia się standardowo gdy kursor mamy nad jakimś odnośnikiem do strony internetowej, z tym, że była ona znacznie większa, w przybliżeniu 2 x 2 cm i miała kciuk odstający w bok, była też strasznie pikselowata. W niektórych momentach kursor zmieniał się też w pionową kreskę, którą widzimy jak klikniemy na pole do wprowadzania tekstu, tak było cały czas, po restarcie systemu również. System to Windows 8.1 Enterprise Evaluation 64-bit pobrany ze strony Microsoft. Nie instalowałem żadnych nakładek graficznych do zmiany menu start ani innych cudów, zainstalowane są tylko podstawowe programy typu avast free antivirus, skype, microsoft office, utorrent, photoshop itp. wszystkie w najnowszych wersjach bez żadnych toolbarów. Sprzętowo: dysk systemowy to SSD intela, procesor core 2 duo E8400, grafika GeForce GTX 460, 4GB RAM Powyższe objawy występowały wczoraj. Wczoraj też wykonałem skanowanie programem avast free antivirus, który nic nie wykrył. Trochę niedowierzając zainstalowałem Malwarebytes Anti-Rootkit BETA v1.07.0.1007, który wykrył coś takiego: Registry Data Items Detected: 1 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoDrives (PUM.Hijack.Drives) -> Bad: (8) Good: (0) -> Replace on reboot.
Następnie zainstalowałem Malwarebytes Anti-Malware 1.75.0.1300, wykrył to samo co MBAR. Po restarcie Malwarebytes Anti-Rootkit usunął problem, bo jest już prawie dobrze. Zrobiłem jeszcze pełny skan avastem w trybie bootowania, ale nic nie wykazało. MBAM i MBAR też mówią, że jest już czysto. Moja sugestia: Po naprawie dokonanej przez MBAR w lokalizacji Mój komputer pojawiła mi się dodatkowa partycja D:\ o rozmiarze 350MB. Jest to zresztą partycja, którą zaraz po instalacji systemu sobie ukryłem, bo system tego nie zrobił, jest to partycja systemowa, która jest automatycznie tworzona przy instalacji Windows 7/8, być może nie została ona ukryta dlatego, że system jest na dysku SSD, a ona została stworzona na dysku talerzowym i po instalacji była widoczna w Mój komputer, dlatego ją ukryłem. Idąc dalej, przeczytałem w jednym z wpisów picasso, że rootkity tworzą dodatkową ukrytą partycję, a ja taką właśnie mam, tylko, że stworzył ją instalowany system Windows 8.1, a ja sam ją ukryłem:) Więc MBAR mógł błędnie zinterpretować ją jako partycję stworzoną przez rootkit i dlatego zdjął jej atrybut ukryty?? Moja wiedza jest znikoma, a pisząc to chciałem tylko coś zasugerować, być może będzie to jakaś wskazówka dla osoby przeglądającej logi. Sytuacja na tę chwilę wygląda dobrze. Kursor jest taki jak powinien, a system bardzo rzadko się przycina. Prosiłbym natomiast w miarę możliwości o sprawdzenie czy aby na pewno wszystko jest dobrze. Być może nie była to kwestia relanej infekcji, a raczej jakiś egzotyczny problem z samym Windows 8.1 lub sytuacja, którą zasugerowałem powyżej. Poniżej wymagane logi + raport z MBAR po wykryciu infekcji. Załączone pliki
FRST.txt
Addition.txt
OTL.Txt
Extras.Txt
GMER.txt
checkup.txt
mbar-log-2013-11-12 (00-13-37).txt