mlekopan16 Opublikowano 27 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 Witam. Wczoraj ściągnąłem z jakiejś strony pdfa. Wcześniej google informowało mnie, że witryna została zgłoszona jako podejrzana, lecz zignorowałem to. Otworzył się Foxit Reader jako wtyczka do firefoxa (całkiem aktualna, program ściągany z 2 tyg temu) w zaktualizowanym Firefoxie i wszystko było ok, pdf ten co chciałem. Po godzinie zaczęły się problemy z komputerem. Był internet, ale Firefox nie chciał się połączyć z żadną stroną (lecz nie wyświetlał się monit o braku internetu - wałkował połączenie cały czas). W tym czasie rozmawiałem z kolegą na Skype więc połączenie było na pewno. Po kolejnej godzinie Windows zaczął się dziwnie zachowywać, tzn. jakby był bardzo obciążony. Wejście w mój komputer skutkowało wyszukiwaniem wszelkich dysków i napędów (bo okienko było puste, bez dysków, napędów, czegokolwiek). Wejście w menu start skutkowało jego blokowaniem się i też przeszukiwaniem zasobów (pojawiała się lupa przy włączeniu podfolderu bądź programu). Żaden program nie został uruchomiony z pulpitu. Klikało się dwa razy i nic, zero odzewu. Po ponownym uruchomieniu wszystko wracało do normy na jakieś pół minuty. Dalej było to co wyżej. Wchodzenie w tryb awaryjny nic nie dawało. Zdążyłem zrobić tylko logi z OTLa, ponieważ ComboFix zacinał się na robieniu Kopii przywracania Windowsa. ComboFix ostrzegał mnie również, że w trybie awaryjnym działa program Avast, mimo że nie był włączony żaden z jego procesów. Zdążyłem tylko zobaczyć na tym super forum, że błąd dotyczy wpisu w WMI (nie pamiętam już co to dokładniej było, do lektury powrócę później). Nie mogłem połączyć się z żadnym forum by nawet zdążyć napisać post, więc musiałem ponownie zreinstalować Windowsa, usuwając wcześniej podejrzany plik pdf, tak dla pewności. Windows był zaktualizowany, wszystkie nawet najmniejsze poprawki ściągałem (dla wiadomości, jest to Win7 x86 SP1). Za antywirusa miałem najnowszego, zaktualizowanego Avasta w wersji full na 30 dni, z wszystkimi osłonami włączonymi (firewall jak dobrze pamiętam, piaskownica itp). Przedstawię 2 logi z OTLa. Jeden będzie z trybu normalnego przed reinstalacją Windowsa gdy wirus działa, drugi będzie po reinstalacji, dla pewności czy nic tam nie siedzi. Ten pierwszy wrzucę dlatego, żeby Państwo mogli zeskanować go, i powiedzieć ewetualnie co to było oraz jak się bronić. Oraz jakby Państwo mogli polecić jakąś dobrą formę zabezpieczenia się, byłoby miło. Log gdy wirus był, przed reinstalacją Windowsa: OTL.txt http://wklej.org/id/819625/ Extras.txt http://wklej.org/id/819626/ Log gdy wirusa może nie ma, po reinstalacji systemu: OTL.txt http://wklej.org/id/819629/ Extras.txt http://wklej.org/id/819631/ W systemie zainstalowałem tylko sterowniki, nie aktualizowałem, nic nie instalowałem. Chciałem dać jeszcze log z Security Check, ale nie ma sensu, skoro nic w systemie nie instalowałem. Pozdrawiam, i z góy dziękuje za odpowiedzi. Daniel. Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Nie jestem przekonana, czy tu w ogóle była infekcja ... - W logach sprzed reinstalacji Windows (brak jednak odczytu z GMER) nie widać żadnych oczywistych trojanów, ale za to adware Web Assistant, Incredibar.com, StartSearch plugin (śmieć od wtyczek LiveVDO / vShare). Tak więc przynajmniej konfig przeglądarek był zdewastowany. Na przyszłość: wykaż większą uwagę przy instalacjach i odznaczaj sponsorów, a wtyczki vShare / LiveVDO odradzam (robią bezczelny śmietnik w systemie). - W logach po reinstalacji Windows nie ma czego szukać, został zrzucony nowy obraz Windows i wszystkie ślady zostały nadpisane. Wchodzenie w tryb awaryjny nic nie dawało. Zdążyłem zrobić tylko logi z OTLa, ponieważ ComboFix zacinał się na robieniu Kopii przywracania Windowsa. ComboFix ostrzegał mnie również, że w trybie awaryjnym działa program Avast, mimo że nie był włączony żaden z jego procesów. Zdążyłem tylko zobaczyć na tym super forum, że błąd dotyczy wpisu w WMI (nie pamiętam już co to dokładniej było, do lektury powrócę później). Wprawdzie mowa o wariacjach i w Trybie awaryjnym, ale ... opis mi się kojarzy prędzej z usterką Avast Internet Security a nie aktywnością trojana. W logach sprzed reinstalacji Avast to najbardziej rozbudowana aplikacja, bazująca na sterownikach i inferująca w sieć. . Odnośnik do komentarza
mlekopan16 Opublikowano 28 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Witam. Bardzo dziękuje za odpowiedź. Aż jestem w szoku, że w logach nic nie było, ponieważ wszystko stało się tak jakby właśnie od tego pdfa przed którym Google mnie ostrzegało, że jest podejrzenie strony atakującej, czy coś w takim stylu. Jeżeli chodzi o uszkodzenie Avasta, hmm. Miałem go już około 20 dni, bo piszczał mi, że zostało 10 dni do końca licencji testowej. Tak nagle mógł się zepsuć? Ale teraz już to nieważne. Co do pluginów LiveVDO, tak - wiem. Tata chciał oglądnąć jakiś film i ściągnął ten śmieć, jednak nie chciało mi się tego już ruszać i tak zostało. Lecz to też było już też z tydzień wcześniej od tego "zepsucia" systemu. No nic, tym razem spróbuję z Avirą, jak mi się spodoba to kupię być może licencję, bo szkoda się męczyć i reinstalować programy co chwile. Dziękuje bardzo pani picasso za pomoc. Zawitam chyba na tym forum na dłużej Pozdrawiam serdecznie Odnośnik do komentarza
mlekopan16 Opublikowano 28 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Przepraszam że post pod postem, lecz nacieszyłem się tylko pół dnia sprawnym Windowsem. Powróciło wszystko to co opisywałem. Wrzucę logi póki jeszcze mogę: OTL: OTL.txt http://wklej.org/id/820146/ Extras.txt http://wklej.org/id/820148/ RSIT: log.txt http://wklej.org/id/820152/ Info.txt http://wklej.org/id/820153/ ComboFix póki co, nie może dokończyć skanowania plików. Na początku widać jak pracuje dysk poprzez diodę na obudowie, naglę staje i system już jest tak jakby zawieszony (mogę ruszać myszką, mogę zaznaczać ikony na pulpicie, ale żadnego programu nie włączę, nie wejdę w pasek startu, w mój komputer itp). Za chwilę wrzucę jeszcze GMER, długo się to skanuje. Edit. Tak jak mówiłem, log z GMER jeszcze: http://wklej.org/id/820160/ Gdy komputer się zawiesza a mam włączony mój komputer, po odświeżeniu występuje coś takiego: http://zapodaj.net/7f3f013f8e688.jpg.html Zielony pasek adresu dochodzi do 98-99% i stoi tak ile mu się podoba. Security check: http://wklej.org/id/820165/ Pozdrawiam serdecznie. Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 OTL albo RSIT, po co duplikaty, to GMER istotniejszy. Znów używałeś ComboFix, to działania bez sensu, ta aplikacja nie służy do uruchamiania przy wszystkich problemach jak leci. Skoro po reinstalacji Windows problem się ujawnia, to należy przypuszczać, że to prędzej doinstalowane oprogramowanie a nie infekcja. Patrząc w aktualny log: - Konsekwentnie: brak oznak sugerowanej infekcji. - Preferencje Firefox znów zabrudzone adware. Wygląda na to, że chyba skopiowałeś zasyfiony profil Firefox zbackupowany przed reinstalacją (?). - Zamiast Avasta jest Avira. Zupełnie inny program, toteż na razie porzucam ten trop. - Powtarzający się soft między logami przed i po reinstalacji to emulator DAEMON Tools Lite ze sterownikiem SPTD oraz oprogramowanie do automatyzacji zadań (np. rozłączanie sieci): SRV - [2010-10-31 20:37:48 | 000,135,168 | ---- | M] (Airytec) [Auto | Stopped] -- C:\Program Files\Airytec\Switch Off\swoff.exe -- (SwOffWeb) SRV - [2010-10-31 20:37:48 | 000,135,168 | ---- | M] (Airytec) [Auto | Stopped] -- C:\Program Files\Airytec\Switch Off\swoff.exe -- (SwOffScheduler) Czy jesteś pewień, że żaden z nich nie bruździ? - Dodatkowa różnica między logiem zaraz po reinstalacji a tym to zmiana wersji sterownika nVidia nvlddmkm.sys. Ale przed reinstalacją nie był aktualizowany, więc chyba chybiony trop. . Odnośnik do komentarza
mlekopan16 Opublikowano 28 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Program Switch off używam już od około roku, cały czas w tej samej wersji z tego samego źródła (instalki na dysku). Co do Firefoxa - zapomniałem Zrobiłem kopię programem MozBackup i przywróciłem w obecnym systemie. Co do Daemon Tools'a, również programu używam już dłuższy czas, z tego samego źródła. Sterownik Nvidii był aktualizowany na nowszą wersję przy tej instalacji Windowsa. Skoro mówi Pani, że problemu należy szukać gdzie indziej - tak zrobię. ComboFix był używany, lecz mówię, że po krótkiej chwili używania, gdy zrobił kopię przywracania Windowsa, ten zatrzymywał się razem z systemem, więc nie uważam, żeby jego włączenie mogło coś tutaj zrobić. Jednak w tych sprawach jest Pani dużo bardziej doświadczona więc nie zamierzam nawet dyskutować. Dziękuje bardzo za odpowiedź. Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 (edytowane) Zrób jeszcze test na rozszerzenia powłoki. Uruchom ShellExView, zaznacz wszystkie różowe (niedomyślne), zresetuj system i podaj rezultaty. Co do Firefoxa - zapomniałem Zrobiłem kopię programem MozBackup i przywróciłem w obecnym systemie. Możesz założyć nowy czysty profil kopiując do niego tylko najistotniejsze dane (zakładki i hasła), a stary usunąć. Program Switch off używam już od około roku, cały czas w tej samej wersji z tego samego źródła (instalki na dysku).Co do Daemon Tools'a, również programu używam już dłuższy czas, z tego samego źródła. Na wszelki wypadek sprawdź je jednak. . Edytowane 29 Września 2012 przez picasso 29.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi