rancor12 Opublikowano 30 Października 2012 Zgłoś Udostępnij Opublikowano 30 Października 2012 Witam! Mój komputer ma dwa dyski i dwa systemy Windows Xp Sp 3 i Windows 7. Problem dotyczy tego pierwszego, więc odpada problem techniczny (zarówno po mojej stroni jak i po stronie dostawcy netu). Od co najmniej kilku dni mam problemy z otwieraniem stron, nawet wyszukiwarka Google nie chce działać. Problemy wystepują czasami, nie zawsze. W tym czasie doszło do prawdopodobnej infekcji strony, którą odwiedzałem - witryna "legalna", polska, jestem jej współtwórcą. Otóż najprawdopodobniej admin tej strony coś złapał i po wejściu na tą stronę często zdarzały się przekierowania na inne strony (erotyczne i tym podobne). Zgłosiłem sprawę do hostingu oraz admina witryny. Na skanerze, którego link mi podał hosting (sitecheck.sucuri.net) widniało ostrzeżenie - niebezpieczne skrypty. Przez kilka dni witryna widniała w wyszukiwarce Google jako "ta witryna może wyrządzić szkody na twoim komputerze". Admin po moim zgłoszeniu musiał zrobić porządki w swoim komputerze i od tego czasu strona na skanerze i w Google widnieje jako czysta. Admin używa wordpressa wraz z wtyczkami do tworzenia strony, więc wygląda na to, że tu leżał problem (często czytam o problemach z tym oprogramowaniem - częsty cel ataków). Możliwe, że wchodząc na tą stronę, coś złapałem (po przekierowaniach na iine strony). Antywirus nic nie wykazał (Comodo internet Security). Również AVG Internet Security z drugiego systemu nic nie wykazał. Dodatkowo dzisiaj doszło do kilkuminutowego zawisu systemu, nic w tym czasie nie robiłem na komputerze. Myślałem, że zawiesił się eksplorator i próbowałem dobić go w menedżerze zadań - nie dało się, dopiero po kilku minutach komenda kończąca proces zadziałała. Jeszcze przed użyciem OTL przeskanowałem system za pomocą TDSSKiller i wykrył mi 6 "infekcji" - pliki dałem do kwarantanny. Załączam również log z TDSS. Pozdrawiam. TDSSKiller.2.8.13.0_30.10.2012_22.05.09_log.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2012 Zgłoś Udostępnij Opublikowano 31 Października 2012 Obowiązkowym raportem w dziale jest GMER, dodaj go. Używałeś też ComboFix, a siedzisz cicho, czy jest log z jego działania powstały przy tamtym uruchamianiu (nie uruchamiaj narzędzia ponownie!)? Na razie nie widzę tu żadnych śladów wskazujących na infekcję. Tylko sprawy kosmetyczne, czyli: 1. Usunięcie wyszukiwarki adware z Firefox: FF - prefs.js..browser.search.defaultenginename: "MyStart Search"FF - prefs.js..browser.search.selectedEngine: "MyStart Search" Uruchom Firefox, w pasku adresów wklep about:config, wyszukaj frazy browser.search.defaultenginename, browser.search.selectedEngine i z prawokliku zresetuj do poziomu domyślnego. 2. Usunięcie tych dwóch szczątkowych sterowników: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\USER\USTAWI~1\Temp\catchme.sys -- (catchme)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\Drivers\AsrOcDrv.sys -- (AsrOcDrv) Operacja w Autoruns w karcie Drivers. Od co najmniej kilku dni mam problemy z otwieraniem stron, nawet wyszukiwarka Google nie chce działać. Problemy wystepują czasami, nie zawsze. (...) Jeszcze przed użyciem OTL przeskanowałem system za pomocą TDSSKiller i wykrył mi 6 "infekcji" - pliki dałem do kwarantanny. UnsignedFile.Multi.Generic to brak podpisu cyfrowego i to nie jest równoznaczene z infekcją. Tych wyników nie należy usuwać w ciemno. Pliki wydają się poprawne. Jeden wyjątek budzący zastanowienie: jako niesygnowany pokazał się sterownik TCP/IP. Mogą istnieć jednak alternatywne wyjaśnienia tego wyniku, np. patchowanie pliku tcpip.sys w celu zdjęcia w nim limitu połączeń. Tak więc czy coś takiego tu było prowadzone? Widzę w raporcie xp-AntiSpy... Dodatkowo dzisiaj doszło do kilkuminutowego zawisu systemu, nic w tym czasie nie robiłem na komputerze. Myślałem, że zawiesił się eksplorator i próbowałem dobić go w menedżerze zadań - nie dało się, dopiero po kilku minutach komenda kończąca proces zadziałała. Czy jesteś pewnien, że problemu nie tworzą COMODO Internet Security i/lub AVG 2013? . Odnośnik do komentarza
rancor12 Opublikowano 31 Października 2012 Autor Zgłoś Udostępnij Opublikowano 31 Października 2012 Combofix był używany kilka tygodni temu, po wcześniejszych problemach (trojan, po przekierowaniu z bezpiecznej na zainfekowaną stronę). Logów nie ma, usunięte którymś z programów do czyszczenia systemu. Adware - ostatnio kilka stron z oprogramowaniem stosuje instalatory internetowe do programów, które dodają wyszukiwarki. Ze strony programs.pl "nabyłem" wyszukiwarkę v9, ale skutecznie się jej pozbyłem. AVG 2013 to tylko darmowy link scanner, stosuję go jako dodatek do Comodo. Zresztą najnowsza wersja AVG 2013, zarówno Internet Security jak i Link Scanner sprawiają problemy przy aktualizacji ("błąd ogólny"). W ostatnich kilku tygodnich nawet co kilka dni wychodziły nowe instalatory tych programów - dużo poprawek, widać, że AVG nie postarało się przy nowym produkcie. Wcześniej miałem wersję 2012 i nie było problemów. Może tutaj leży źródło problemów z internetem? Tak, używam Xp-AntiSpy, zmieniony limit połączeń. Co ciekawe, Combofix usunął z Program Files cały folder tego programu, zainstalowałem ponownie. Gmer.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2012 Zgłoś Udostępnij Opublikowano 31 Października 2012 Combofix był używany kilka tygodni temu, po wcześniejszych problemach (trojan, po przekierowaniu z bezpiecznej na zainfekowaną stronę). Logów nie ma, usunięte którymś z programów do czyszczenia systemu. Natomiast log z OTL mówi, że ComboFix był używany wczoraj. Są charakterystyczne elementy na dysku utworzone tego dnia, tylko uruchomienie ComboFix może je utworzyć (i elementy się samodzielnie nie odświeżają, odpalono tu procedurę ComboFix): [2012-10-30 19:13:58 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe[2012-10-30 19:13:58 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe[2012-10-30 19:13:58 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe[2012-10-30 19:13:58 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe[2012-10-30 19:13:38 | 000,000,000 | ---D | C] -- C:\Qoobox[2012-10-30 19:13:58 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe[2012-10-30 19:13:58 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe[2012-10-30 19:13:58 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe[2012-10-30 19:13:58 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe[2012-10-30 19:13:58 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe AVG 2013 to tylko darmowy link scanner, stosuję go jako dodatek do Comodo. Ale ten "tylko link scanner" zazębia się z polem usterki (ingeruje tam) i jedzie na sterownikach (wysoki poziom ingerencji): DRV - [2012-09-21 02:46:06 | 000,164,832 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtdix.sys -- (Avgtdix)DRV - [2012-09-21 02:46:00 | 000,177,376 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avglogx.sys -- (Avglogx)DRV - [2012-09-21 02:45:52 | 000,055,008 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avgidshx.sys -- (AVGIDSHX) Podtrzymuję, obie wyliczone aplikacje do sprawdzenia. Na chwilę obecną w raportach brak podstaw do szukania infekcji. Tak, używam Xp-AntiSpy, zmieniony limit połączeń. Co ciekawe, Combofix usunął z Program Files cały folder tego programu, zainstalowałem ponownie. To wyjaśnia odczyt UnsignedFile.Multi.Generic na tcpip.sys w TDSSKiller. Akcja ComboFix oderwana od rzeczywistości, fałszywy alarm. Nie po raz pierwszy, już kiedyś zgłaszałam to samo do autora. . Odnośnik do komentarza
rancor12 Opublikowano 31 Października 2012 Autor Zgłoś Udostępnij Opublikowano 31 Października 2012 [...]Używałeś też ComboFix, a siedzisz cicho, czy jest log z jego działania powstały przy tamtym uruchamianiu[...] Sprawa z Combofixem wyjaśniła się - brat zrobił ten numer, na własnym laptopie prawie zawsze wali w szkodniki z grubej rury, więc jak mu powiedziałem o problemie, to dosłownie kilka minut nie było mnie przy komputerze i ściągnął instalkę i odpalił. Odpalił po raz ostatni, system mam teraz zabezpieczony hasłem Gość zasięga opinii na różnych forach i tam niekoniecznie ostrzegają przed używaniem Combofixa. Więc log jak najbardziej z tego skanowania jest, myślałem najpierw, że chodzi Ci o log z poprzedniego skanu. Jak twierdzisz, że AVG gryzie się, to w ostateczności mogę go wywalić (oczywiście za pomocą dedykowanego narzędzia z AVG, usuwającego również pozostałości). ComboFix-quarantined-files.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2012 Zgłoś Udostępnij Opublikowano 31 Października 2012 (edytowane) Więc log jak najbardziej z tego skanowania jest, myślałem najpierw, że chodzi Ci o log z poprzedniego skanu. Nie usuwał nic związanego z infekcją. Dostało się XP-Antispy i kilku mało istotnym plikom (w tym od Total Commander). I ComboFix należy teraz prawidłowo odinstalować przez przełącznik /uninstall. Jak twierdzisz, że AVG gryzie się, to w ostateczności mogę go wywalić (oczywiście za pomocą dedykowanego narzędzia z AVG, usuwającego również pozostałości). Nie, ja tego nie twierdzę. Ja twierdzę, że przy problemie fanaberyjnego ładowania stron są podejrzane w logu dwie aplikacje: COMODO Internet Security + AVG. I obie sugeruję sprawdzić po kolei. . Edytowane 30 Listopada 2012 przez picasso 30.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi