Kamos Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Witam, problemy jakie mam na moim komputerze są następujące: 1. (nie wiem czy związany z malware, ale ponieważ występuje od zawsze, raczej niezwiązany) Od kiedy go mam co jakiś czas zdarzają się BSOD. Różne pliki je powodują i różne są numery błędów. podejrzewałem problemy hardware'owe, wymieniłem część sprzętu na gwarancji, stanęło na tym że problem może być z dyskiem, którego nie wymieniłem jak na razie. 2. (prawdopodobnie związany z dostawcą internetu, a nie z malware) Od kiedy przeszedłem na internet od Multimedia zdarza się że wejście na niektóre strony (często związane z google) powoduje dziwne efekty, np: zamiast strony google.pl pojawia się pusta strona, zawierająca tylko tekst np.: "I am alive!", albo próba wejścia na gmail, skutkuje ciągłym przekierowywaniem na stronę logowania (nawet po zalogowaniu). 3. (i tutaj problem który mnie tu skierował) Ostatni skan Symantec Security Check wykazał: Na dysku zewnętrznym G: 6 folderów zostało ukrytych, stworzone pliki .exe z nazwami i ikonami podszywającymi się pod te foldery, zainfekowane packed.generic.244, oraz autorun.inf przekierowujący na jeden z tych plików Jeden z plików mp3 na dysku głównym C: zainfekowany przez Trojan.Wimad Skan Security Check: Results of screen317's Security Check version 0.99.5 Windows Vista Service Pack 2 (UAC is enabled) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Firewall Enabled! WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Norton Ghost TuneUp Companion 1.8.0 CCleaner Java 6 Update 21 Java SE Runtime Environment 6 Java 6 Update 4 Java 6 Update 7 Out of date Java installed! Adobe Flash Player 10.1.53.64 Adobe Reader 8.2.4 Out of date Adobe Reader installed! ```````````````````````````````` Process Check: objlist.exe by Laurent Windows Defender MSASCui.exe Windows Defender MSASCui.exe ```````````````````````````````` DNS Vulnerability Check: GREAT! (Not vulnerable to DNS cache poisoning) ``````````End of Log```````````` Nie mam zainstalowanego żadnego Antywirusa, co jestem skłonny zmienić, o ile program będzie darmowy. Windows Firewall jest włączony ale od bardzo niedawna, przez ostatnie miesiące miałem go wyłączonego (przeszkadzał w pracy nad serwerem www) Teraz pozostałe logi: Mam zainstalowany Alcohol 120, zamieszczam log z wyłączenia (dodane .txt, żeby móc zamieścić plik). OTL poszedł bez problemów, załączam. Gmer niestety się nie udał, załączam preskan, i print-screen błędu. Bardzo proszę o pomoc w poprawie bezpieczeństwa mojego laptopa. defogger_disable.log.txt OTL.Txt Extras.Txt gmer prescan.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 1. (nie wiem czy związany z malware, ale ponieważ występuje od zawsze, raczej niezwiązany) Od kiedy go mam co jakiś czas zdarzają się BSOD. Różne pliki je powodują i różne są numery błędów. podejrzewałem problemy hardware'owe, wymieniłem część sprzętu na gwarancji, stanęło na tym że problem może być z dyskiem, którego nie wymieniłem jak na razie. 2. (prawdopodobnie związany z dostawcą internetu, a nie z malware) Od kiedy przeszedłem na internet od Multimedia zdarza się że wejście na niektóre strony (często związane z google) powoduje dziwne efekty, np: zamiast strony google.pl pojawia się pusta strona, zawierająca tylko tekst np.: "I am alive!", albo próba wejścia na gmail, skutkuje ciągłym przekierowywaniem na stronę logowania (nawet po zalogowaniu). Mówisz, że problem jest "od zawsze". Gdyby pojawił się w kontekście infekcji, to wtedy te objawy mogłyby być związane z działaniem rootkitów typu MBR. Na wszelki wypadek dodaj raporty z następujących programów: MBRCheck + Kaspersky TDSSKiller (o ile coś będzie wykryte, wszystko ustaw na Skip, tylko raport wygeneruj). 3. (i tutaj problem który mnie tu skierował) Ostatni skan Symantec Security Check wykazał: Na dysku zewnętrznym G: 6 folderów zostało ukrytych, stworzone pliki .exe z nazwami i ikonami podszywającymi się pod te foldery, zainfekowane packed.generic.244, oraz autorun.inf przekierowujący na jeden z tych plików Jeden z plików mp3 na dysku głównym C: zainfekowany przez Trojan.Wimad Dysk zewnętrzny jest zainfekowany, są tego znaki w logu z OTL: O32 - AutoRun File - [2010-06-07 16:14:57 | 000,000,148 | RHS- | M] () - G:\autorun.inf -- [ NTFS ]O33 - MountPoints2\{09b4ea69-7093-11de-8ecb-001f3ae1246b}\Shell\1\Command - "" = G:\Recycle.exe -- [2010-06-07 16:14:57 | 001,406,935 | RHS- | M] ()O33 - MountPoints2\{09b4ea69-7093-11de-8ecb-001f3ae1246b}\Shell\2\Command - "" = G:\Recycle.exe -- [2010-06-07 16:14:57 | 001,406,935 | RHS- | M] ()O33 - MountPoints2\{245ff9cf-31bf-11df-830b-001f3ae1246b}\Shell\Auto\command - "" = G:\msnmsgr.exe -- File not foundO33 - MountPoints2\{6506310b-3857-11dd-bdc9-001f3ae1246b}\Shell\AutoRun\command - "" = G:\pook.com -- File not foundO33 - MountPoints2\{6506310b-3857-11dd-bdc9-001f3ae1246b}\Shell\open\Command - "" = G:\pook.com -- File not foundO33 - MountPoints2\{90060b75-7df5-11de-b709-001f3ae1246b}\Shell\AutoRun\command - "" = xerp8nj.exeO33 - MountPoints2\{90060b75-7df5-11de-b709-001f3ae1246b}\Shell\open\Command - "" = xerp8nj.exeO33 - MountPoints2\{e6b07ed3-7474-11de-9725-001f3ae1246b}\Shell\AutoRun\command - "" = G:\xerp8nj.exe -- File not foundO33 - MountPoints2\{e6b07ed3-7474-11de-9725-001f3ae1246b}\Shell\open\Command - "" = G:\xerp8nj.exe -- File not foundO33 - MountPoints2\{fda76b9a-7ed3-11dd-9771-001f3ae1246b}\Shell\AutoRun\command - "" = G:\pook.com -- File not foundO33 - MountPoints2\{fda76b9a-7ed3-11dd-9771-001f3ae1246b}\Shell\open\Command - "" = G:\pook.com -- File not found Dorzuć log z USBFix z opcji Listing. . Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 Wow, super szybka odpowiedź! Logi z MBR Check i Kaspersky TDSSKiller. po uruchomieniu tego drugiego stało się coś dziwnego: dwa procesy (psqltray.exe - opisany jako cos zwiazanego z Fingerprint reader i soffice.bin - open office) zajęły mi 100% procesora i musiałem je zakończyć. BTW. Czemu Kaspersky pisze ze architektura procesora jest x86 skoro Vista pisze że system jest 64bit capable? pytanie poza tematem bo przymierzam się do instalacji W7 64bit i zaskoczył mnie ten zapis w logu. Edit: Coś jest nie tak, kolejne procesy zajmują mi 100% procesora, mam zrobić reset? MBRCheck_10.17.10_15.54.38.txt TDSSKiller.2.4.4.0_17.10.2010_15.58.43_log.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Zabrakło loga z USBFix, bo muszę znać dokładną zawartość dysku G, by móc zaplanować usuwanie infekcji. Kaspersky TDSSKiller nic nie notuje, w MBRCheck dysk fizyczny 1 ma prawidłową sygnaturę, w drugim jest niestandardowy kod, tylko nie wiem co o tym sądzić. Wyszukiwanie na podaną sumę kontrolną nie kieruje mnie do żadnych informacji. Co jest na tym drugim dysku? BTW. Czemu Kaspersky pisze ze architektura procesora jest x86 skoro Vista pisze że system jest 64bit capable? pytanie poza tematem bo przymierzam się do instalacji W7 64bit i zaskoczył mnie ten zapis w logu. Możliwe, że dlatego się tak pokazuje, bo masz zainstalowany system 32-bit (x86) a nie 64-bit.... Edit: Coś jest nie tak, kolejne procesy zajmują mi 100% procesora, mam zrobić reset? Nie wiem skąd ten efekt, ale można wypróbować resetu. . Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 Drugiego dysku nie używam, jest olabelowany "RECOVERY" więc domyślam się że służy do jakichś przywróceń systemu. Był tak jak jest od początku. Zresetowałem kompa. Wrzucam log z USB fix Listing. Czy nie ma możliwości wrzucać te logi jakoś tak żeby nie były dostępne dla każdego w sieci? UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Drugiego dysku nie używam, jest olabelowany "RECOVERY" więc domyślam się że służy do jakichś przywróceń systemu. Był tak jak jest od początku. Pewnie dlatego ma niestandardowy kod (Dell). Czyli go zostawiam w spokoju. Czy nie ma możliwości wrzucać te logi jakoś tak żeby nie były dostępne dla każdego w sieci? A czego się obawiasz? W tych logach nie ma żadnych informacji, które pozwalają scharakteryzować Cię jednoznacznie. Przejdźmy do usunięcia. Może tu wystarczy prosty plik BAT na wszystko. Plik ma w zamiarze: usunąć atrybut ukryty z wszystkich katalogów, usunąć pliki podróbki symulujące w nazwie katalogi i autorun.inf, oraz zdjąć z systemu mapowanie MountPoints2. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 G: attrib /d /s -s -h G:\* del G:\autorun.inf del G:\Recycle.exe del G:\$RECYCLE.BIN.exe del G:\adrianb.exe del "G:\filmy 1.exe" del G:\Filmy.exe del G:\hhh.exe pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik 2. Do oceny: nowe logi z USBFix i OTL. . Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 Co to jest MountPoints2? Chyba usunięcie atrybutu ukryty ze wszystkiego nie jest dobrym pomysłem. Są foldery ukryte nie ze względu na infekcje (jakies RECYCLER, VproRecovery i dużo więcej w podfolderach) Anyway, wykonanie pliku .bat nie pomogło, wykonywało się długi czas, ale z tego co widziałem na wszystko dostawało 'Access denied', z wyjątkiem autorun.inf i Recycle.exe, gdzie było 'Could not find' Dodaje log końcówki wykonania fix.bat i nowy log USBfix PS. Widzę że fix.bat jednak odkrył dwa foldery - G:\Filmy i G:\$RECYCLE.BIN fixbat wykon.txt UsbFix2.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Co to jest MountPoints2? Przecież to zakreśliłam już w mojej pierwszej odpowiedzi. Ponownie cytuję: O33 - MountPoints2\{09b4ea69-7093-11de-8ecb-001f3ae1246b}\Shell\1\Command - "" = G:\Recycle.exe -- [2010-06-07 16:14:57 | 001,406,935 | RHS- | M] ()O33 - MountPoints2\{09b4ea69-7093-11de-8ecb-001f3ae1246b}\Shell\2\Command - "" = G:\Recycle.exe -- [2010-06-07 16:14:57 | 001,406,935 | RHS- | M] ()O33 - MountPoints2\{245ff9cf-31bf-11df-830b-001f3ae1246b}\Shell\Auto\command - "" = G:\msnmsgr.exe -- File not foundO33 - MountPoints2\{6506310b-3857-11dd-bdc9-001f3ae1246b}\Shell\AutoRun\command - "" = G:\pook.com -- File not foundO33 - MountPoints2\{6506310b-3857-11dd-bdc9-001f3ae1246b}\Shell\open\Command - "" = G:\pook.com -- File not foundO33 - MountPoints2\{90060b75-7df5-11de-b709-001f3ae1246b}\Shell\AutoRun\command - "" = xerp8nj.exeO33 - MountPoints2\{90060b75-7df5-11de-b709-001f3ae1246b}\Shell\open\Command - "" = xerp8nj.exeO33 - MountPoints2\{e6b07ed3-7474-11de-9725-001f3ae1246b}\Shell\AutoRun\command - "" = G:\xerp8nj.exe -- File not foundO33 - MountPoints2\{e6b07ed3-7474-11de-9725-001f3ae1246b}\Shell\open\Command - "" = G:\xerp8nj.exe -- File not foundO33 - MountPoints2\{fda76b9a-7ed3-11dd-9771-001f3ae1246b}\Shell\AutoRun\command - "" = G:\pook.com -- File not foundO33 - MountPoints2\{fda76b9a-7ed3-11dd-9771-001f3ae1246b}\Shell\open\Command - "" = G:\pook.com -- File not found Więcej o MountPoints2 w opisie na forum: KLIK. Chyba usunięcie atrybutu ukryty ze wszystkiego nie jest dobrym pomysłem. Są foldery ukryte nie ze względu na infekcje (jakies RECYCLER, VproRecovery i dużo więcej w podfolderach) Wiem, że takie są. Po prostu na podstawie widoku raportu USBFix wybrałam jedną komendę, dla uproszczenia. A usunięty HS z normalnej rzeczy nie sztuka nałożyć ponownie. Co i tak nie ma tu specjalnego znaczenia, bo mamy dysk zewnętrzny. $RECYCLE.BIN + RECYCLER (Kosze, kolejno Kosz Vista i starszego systemu), System Volume Information (folder Przywracania systemu), VproRecovery (folder od Ghosta). Zdjęcie z nich atrybutu nie ma negatywnych skutków. Katalogi Koszy = to nawet się kasuje przy sprzątaniu systemu, po skasowaniu te katalogi są regenerowane z odpowiednimi atrybutami, a który folder, to zależy do którego Windows jest podpięty dysk. Przywracanie systemu nie powinno być w ogóle czynne dla dysku zewnętrznego, który jest mobilny i przepinany między kompami (to może uszkodzić punkty przywracania zlokalizowane w katalogu), a jego folder po skasowaniu z dysku i tak jest rekonstruowany. Anyway, wykonanie pliku .bat nie pomogło, wykonywało się długi czas, ale z tego co widziałem na wszystko dostawało 'Access denied', z wyjątkiem autorun.inf i Recycle.exe, gdzie było 'Could not find' Czy to na pewno dysk z ustawionym pełnym zapisem? Czy BAT startowałeś w Trybie Uruchom jako Administrator? G:\>del G:\autorun.infCould Not Find G:\autorun.inf G:\>del G:\Recycle.exeCould Not Find G:\Recycle.exe To się nie zgadza. W logu to było: [07/06/2010 - 16:14:57 | RSH | 148] G:\autorun.inf[07/06/2010 - 16:14:57 | RSH | 1406935] G:\Recycle.exe Nie pokazałeś logów z USBFix i OTL. Jak sprawdzę czy nadal widać to samo, dam metodę usuwania infekcji via program OTL. EDIT: Pisałam nie widząc dołączonego loga z USBFix. To w takim razie daję skrypt do OTL: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files G:\$RECYCLE.BIN.exe G:\Recycle.exe G:\adrianb.exe G:\autorun.inf G:\filmy 1.exe G:\Filmy.exe G:\hhh.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] Klik w Wykonaj skrypt. Powinien nastąpić restart i pojawi się log. 2. Do oceny ów log oraz wykaz z USBFix. . Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 Faktycznie, nie wystartowałem jako Administrator... Wiem, że się nie zgadza, dlatego o tym napisałem. Wykonałem skrypt z OTL, wrzucam logi. podłączyłem do kompa widoczną jako dysk F:/ kartę pamięci, której też używam, a której wcześniej nie skanowałem i widzę, że chyba też jest coś nie tak... Do komputera często podłączam też dwa iphony i jest jeszcze jeden dysk zewnętrzny który był kiedyś podłączony. Czy to wszystko trzeba sprawdzać? UsbFix.txt 10172010_183108.log.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 OTL sobie poradził z usuwaniem infekcji na G, wszystkie szkodliwe pliki skasował. podłączyłem do kompa widoczną jako dysk F:/ kartę pamięci, której też używam, a której wcześniej nie skanowałem i widzę, że chyba też jest coś nie tak... Do komputera często podłączam też dwa iphony i jest jeszcze jeden dysk zewnętrzny który był kiedyś podłączony. Czy to wszystko trzeba sprawdzać? Jeśli masz jakiekolwiek nośniki USB, które tu jeszcze nie zostały sprawdzone, to muszą być przejrzane, bo z tego co już tu widzę jest wielce prawdopodobne, że również noszą jakieś geny infekcji. Tak, karta pamięci też jest zaprawiona infekcją: [05/02/2009 - 01:32:52 | RSH | 108705] F:\pook.com[16/05/2010 - 18:48:26 | RSH | 112640] F:\p6xebrnt.exe Ale czy plik autorun.inf też jest szkodliwy, to się zastanawiam patrząc na to zestawienie: [15/06/2010 - 10:58:42 | N | 4375] F:\autorun.inf[15/06/2010 - 10:58:42 | RSHD ] F:\portable Nazwa "portable" ukrytego katalogu niejako sugeruje coś ala menu przenośnych aplikacji, co mogłoby tłumaczyć występowanie takiego pliku autorun.inf. Ale może to też być podróbka. Z prawokliku otwórz plik autorun.inf w Notatniku i przeklej tu jego zawartość. Sprawdź co jest w katalogu portable. Jak się upewnię od czego są te obiekty, dam instrukcje usuwania oraz zamknięcia sprawy atrybutów H na folderach. . Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 W pliku jest odnosnik do Shell\\\\\eXPLOre\\\\coMMand=portable////little.exe Skoro dwa dyski sa zainfekowane to znaczy ze gdzies na komputerze powinien sie znajdowac sprawca calego zamieszania prawda? A co mam zrobic z tymi przeniesionymi przez otl plikami? Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Jest to całkowita podróbka, której zadanie to wyświetlać na dialogu Autoplay podrobiony dialog "Open folder to view files using Windows Explorer" imitujący oryginał. Na polskim Windows od razu widać, że coś nie gra, bo podwójna opcja jest wyświetlana w różnych językach, ale na anglojęzycznym systemie obie opcje są tak samo wyświetlane... 1. Czyszczenie karty pamięci. Nowy skrypt do OTL o zawartości: :Processes killallprocesses :Files F:\pook.com F:\p6xebrnt.exe F:\autorun.inf F:\portable 2. Zostały do zniesienia atrybuty H z folderów. Jeśli chcesz precyzyjnie to wykonać tylko dla konkretnych katalogów, to sobie zmontuj BAT o takiej zawartości: G: ATTRIB -H G:\adrianb ATTRIB -H "G:\filmy 1" ATTRIB -H G:\hhh PAUSE Skoro dwa dyski sa zainfekowane to znaczy ze gdzies na komputerze powinien sie znajdowac sprawca calego zamieszania prawda? Wcale nie. Mogło się przenieść z dowolnego innego komputera do którego je podpinano. Ja w logu z OTL nie widzę żadnej czynnej infekcji, tylko skutki podpięcia zainfekowanych nośników (mapowanie MountPoints2). A co mam zrobic z tymi przeniesionymi przez otl plikami? Do tego jeszcze nie przeszliśmy, bo OTL jest nadal używany. Ja zawsze na końcu podaję instrukcje czyszczenia tego. . Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 Jest to całkowita podróbka, której zadanie to wyświetlać na dialogu Autoplay podrobiony dialog "Open folder to view files using Windows Explorer" imitujący oryginał. Na polskim Windows od razu widać, że coś nie gra, bo podwójna opcja jest wyświetlana w różnych językach, ale na anglojęzycznym systemie obie opcje są tak samo wyświetlane... Na szczęście u mnie nie do konca - normalnie jest Explore i Open, a ta dłuższa dodana ma trzy razy takie dziwne A-dash w tekście 2. Zostały do zniesienia atrybuty H z folderów. Jeśli chcesz precyzyjnie to wykonać tylko dla konkretnych katalogów, to sobie zmontuj BAT o takiej zawartości: Jeśli mogę zapytać tak z ciekawości - jaka jest różnica między takim wywołaniem, a zwykłym odznaczeniem hidden przez Windows? Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Jeśli mogę zapytać tak z ciekawości - jaka jest różnica między takim wywołaniem, a zwykłym ustawieniem na widoczny przez Windows? Żadna, za wyjątkiem, że tu idzie masowo za jednym podejściem, a z poziomu GUI musisz się naklikać na każdy z folder z osobna. Jeśli to ma Cię "uspokoić", bo Twoje pytania mi insynuują pewne rzeczy, to możesz sobie klikać zamiast BATa. Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 Żadna, za wyjątkiem, że tu idzie masowo za jednym podejściem, a z poziomu GUI musisz się naklikać na każdy z folder z osobna. Jeśli to ma Cię "uspokoić", bo Twoje pytania mi insynuują pewne rzeczy, to możesz sobie klikać zamiast BATa. W żadnym wypadku nie chciałem nic insynuować, wręcz przeciwnie, pytam, żeby się czegoś ewentualnie nauczyć, taka moja wrodzona dociekliwość... Logi po usunięciu plików z F: Dodaje log z UsbFix z podłączonym kolejnym dyskiem. Niestety jakoś w ogóle nie chce mi wykryć iphone'ow kiedy je podłączam, nie wiem w czym problem, jak mi się uda to napiszę. I przepraszam, jeżeli te moje pytania źle zabrzmiały. Edit: udało się podłączyć iphone, ale UsbFix go nie wykrywa, bo nie jest on traktowany przez system jako dysk zewnętrzny 10172010_200337.log.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 (edytowane) I przepraszam, jeżeli te moje pytania źle zabrzmiały. Nie, skądże. Miałam na myśli, że może się obawiasz użyć BAT, skoro pierwsze podejście było niepomyślne. F załatwione, wszystko usunięte. Na H od infekcji wydaje się być ten pusty ukryty plik i skasuj go z tego dysku: [07/02/2009 - 14:02:33 | RASH | 0] H:\khq Wątpliwości za to budzi ten, a dlatego, że nie jest ukryty + ten dysk ma również leżący w root plik ICO oraz inne od Seagate. Przypuszczalnie to jest w autorun.inf. Dla pewności otwórz jednak ten plik w Notatniku i podaj zawartość. [15/05/2009 - 19:07:26 | A | 62] H:\autorun.inf Zastanowiła mnie również ta nazwa pliku, mimo że plik jest widoczny. Wiesz co to za obiekt? [07/11/2007 - 13:02:22 | A | 90112] H:\KopiowanieService.exe Przy okazji: z wszystkich dysków możesz całkowicie skasować foldery typu found.00X. To szczątki tworzone przez checkdisk. Niestety jakoś w ogóle nie chce mi wykryć iphone'ow kiedy je podłączam, nie wiem w czym problem, jak mi się uda to napiszę. Co to oznacza: system ich w ogóle nie widzi, czy może tylko USBFix jest ślepy? EDIT: Edit: udało się podłączyć iphone, ale UsbFix go nie wykrywa, bo nie jest on traktowany przez system jako dysk zewnętrzny Nie masz w iPhone żadnej opcji w połączeniach montowania jako partycje w Windows? Czy jesteś w stanie w jakiś sposób sprawdzić zawartość systemu plików z poziomu samego urządzenia? . Edytowane 17 Października 2010 przez picasso Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 autorun: 07EF:0001:0001:0001 [autorun] icon = .\FreeAgentGoNext.ico Dysk H jest to dysk mojego brata, ktorego używał w pracy. KopiowanieService to jakiś plik firmowy, byćmoże khq też do tego jest używany, więc jeżeli nie ma tu innych zastrzeżeń to wolałbym żeby zostało tak jak jest. Co to oznacza: system ich w ogóle nie widzi, czy może tylko USBFix jest ślepy? EDIT: Nie masz w iPhone żadnej opcji w połączeniach montowania jako partycje w Windows? Czy jesteś w stanie w jakiś sposób sprawdzić zawartość systemu plików z poziomu samego urządzenia? Wczesniej system nie widzial. Jesli chodzi o montowanie, to iphone jak wiadomo jest specyficznym urzadzeniem. System wykyrwa go jako digital camera, wchodzac w niego pojawia sie Internal Storage i w ten sposob mozna sie dostac do czesci plikow (zdjecia i filmy). Reszta plikow nie jest bezposrednio dostepna dla uzytkownika - czesc rzeczy mozna zobaczyc przez iTunes, sa tez specjalne programy do grzebania w systemie plikow, jednak zeby dostac sie do pelnego systemu plikow trzeba miec zrobiony jailbreak systemu. Mam to zrobione wiec moge sie dostac do tych plikow ale jak pisalem tylko przez specjalne programy (np iphone Browser) Nie wiem czy to wina malware, czy systemu ale kilkakrotnie po wejsciu na dysk zewnetrzny (F, H) restartowalo mi explorera... Odnośnik do komentarza
picasso Opublikowano 17 Października 2010 Zgłoś Udostępnij Opublikowano 17 Października 2010 Autorun.inf wedle przypuszczeń w porządku, kieruje do tego ICO, który miałam na myśli. byćmoże khq też do tego jest używany, więc jeżeli nie ma tu innych zastrzeżeń to wolałbym żeby zostało tak jak jest. No nie wiem, czy ukryty (SH) zerowy plik khq to "firmowy". Plik odpowiada opisom malware: KLIK / KLIK / KLIK. Widać go także np. w tym logu z OTL w grupie malware (jest utworzony na każdym dysku): KLIK. Moim zdaniem to plik po infekcji. Nie wiem czy to wina malware, czy systemu ale kilkakrotnie po wejsciu na dysk zewnetrzny (F, H) restartowalo mi explorera... Wątpię, że to z winy malware. Na tych dyskach leżą m.in. pliki video. Taki restart powłoki podczas przeglądania dysków z contentem multimedialnym zwykle jest związany z kodekami. Przy generowaniu miniatur w Windows Explorer i przetwarzaniu informacji o plikach biorą udział kodeki. Jesli chodzi o montowanie, to iphone jak wiadomo jest specyficznym urzadzeniem. (..) jednak zeby dostac sie do pelnego systemu plikow trzeba miec zrobiony jailbreak systemu. Mam to zrobione wiec moge sie dostac do tych plikow ale jak pisalem tylko przez specjalne programy (np iphone Browser) Nie znam zupełnie iPhone. Ale z Twojego opisu wynika, że chyba raczej nie masz się co martwić, a USBFix się tu w ogóle nie nadaje. . Odnośnik do komentarza
Kamos Opublikowano 17 Października 2010 Autor Zgłoś Udostępnij Opublikowano 17 Października 2010 Nie znam zupełnie iPhone. Ale z Twojego opisu wynika, że chyba raczej nie masz się co martwić, a USBFix się tu w ogóle nie nadaje. Tak też mi się wydaje, ok więc, wszystkie problemy rozwiązane, teraz tylko jakbym mógł jeszcze prosić o radę co z tymi pozostałościami i jak się poprawnie zabezpieczyć na przyszłość. A pózniej biorę sie za BSOD i inne problemy, i w końcu install W7 Odnośnik do komentarza
picasso Opublikowano 18 Października 2010 Zgłoś Udostępnij Opublikowano 18 Października 2010 Tak też mi się wydaje, ok więc, wszystkie problemy rozwiązane, teraz tylko jakbym mógł jeszcze prosić o radę co z tymi pozostałościami i jak się poprawnie zabezpieczyć na przyszłość. 1. W OTL wywołaj funkcję Sprzątanie. To usuwa kwarantannę i składniki OTL. 2. W związku z tym, że były tu również fragmenty w rejestrze systemowym, zresetuj status Przywracania systemu: Instrukcje. 3. Zabezpieczenie systemu oraz dysków USB możesz wykonać w Panda USB Vaccine. 4. Wypada zaadresować zgłoszenia Security Check i zaktualizować oprogramowanie. Do masowego sprzątania starych Java możesz wykorzystać JavaRa. Nie mam zainstalowanego żadnego Antywirusa, co jestem skłonny zmienić, o ile program będzie darmowy. Windows Firewall jest włączony ale od bardzo niedawna, przez ostatnie miesiące miałem go wyłączonego (przeszkadzał w pracy nad serwerem www) Za darmo są takie podstawowe propozycje: Antywirus działający w technice chmury (może być łączony z innym rozwiązaniem bez kolizji): Immunet Protect Free (to samo ale w innym brandowaniu to ClamAV for Windows w najnowszej odsłonie, uwaga: w obu jest Ask Toolbar w instalatorze i należy odznaczyć), Panda Cloud Antivirus Antywirus bardziej "klasyczny": Ad-aware Free, ArcaVir Free Edition, avast! Free Antivirus, AVG Free Edition, Avira AntiVir Personal, Microsoft Security Essentials, PC Tools Antivirus Free, Rising Antivirus Free Edition. Skaner na żądanie (może być łączony z AV z rezydentem): Emsisoft Anti-Malware Free, Malwarebytes' Anti-Malware Free Version Firewall: Online Armor Free, Outpost Free, PC Tools, PrivateFirewall Kompletny pakiet zabezpieczeń (AV + zapora + HIPS, można składniki instalować oddzielnie): COMODO Internet Security To w temacie haseł "antywirus" i "firewall", bez wchodzenia w obszary specjalizowanych HIPS czy wirtualizacji. . Odnośnik do komentarza
Kamos Opublikowano 18 Października 2010 Autor Zgłoś Udostępnij Opublikowano 18 Października 2010 4. Wypada zaadresować zgłoszenia Security Check i zaktualizować oprogramowanie. Do masowego sprzątania starych Java możesz wykorzystać JavaRa. Można jaśniej? Jakie Security Check, jakie oprogramowanie i jakie Java? Straciłem autoplay na dysku G:\ czy można go odzyskać? W prawokliku na F: Zostaly nieprawidlowe opcje po infekcji (Open folder to view files using Windows Explorer), jak je usunąć? I jeszcze zapomnialem o tym pliku mp3 na C: z Trojan.Wimad - usunąć go normalnie? Odnośnik do komentarza
picasso Opublikowano 18 Października 2010 Zgłoś Udostępnij Opublikowano 18 Października 2010 Można jaśniej? Jakie Security Check, jakie oprogramowanie i jakie Java? Przecież w pierwszym poście dawałeś mi log z Security Check, o następującej treści: Skan Security Check: Results of screen317's Security Check version 0.99.5 Windows Vista Service Pack 2 (UAC is enabled) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Firewall Enabled! WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Norton Ghost TuneUp Companion 1.8.0 CCleaner Java™ 6 Update 21 Java™ SE Runtime Environment 6 Java™ 6 Update 4 Java™ 6 Update 7 Out of date Java installed! Adobe Flash Player 10.1.53.64 Adobe Reader 8.2.4 Out of date Adobe Reader installed! ```````````````````````````````` Process Check: objlist.exe by Laurent Windows Defender MSASCui.exe Windows Defender MSASCui.exe ```````````````````````````````` DNS Vulnerability Check: GREAT! (Not vulnerable to DNS cache poisoning) ``````````End of Log```````````` Straciłem autoplay na dysku G:\ czy można go odzyskać? Tu nie było nic przestawiane w rejestrze pod tym kątem. Jedyne co tu było podsuwane, to Panda USB Vaccine. Czy używałeś więc tu Pandy? W prawokliku na F: Zostaly nieprawidlowe opcje po infekcji (Open folder to view files using Windows Explorer), jak je usunąć? Klucz mapowania MountPoints2 był tu usuwany tylko raz, przy czyszczeniu G. Po tym były podpinane F i H (każde podpięcie dysku zapisuje do tego klucza, jeśli jest autorun.inf) i już nie były ani sprawdzane ani czyszczone te obszary. Pokaż nowy log z OTL dla weryfikacji. I jeszcze zapomnialem o tym pliku mp3 na C: z Trojan.Wimad - usunąć go normalnie? Plik usuń. . Odnośnik do komentarza
Kamos Opublikowano 18 Października 2010 Autor Zgłoś Udostępnij Opublikowano 18 Października 2010 Aa, myślałem ze chodzi o coś z Symantec Securiry Check... Ale tak czy tak, co to znaczy zaadresowac zgłoszenia, bo tego nie wiem? Odnośnik do komentarza
picasso Opublikowano 18 Października 2010 Zgłoś Udostępnij Opublikowano 18 Października 2010 Ale tak czy tak, co to znaczy zaadresowac zgłoszenia, bo tego nie wiem? Miałeś zamalowane na czerwono w pierwszym poście w logu z Security Check co masz przestarzałe. "Wypada zaadresować zgłoszenia Security Check i zaktualizować oprogramowanie" to oznacza dokładnie to: zainstalować najnowsze wersje Adobe Reader oraz Java (JRE) (a przed instalacją najnowszej starych się pozbędziesz przez JavaRa). Wszystko opisane tu: KLIK. . Odnośnik do komentarza
Kamos Opublikowano 18 Października 2010 Autor Zgłoś Udostępnij Opublikowano 18 Października 2010 Ok, wielkie dzięki za prowadzenie za rękę Wrzucam logi z OTL, faktycznie są jakieś Mount points. Czy jesli klikalem open i explore to moglem sie zainfekowac czyms nowym? Tak, byla uzywana panda, a dodatkowo usbFix vaccinate i mkv, ale to juz tylko dla C: D: i F: Extras.Txt OTL.Txt Odnośnik do komentarza
Rekomendowane odpowiedzi