Restauracja starego komputera - ponad 2000 wykryć Avasta

[dziabong]

Witam.

 

Postanowiłem trochę posprzątać komputer u teściów. Zabytek, Windows XP, używany tylko do przeglądania internetu, edytowania dokumentów, może czasem gg.

 

Z dodaj/usuń programy powyrzucałem co się dało (a trochę tego było), potem puściłem AdwCleanera, odinstalowałem - nieaktualnego z resztą -  antywira AVG, uruchomiłem CCleanera i Using Free Registry Cleaner. Potem ręcznie wyszukałem co jeszcze zostało z AVG i usunąłem.

 

Zainstalowałem Avasta, dałem pełny skan i dostałem ponad 2000 wyników (załączam log). Znalazłem, że Qoobox to pozostałość po Combofix (kto, kiedy i do czego go tu używał pojęcia nie mam), więc usunąłem ręcznie. Zarażone pliki muzyki udało się wyleczyć, reszta poszła do kwarantanny (spotrzeżenie: Do najbardziej zawiruszonego folderu D:\System Volume Information\ ręcznie wejść nie mogę - odmowa dostępu). Zauważyłem potem jeszcze, że sam Combofix też jest na dysku - odinstalowałem. Potem jeszcze raz CCleaner i UFRC.

 

Następnie zgodnie z sugestią Avasta zrobiłem skan przy starcie systemu (niestety przerwany przez burzę, więc musiałem włączyć system normalnie znów zaplanować skan i zrestartować komputer). Ten skan znalazł pojedyncze rzeczy (log - aswBoot).

 

Potem włączył się szybki skan Avasta - nie znalazł nic.

 

Cały czas równolegle aktualizuje oprogramowanie, ale że prędkość internetu tutaj dość silnie dąży do zera trochę potrwa zanim zaktualizuje wszystko.

 

No i to w sumie cała historia. Jakichkolwiek podejrzanych objawów brak. Natomiast nie chce mi się wierzyć, że przy takiej skali zjawiska Avast poradził sobie ze wszystkim, stąd prośba o sprawdzenie logów.

 

Z góry bardzo dziękuję.

 

P.S.

 

 

PS. Spoza tematu, może zainteresuje Cię zamiana potwora komercyjnego GG10 lekkim WTW: Darmowe komunikatory.

 

 

Zainstalowałem. Jest świetny!

Extras.Txt

gmer_pelny.txt

OTL.Txt

raport_avast.txt

aswBoot.txt

[picasso]

Nie widzę tu oznak czynnej infekcji. Są tylko historyczne nagrania podpinania zarażonych urządzeń USB w kluczu MountPoints2 i kilka pustych wpisów. Wykonaj kosmetykę pod tym kątem. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
IE - HKU\S-1-5-21-57989841-1604221776-1606980848-1004\..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found
[2011-12-04 13:23:25 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Common Files
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Filip\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go. Nowy skan nie jest potrzebny.

 

 

Zainstalowałem Avasta, dałem pełny skan i dostałem ponad 2000 wyników (załączam log). Znalazłem, że Qoobox to pozostałość po Combofix (kto, kiedy i do czego go tu używał pojęcia nie mam), więc usunąłem ręcznie. Zarażone pliki muzyki udało się wyleczyć, reszta poszła do kwarantanny

(...)

Jakichkolwiek podejrzanych objawów brak. Natomiast nie chce mi się wierzyć, że przy takiej skali zjawiska Avast poradził sobie ze wszystkim, stąd prośba o sprawdzenie logów.

Wyniki z miejsc C:\Qoobox\Quarantine (kwarantanna ComboFix) + System Volume Information (Przywracanie systemu) nie miały zbyt dużego znaczenia. Wyniki nieczynne. Po ich odrzuceniu zostają właściwie tylko pliki muzyczne wykryte jako zainfekowane. A to jak mówisz skaner załatwił.

 

 

(spotrzeżenie: Do najbardziej zawiruszonego folderu D:\System Volume Information\ ręcznie wejść nie mogę - odmowa dostępu).

Tam nie ma potrzeby wchodzić ręcznie. Foldery Przywracania systemu czyści się w taki sposób: KLIK. To zrobisz na końcu.

 

 

Następnie zgodnie z sugestią Avasta zrobiłem skan przy starcie systemu (niestety przerwany przez burzę, więc musiałem włączyć system normalnie znów zaplanować skan i zrestartować komputer). Ten skan znalazł pojedyncze rzeczy (log - aswBoot).

To już nic szczególnego:

- Crack aktywacji XP i jego kopia w Przywracaniu systemu

- Instalator adware

- Uszkodzone archiwa RAR

 

 

 

.

[dziabong]

Skrypt wykonany.

 

- Crack aktywacji XP i jego kopia w Przywracaniu systemu

 

A to dziwne - system jest oryginalny (dla pewności znalazłem płytę). Chyba, że to może być pozostałość po jakiejś wcześniej wersji.

07122013_160224.txt

[picasso]

Skrypt wykonany, czyli działania końcowe:

 

1. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji poniższe pozycje: KLIK.

 

Internet Explorer (Version = 7.0.5730.13)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Mozilla Thunderbird 14.0 (x86 pl)" = Mozilla Thunderbird 14.0 (x86 pl)
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()

 

 

A to dziwne - system jest oryginalny (dla pewności znalazłem płytę). Chyba, że to może być pozostałość po jakiejś wcześniej wersji.

Tu nie został wykryty crack zainstalowany w systemie lecz zachomikowany instalator tegoż cracka w kopii zapasowej (D:\kopia dok\Pulpit\ANTIWPA-V3.4.6 FOR X64 AND X86).

 

 

.

[dziabong]

Instrukcje wykonane.

 

Mam jeszcze dwa pytania nieco z innej beczki.

 

Chciałbym możliwie usprawnić działanie tego komputera.

 

Gdzieś wyczytałem, że można wyłączyć część osłon Avasta. I faktycznie wydaje się, że np. osłona P2P wydaje się zbędna jeśli się nie korzysta z tego typu sieci. A może nie należy w tym grzebać, bo zysk niewielki, a obniża się sprawność antywirusa?

 

A druga rzecz to pipelining w firefoxie. Jedni bardzo chwalą, że lisek po włączeniu tego przyspiesza 3 razy, ale z drugiej strony ponoć może to powodować błędy w wyświetlaniu niektórych stron.

 

A może w ogóle z uwagi na słaby i powolny komputer lepiej zainstalować jakiegoś innego antywira albo przeglądarkę?

[picasso]

Jakoś nie zauważyłam tego posta... Komentując:

 

 

Chciałbym możliwie usprawnić działanie tego komputera.

Bieda z RAM:

 

511,23 Mb Total Physical Memory | 327,89 Mb Available Physical Memory | 64,14% Memory free

 

Największe efekty miałoby dorzucenie więcej pamięci, o ile to w ogóle opłacalne w "starym komputerze".

 

 

A druga rzecz to pipelining w firefoxie. Jedni bardzo chwalą, że lisek po włączeniu tego przyspiesza 3 razy, ale z drugiej strony ponoć może to powodować błędy w wyświetlaniu niektórych stron.

Opis preferencji na MozillaZine: KLIK. I owszem, to może mieć skutki uboczne na niektórych starawych stronach. Po prostu wypróbuj samodzielnie jak to w praktyce wygląda.

 

 

Gdzieś wyczytałem, że można wyłączyć część osłon Avasta. I faktycznie wydaje się, że np. osłona P2P wydaje się zbędna jeśli się nie korzysta z tego typu sieci. A może nie należy w tym grzebać, bo zysk niewielki, a obniża się sprawność antywirusa?

Nieużywane osłony można odinstalować, ale czy będą jakieś widoczne zyski, to trudno mi powiedzieć.

 

 

 

.

[dziabong]

Bieda z RAM:

 

511,23 Mb Total Physical Memory | 327,89 Mb Available Physical Memory | 64,14% Memory free

 

Największe efekty miałoby dorzucenie więcej pamięci, o ile to w ogóle opłacalne w "starym komputerze".

 

 

Rozważałem to już, ale jak czasem podglądam wydajność w menadżerze zadań to system dusi się na procesorze a nie pamięci, więc uznałem, że samo dołożenie RAMu, bez zmiany procesora nic nie da, a to już by się naprawdę nie opłacało. Jeżeli takie myślenie jest błędne to RAMu chętnie dołożę.

 

 

 

Gdzieś wyczytałem, że można wyłączyć część osłon Avasta. I faktycznie wydaje się, że np. osłona P2P wydaje się zbędna jeśli się nie korzysta z tego typu sieci. A może nie należy w tym grzebać, bo zysk niewielki, a obniża się sprawność antywirusa?

Nieużywane osłony można odinstalować, ale czy będą jakieś widoczne zyski, to trudno mi powiedzieć.

 

 

 

W tak zwanym międzyczasie wyrzuciłem Avasta na rzecz Aviry, żeby spróbować czy nie będzie lżejsza i nawet chyba jest trochę lepiej. Przy instalacji zdaje się zrobiła szybki skan i było w porządku. Natomiast wczoraj zrobiłem skan pełny i znów jakieś 1500 wykryć. Z tego co widzę to w większości są po prostu te pliki, które Avast (niby?) wyleczył, choć nie tylko np. NewGeneration.exe w logu Avasta nie było. Avira nie ma opcji leczenia, wszystko poszło do kwarantanny. Ktoś niby stracił sporo muzyki, ale nie sądzę żeby było tam coś bardzo cennego. Potem Avira zasugerowała reset i ponowny pełny skan - tak zrobiłem i już nic nie znalazła.

AVSCAN.txt

Edytowane 27 Sierpnia 2013 przez dziabong