Ponowny problem/infekcja po reinstalacji

[slawo11]

Witam,

 

przeinstalowałem system xp, importowałem wszystkie dane m.in zakładki, poczte w oe6, baze danych do programu profesor henry  i  po około tygodniu zaczeło się od nowa, klawiatura na użytkowniku na którym pracuje wyłancza sie z dzwiekiem alarmowym, nie wiem co będzie dalej ale ostatnio jak to miałem to niektóre foldery zmieniały uprawnienia dostępu w programie profesor henry, chyba nawet niektóre 2, 3 foldery (z archiwum m.in zakładki, poczta, pliki excell które potem zgrywam na płyte) zmieniły nazwy, sam profesor henry po jakimś czasie walki z prawami dostępu przestał się uruchamiać tzn wyskakiwały jakieś błedy..

 

na innym użytkowniku i na uruchomieniu awaryjnym wszystko w tym momencie jak na razie działa bez zmian..

 

comodo, eset online, mbam free nic na razie nie wykryły..

 

adwcleaner pokazuje coś w zakładce foldery, i w zakładce chrome a jest to ścieżka do niedawno utowrzonego folderu extensions w chrome, najdziwniejsze to ten folder w chrome ma  w sobie pliki z datą modyfikacji mniej więcej tą samą kiedy to wszystko się zaczęło (14.04.2014) czyli jeszcze sprzed przeinstalowania systemu i zainstalowania przeglądarki na nowo- czy to może mieć jakiś związek? <dodaje że folder już usunął tak jak chciał adwarecleaner>

 

 

Jedyne co mogło być podejrzane to dziwny e-mail żadający potwierdzenia przez nadawce z załącznikiem kilka dni temu, ale nacisnąłem "nie" i zaraz go wykasowałem <tzn jest jeszcze na serwerze>... tak poza tym to otiwerałem poczte, pliki excella, program profesor henry, serfowałem z chrome nic szczególnego nie robiłem

 

Proszę o pomoc bo nie wiem co by tu począc..

 

Pozdrawiam,

Slawek

[Rucek]

Witam,
zapoznaj się prosze z zasadami działu:
1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
2. https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/
3. https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/

Przeczytaj wszystko dokładnie by niczego nie popsuć.
Postepujac zgodnie z powyzszymi instrukcjami - dołącz 6 wymaganych logów.
Jak coś nie bedzie chciało sie uruchomić - to odpal system w trybie awaryjnym i wtedy zrób logi.
Jeśli z czymś bedzie problem - pisz w poście.
Po wrzuceniu logów nie dokonuj już żadnych zmian na kompie - logi muszą być aktualne.
Przeczytaj dokładnie info na temat GMERa - zwłaszcza jak masz windows XP - jak komp zwolni to pewnie przestawiło sie DMA na PIO (masz o tym info przy instrukcji GMER).
Jak coś zmieniasz w poście to używaj opcji EDYTUJ by był porządek.
Czekaj cierpliwie na pomoc.

[slawo11]

jeszcze mam jedno małe pytanie, jeżeli problemy pojawiają się na ten moment na użytkowniku a na adminie jeszcze jest spokój to czy wystarczą logi z admina czy próbować wejść na użytkownika?

no taK zrobiłem logi ale podczas skanowania GMEREM wyskakuje błąd w trakcie skanowania device\cdrom0\ i pisze program uległ awarii i zostanie zamknięty, usługi stdp wyłaczyłem wcześniej za pomocą DEFOGGERa

ok doczytałem, jeszcze spróbuje w trybie awaryjnym

...jeszcze dodam jedną rzecz którą zauważyłem - mianowicie w zakładce zabezpieczenia, sporo/ale nie wszystkie pliki mają dodanego jakiegoś dodatkowego nieznanego użytkownika przy prawach dostępu, i mówie tu o plikach które utowrzyłem po reinstalacji <możliwe że zmieniłem 1 z adminów na użytkownika z ograniczeniami i tak się porobiło>,

... na upartego mogę przeinstalować system lub lepiej przywrócić do stanu sprzed kilku dni, tyle że to może nie rozwiązać nawrotów infekcji, = nie mam pojęcia które pliki mogą być zarażone (jeżeli wogóle to jest infekcja!) na poza systemowych partycjach czy w backapach

FRST.txt

Addition.txt

OTL.Txt

Extras.Txt

gmer.txt

gmerawaryjny.txt

[Rucek]

na adminie jest ok, czekamy na picasso, nic nie zmieniaj

[slawo11]

dzięki, dodam jeszcze tylko że w tym momencie wszedłem na użytkownika - zaktualizowałem i uruchomiłem mbam dla całego dysku, odpiąłem od sieci, zrobiłem kilka operacji i ciach klawiatura wyłączyła się z pojedynczym bipem, gdzie na adminie chodziła bez problemowo, a jak próbowałem wejść do któegokolwiek dysku to mi po dwukliku wywalało właściwości tego dysku jedynie- teraz już jest normalnie, ale za to nie da się uruchomić na użytkowniku plików z poziomu administratora, pisze że brak dostępu...

[picasso]

W raportach brak oznak infekcji.

 

 

 

jeżeli problemy pojawiają się na ten moment na użytkowniku a na adminie jeszcze jest spokój to czy wystarczą logi z admina czy próbować wejść na użytkownika?

 

Wbrew temu co zasygnalizował Rucek logi zawsze muszą być robione z poziomu konta na którym jest problem. Będąc zalogowanym na koncie, gdzie problem nie występuje, może pewnych rzeczy nie być widać (m.in. są skanowane ustawienia przeglądarki tylko konkretnego konta). Toteż poproszę o nowe logi FRST zrobione z poziomu konta użytkownika. Jednakże podejrzewam, iż tam też nic ciekawego się nie pokaże.

 

 

adwcleaner pokazuje coś w zakładce foldery, i w zakładce chrome a jest to ścieżka do niedawno utowrzonego folderu extensions w chrome, najdziwniejsze to ten folder w chrome ma w sobie pliki z datą modyfikacji mniej więcej tą samą kiedy to wszystko się zaczęło (14.04.2014) czyli jeszcze sprzed przeinstalowania systemu i zainstalowania przeglądarki na nowo- czy to może mieć jakiś związek?

Zaprezentuj również log AdwCleaner, jest w katalogu C:\AdwCleaner. Brak danych co zostało wykryte, choć ja przypuszczam, iż był to komponent "AdTrustMedia":

 

 

HKLM\...\Run: [PrivDogService] => C:\Program Files\AdTrustMedia\PrivDog\2.1.0.23\trustedadssvc.exe [663208 2014-04-29] (AdTrustMedia)

 

... czyli część COMODO Internet Security: KLIK. Detekcja ta w AdwCleaner to fałszywy alarm.

 

 

 

ale za to nie da się uruchomić na użytkowniku plików z poziomu administratora, pisze że brak dostępu...

 

To normalne, separatywność kont oraz mniejszy zakres uprawnień konta z poziomu którego chcesz wejść do ścieżki konta o uprawnieniach administracyjnych.

 

 

 

importowałem wszystkie dane m.in zakładki, poczte w oe6, baze danych do programu profesor henry i po około tygodniu zaczeło się od nowa, klawiatura na użytkowniku na którym pracuje wyłancza sie z dzwiekiem alarmowym, nie wiem co będzie dalej ale ostatnio jak to miałem to niektóre foldery zmieniały uprawnienia dostępu w programie profesor henry, chyba nawet niektóre 2, 3 foldery (z archiwum m.in zakładki, poczta, pliki excell które potem zgrywam na płyte) zmieniły nazwy, sam profesor henry po jakimś czasie walki z prawami dostępu przestał się uruchamiać tzn wyskakiwały jakieś błedy..

 

Póki co, nie sądzę by tu w ogóle był problem infekcji. Nie wykluczam, iż część problemów tworezy COMODO Internet Security.

 

 

 

...jeszcze dodam jedną rzecz którą zauważyłem - mianowicie w zakładce zabezpieczenia, sporo/ale nie wszystkie pliki mają dodanego jakiegoś dodatkowego nieznanego użytkownika przy prawach dostępu, i mówie tu o plikach które utowrzyłem po reinstalacji ,

 

Czy te pliki były kopiowane z poprzedniego systemu? Jeśli tak, to to tajemnicze konto to poprzednie konto sprzed reinstalacji, martwe.

 

 

 

.

[slawo11]

Witam Picasso, jestem pełen podziwu dla wiedzy i umiejętności

Coś z systemem a właściwie z kontem użytkownika było nie halo, lecz na ten moment ucichło - dziwne!

Domniemana *obecna* infekcja to przede wszystkim -na pewno wywaliło klawiature jak coś pisałem na Fejsie, a potem to już cały czas wywalało. Po przeinstalowaniu systemu chwile (jakieś 2 tygodnie) było ok i teraz znowu to samo od nowa  We *wcześniejszej* infekcji oprócz tej klawiatury były zmiany uprawnień i niektórych folderów tak że nie dało się uruchamiać niektórych programów (głównie prof henry). Potem zainstalowałem od nowa i odzyskałem kilka baz danych m.in elisoft, prof. hemry, genie back up=outlook express, i używałem plików xls, doc z archiwizacji wykonanej już po uprzedniej domniemanej infekcji.

Jeżeli chodzi o adware to sądzę że masz racje -nic specjalnego tam pewnie nie było.

Jeżeli chodzi o Comodo to faktycznie nieźle miesza i wrzuca pliki windowsa do piaskownicy jako nieznane i robi inne dziwne rzeczy, tak że masakra nieziemska -= jestem w stanie przypuścić że część objawów jest z jego winy, ale pewnie nie wszystkie. Największy problem będę miał z wywalającą się klawiaturą (klaiwatura usb podpięta przez złączke do zwykłego gniazda klawiatury) tylko i wyłącznie na tym konkretnym rzekomo zarażonym użytkowniku.

Pozdrawiam,

S.



Logi z adwcleanera zamieściłem z ostatniego skanu + kwarantanna wszystkich poprzednich poniżej.



 

AdwCleanerS3.txt

Quarantine.txt

[slawo11]

Ufffffff......

Problem jak na razie rozwiazany,

-klawiature wywalało bo najprawdopobniej padła złaczka usb>ps2, co dziwne na adminie jeszcze działała! I to spowodowało cały ambaras :///
-nie dało się uruchomić programów skanujących tybu frst jako admin z poziomu użytkownika bo było wyłączone logowanie pomocnicze -sam nie wiem kiedy i jak zostało wyłacozne, może to ja niechcący :/
- nazwe folderu sam zmieniłem ale w stresie zupełnie o tym zapomniałem,

- nie da się wyjaśnić tylko dlaczego niektóre foldery (konkretnie prof. henry)zmieniły prawa dostępu i dlaczeo się przestał uruchamiać,lub uruchamiał z błedami, a i odinstalować się całkowicie go nie dało bo zostawił jakieś pliki na dysku bez możliwości usunięcia,

- do tego nałożyły się inne niewyjaśnione problemy pozakomputerowe, ale o tym może się nie będę już rozpisywał :/

Sam comodo coś świruje, albo nie wiem o co biega że wywala pliki windowsa jako nierozpoznane do pisakownicy :/

Pozrawiam.

slawek