Skocz do zawartości

Jak wykryć infekcję?


Rekomendowane odpowiedzi

Przed rozpakowaniem plików rar, a także po rozpokawaniu, przed instalacją przeskanowałem pliki za pomocą Malwarebytes Anti-Malware i Microsoft Security Essentials i nie wykryły one zagrożeń. Jednak po próbie instalacji aplikacji w C:\ProgramData pojawiły się ukryte puste foldery. Ich nazwy były długie, zawierały liczby, nazwy były w niebieskim kolorze. Foldery usunąłem. Wykonałem pełneskanowanie w Malwarebytes Anti-Malware, jednak nic nie wykrył. Windows 7.

 

Gdy skopiowałem te nazwy do Google, było tam coś o trojanach.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Przeskanuj komputer z bootowalnej płyty Kaspersky Rescue Disk lub Avira Rescue System - https://www.fixitpc.pl/topic/102-p%C5%82yty-startowe-ze-skanerami/
W razie wykrycia infekcji zanotuj je  a następnie zgłoś się z wymaganymi logami działu pomocy doraźnej.

PS. Że pliki trefne to wiedziałeś (tak wynika z kontekstu postu). Takie  kwiatki sprawdza się na https://www.virustotal.com/pl , http://www.virscan.org , http://virusscan.jotti.org/pl

Odnośnik do komentarza

Dzięki za te linki.

 

W sumie to nie wiedziałem, że w pliku coś może być, komentarze były pozytywne, ale zawsze jest ryzyko.

 

Przeskanowałem kilka adreów pobieranyh plików, w skróconych url wykrywa ctery zagrożenia, ale w docelowym url nie wykrya nic.

 

Jak mam uruchomić botowanie skoro po wciśnięciu F11 pokazuje się kilka opcji SATA1 (...), SATA2 (....) i jakieś CRDD (...)?

Odnośnik do komentarza

Przy SATA3 jest TSSTCorp CDDVD SH-jakiś kod. Może to to? Z tego co rozumiem, nie wystarczy po prostu tego otworzyć? Wg poradnika trzeba zmienić kolejność na stałe, a później wrócić do poprzedniej?

 

Bootowałem kiedyś tylko Win 7 recovery i skanowanie avasta, jeżeli tak to można nazwać...

 

To może ja spróbuję avastem z poziomu menu, i później sam to ustawi?

Odnośnik do komentarza

Przy SATA3 jest TSSTCorp CDDVD SH-jakiś kod. Może to to? Z tego co rozumiem, nie wystarczy po prostu tego otworzyć?

Jeśli Ty chcesz korzystać z funkcji szybkiego wybory bootowania F11 i masz jeden napęd DVD to pewnie jest to TO. Nad czym się zastanawiasz? Dajesz ENTER i bootowanie powinno ruszyć...

 

Wg poradnika trzeba zmienić kolejność na stałe, a później wrócić do poprzedniej?

Tak. Wrócić należy do tych samych ustawień z przed zmiany.

 

To może ja spróbuję avastem z poziomu menu, i później sam to ustawi?

Ale co ten avast ma sam ustawić?

Odnośnik do komentarza

Ale co ten avast ma sam ustawić?

Skanowanie przed startem systemu.

 

Tak. Wrócić należy do tych samych ustawień z przed zmiany.

Ale z poniższego...

 

Dajesz ENTER i bootowanie powinno ruszyć...

wynika, że będzie to aktywowane po kliknięciu? Więc rozumiem, że jest jednorazowe, opcja i po ponownym uruchomieniu powinno być jak przed? Tzn. nie muszę zmieniać kolejności/kolejność się nie zmieni?

Odnośnik do komentarza

Skanowanie przed startem systemu.

No ale ja Ci rekomendowałem Kaspersky lub Avirę :lol: . Jak ostatecznie obraz iso pobrałeś i wypaliłeś z niego płytę?

 

Więc rozumiem, że jest jednorazowe, opcja i po ponownym uruchomieniu powinno być jak przed? Tzn. nie muszę zmieniać kolejności/kolejność się nie zmieni?

Jeśli przez F11 - tak jednorazowe. Po restarcie nic nie musisz robić. Uruchomi się system. Wymyjesz wtedy płytę z napędu.

Odnośnik do komentarza

No ale ja Ci rekomendowałem Kaspersky lub Avirę :lol: . Jak ostatecznie obraz iso pobrałeś i wypaliłeś z niego płytę?

Oczywiście, użyłem Kaspersky Rescue Disk. Zaktualizowałem (gdzie się te update'y zapisują?) i zrobiłem scan all objects. Poszło bardzo szybko, ale nie widziałem żadnych wyników, może o to chodzi gdy nic nie wykryje. Później zrobiłem restart, i wszystkie myślniki były na zielono, jednak był też czerwony z treścią "failed".

Odnośnik do komentarza

Użyłem tekstowego, http://support.kaspersky.com/pl/images/support_new_krd_8097_03_en52-170437.png

 

W tym tekstowym:

- o czym już wspominałem, wybrałem scan all objects

- skanowanie się rozpoczęło, skanowało z tego co zdążyłem zauważyć najpierw dysk C, później D. Procenty po lewej stronie szybko wzrastały, te znajdowały się w linii z nazwą skanowanego w danym momencie pliku. Nad tym, linijkę wyżej było chyba "processing", i chyba przez cały czas było 1%. Gdy skan się skończył przeniosło mnie z powrotem do menu.

Odnośnik do komentarza

Przewijanie tego jest koszmarne, dużo prościej było by po prostu sprawdzić odgórnie nazwy zagrożeń, chyba, że ich też jest wiele.

Przepraszam...nie powinienem, ale nie mogłem powstrzymać się od śmiechu :lol: ...chcesz Ctrl+F szukać zagrożeń po nazwach, ale czy wiesz że dziennie powstaje ich wg szacunków ok. 80 tysięcy? Jak sobie wyobrażasz, że jest ktoś kto mógłby spamiętać nazy szkodników i ich odmiany i gdzie w ten sposób trzeba by ich szukać? Programy AV ich nie opisują i nie znają nawet, bo to niemożliwe...poza tym one ewoluują...zmieniają mechanizmy, używają innych rodzajów plików, mają nadawne inne nowe nazwy  :)

Odnośnik do komentarza
  • 4 tygodnie później...

Przed rozpakowaniem plików rar, a także po rozpokawaniu, przed instalacją przeskanowałem pliki za pomocą Malwarebytes Anti-Malware i Microsoft Security Essentials i nie wykryły one zagrożeń. Jednak po próbie instalacji aplikacji w C:\ProgramData pojawiły się ukryte puste foldery. Ich nazwy były długie, zawierały liczby, nazwy były w niebieskim kolorze. Foldery usunąłem.

Brak danych na temat paczki i co ona właściwie zawierała, brak także danych jak dokładnie wyglądały te foldery w C:\ProgramData, bo na razie opis nic szczególnego nie mówi:

- Niebieski kolor oznacza kompresję NTFS.

- W C:\ProgramData różne typy programów (czyli nawet i poprawne) mogą tworzyć foldery zawierające liczby. Istotna jest sekwencja:

 

 

Gdy skopiowałem te nazwy do Google, było tam coś o trojanach.

Więc podaj co to były konkretnie za nazwy. I dostarcz raporty z FRST.

 

 

Packed, Processing error, Password protected, - chyba wszystkie, ale... log ma 7mb. Wiesz może gdzie znajdę rodzaje zagrożeń, tak abym mógł użyć Ctrl+F?

(...)

Co dalej z tym zrobić? Mam wielki kilku megabajtowy log.

Te typy wyników mnie nie interesują. Istotne są tylko wyniki o oznaczniu "Detected" / "Infected" lub coś brzmiącego podobnie. CTRL+F i szukaj rekordów tak oznaczonych, a jeśli takowych brak, to i brak wykrytych infekcji i log zbędny.

 

A jeśli zupełnie nie umiesz sobie poradzić z tym, spakuj log do ZIP, na hosting i podaj link do tego.

 

 

 

 

.

Odnośnik do komentarza

Te typy wyników mnie nie interesują. Istotne są tylko wyniki o oznaczniu "Detected" / "Infected" lub coś brzmiącego podobnie. CTRL+F i szukaj rekordów tak oznaczonych, a jeśli takowych brak, to i brak wykrytych infekcji i log zbędny.

Nie odnalazłem w logu "Detected" / "Infected".

 

Brak danych na temat paczki i co ona właściwie zawierała, brak także danych jak dokładnie wyglądały te foldery w C:\ProgramData, bo na razie opis nic szczególnego nie mówi:

W archiwum znajdowała się instalka + chyba "file_id.diz" i "Tracer", niepamiętam już czy to było to archiwum. Sekewncji liczb nie pamiętam, foldery usunąłem, teoretcznie mogę powtórzyć proces i one znów sę pojawią, ale to ryzykowne.

 

Więc podaj co to były konkretnie za nazwy. I dostarcz raporty z FRST.

Dodam, że w historii przeglądania w przeglądarce równiez nie udało mi się ich odnaleść. FRST użyję jutro i zaktualizuję post.

Odnośnik do komentarza

Brak danych na temat tej paczki, skanery nie wykrywają już nic, więc nic nie jestem w stanie na jej temat powiedzieć. Wg raportów FRST również nie ma podstaw podejrzewać infekcję. To co się natomiast rzuca w oczy to błąd wynikający z niezdrowej sytuacji (wyłączona usługa Dziennik zdarzeń) i nie wiem czy to nadal aktualne (będę sprawdzać w skrypcie):

 

System errors:

=============

Error: (09/26/2014 00:40:01 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Usługa Harmonogram zadań zależy od usługi Dziennik zdarzeń systemu Windows, której nie można uruchomić z powodu następującego błędu:

%%1058

 

Wykonaj tylko kosmetykę:

 

1. Usunięcie pustych wpisów i wyczyszczenie Tempów. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
SearchScopes: HKU\S-1-5-21-2840704495-71358653-682946808-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Eventlog
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go.

 

2. O ile Dziennik zdarzeń jest nadal aktualny, napraw błąd WMI numer 10 narzędziem Fix-it: KLIK.

 

 

 

.

Odnośnik do komentarza

Zrobione. Po restarcie skanowanie nie wyświetlają mi się miniatury w zakładkach, ale po wejściu na stronę się one odnawiają, czy da się je jakoś odświeżyć?
 
Wydaje mi się, że dziennik zdarzeń jest aktywny, są tam zdarzenia.
 
picasso - a znasz może rozwiązanie na ten problem https://www.fixitpc.pl/topic/24124-powolne-ładowanie-pasków-narzędzi/#entry153077 ?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...