Podejrzenie infekcji (coraz częstsze problemy z bezpieczeństwem różnych kont)

[agusiamal]

Witam.

 

W zasadzie komputer działa ok. Nic specjalnego nie zauważyłam z nim, za to coraz częściej mam problemy z różnego typu kontami - musiałam ustanawiać nowe hasła do Origina i OneDrive. Dodatkowo około tygodnia temu po próbie zresetowania routera wi-fi (odłączałam go na jakieś 15 sekund z prądu, bo zatykało się wi-fi, po kablu internet działa bez przeszkód) z niewiadomych mi przyczyn router zresetował się chyba do wartości domyślnych. Piszę chyba, bo zmieniła się nazwa sieci a nie pamiętam czy taka na samym początku. Router udało mi się skonfigurować ponownie i dodatkowo zmieniłam nazwę użytkownika i hasło dostępu do routera.

Generalnie staram się utrzymywać porządek na komputerze, ale nie wiem czy coś mi się jednak nie przemyciło. Zrobiłam pełny skan Kasperskym - nic nie wykazał. Zrobiłam logi z FRST i Gmera.

 

Sprawy techniczne - pracuję na koncie bez uprawnień administratora (na tym koncie były robione raporty) i często po wpisaniu hasła administratora zawiesza się explore.exe. Oczywiście za chwilę uruchamia się ponownie, ale jest to denerwujące. Dzieje się tak najczęściej po uruchomieniu systemu. Przez 3-5 razy tylko po wpisaniu hasłu się zawiesza. To dzieje się od początku, po założeniu tego konta.

 

Wczoraj (a właściwie dzisiaj o 4 rano), po zakończeniu skanowania uśpiłam komputer. Gdy go dzisiaj otworzyłam okazało się, że uruchomił się ponownie. Żadnego błędu nie wykazało, po prostu się uruchomił.

 

W miarę możliwości proszę o sprawdzenie, czy jakiegoś świństwa nie załapałam.

FRST.txt

Addition.txt

Shortcut.txt

Gmer.txt

[picasso]

Na razie brak tu jakichkolwiek oznak infekcji. Tylko drobny szczątek adware na liście zainstalowanych:

 

Installer (HKLM-x32\...\VOPackage) (Version: 1.0.0.0 - )

 

Odinstaluj tego śmiecia siedząc na koncie administracyjnym Aga.

 

 

 

Router udało mi się skonfigurować ponownie i dodatkowo zmieniłam nazwę użytkownika i hasło dostępu do routera.

Podaj mi na wszelki wypadek wyniki tego testu: KLIK.

 

 

Sprawy techniczne - pracuję na koncie bez uprawnień administratora (na tym koncie były robione raporty)

Skan FRST został zrobiony z poziomu kontekstu administracyjnego konta Aga a nie limitowanego Agusia - "Ran by Aga":

 

Ran by Aga (administrator) on AGA on 16-02-2015 00:59:39

Running from C:\Users\Agusia\Desktop

Loaded Profiles: Aga & Agusia (Available profiles: Aga & Agusia)[/b]
 

==================== Accounts: =============================
 

Aga (S-1-5-21-2403310642-1225698830-1158638626-1001 - Administrator - Enabled) => C:\Users\Aga

Agusia (S-1-5-21-2403310642-1225698830-1158638626-1005 - Limited - Enabled) => C:\Users\Agusia

 

Jeśli na koncie limitowanym uruchamiasz FRST za pomocą opcji "Uruchom jako Administrator", zmienia się całkowicie kontekst uprawnień i FRST działa oraz pobiera dane przede wszystkim z poziomu konta administracyjnego a nie limitowanego. Tu w raporcie tylko częściowo są załadowane ustawienia konta limitowanego, czyli nie jest tu w ogóle pokazany właściwy profil przeglądarki. FRST na koncie limitowanym należy uruchomić przez dwuklik i nie robić elewacji uprawnień. Jeśli jest więcej niż jedno konto, należy robić indywidualne raporty FRST z każdego z osobna po całkowitym wylogowaniu poprzedniego konta (czyli restart systemu, a nie opcje Wyloguj czy Przełącz użytkownika).

 

Pod kątem profilu przeglądarki zrób jeszcze raz główny raport FRST (bez Addition i Shortcut) z poziomu konta limitowanego.

 

 

często po wpisaniu hasła administratora zawiesza się explore.exe. Oczywiście za chwilę uruchamia się ponownie, ale jest to denerwujące. Dzieje się tak najczęściej po uruchomieniu systemu. Przez 3-5 razy tylko po wpisaniu hasłu się zawiesza. To dzieje się od początku, po założeniu tego konta.

1. Dziennik zdarzeń nie podaje żadnego konkretnego tropu:

 

Application errors:

==================

Error: (02/10/2015 01:10:29 PM) (Source: Application Hang) (EventID: 1002) (User: )

Description: Program Explorer.EXE w wersji 6.1.7601.17567 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji.
 

Identyfikator procesu: 22ac

Godzina rozpoczęcia: 01d042e39d7c72d0

Godzina zakończenia: 0

Ścieżka aplikacji: C:\windows\Explorer.EXE

Identyfikator raportu: c620dad1-b11d-11e4-91a2-ec55f9e043b6

 

Tu można podejrzewać jedno z dwóch: Kaspersky Internet Security 2013 lub jakieś wadliwe rozszerzenie powłoki. Podejrzanych sporo, np. "Corel Shell Extension - 64Bit", w systemie działa też archaiczny Firebird i inne programy integrujące się z powłoką. Wykonaj test wstępny:

 

Uruchom ShellExView x64. Poprzez klik w belkę Company posortuj wpisy tak by wszystkie producentów trzecich (oznaczone na różowym tle) zgrupowały się razem. Z wciśniętym CTRL zaznacz hurtem wszystkie te "różowe" i zdeaktywuj, następnie zresetuj system. Podaj wyniki czy explorer nadal się samoistnie resetuje.

 

 

2. Dodatkowa sprawa, moduł Hewlett-Packard (hpzjcd01.dll) wykłada usługę Bufor wydruku:

 

Application errors:

==================

Error: (02/14/2015 09:40:36 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: spoolsv.exe, wersja: 6.1.7601.17777, sygnatura czasowa: 0x4f35fc1d

Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.1.7601.18409, sygnatura czasowa: 0x5315a05a

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x0000000000003a28

Identyfikator procesu powodującego błąd: 0x19c8

Godzina uruchomienia aplikacji powodującej błąd: 0xspoolsv.exe0

Ścieżka aplikacji powodującej błąd: spoolsv.exe1

Ścieżka modułu powodującego błąd: spoolsv.exe2

Identyfikator raportu: spoolsv.exe3
 

Error: (02/06/2015 11:42:05 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: spoolsv.exe, wersja: 6.1.7601.17777, sygnatura czasowa: 0x4f35fc1d

Nazwa modułu powodującego błąd: hpzjcd01.dll, wersja: 8.2.16.0, sygnatura czasowa: 0x515df290

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x00000000000188ae

Identyfikator procesu powodującego błąd: 0x6c8

Godzina uruchomienia aplikacji powodującej błąd: 0xspoolsv.exe0

Ścieżka aplikacji powodującej błąd: spoolsv.exe1

Ścieżka modułu powodującego błąd: spoolsv.exe2

Identyfikator raportu: spoolsv.exe3

 

Datowanie w raportach wskazuje, że majdan HP jest stary. Poszukaj czy są aktualizacje.

[agusiamal]

Dziękuję za odpowiedź.

 

Rzeczywiście, jak idiotka puściłam skan FRST jako administrator, chociaż doskonale wiem, że powinien być robiony z poziomu konta. Tam mi to "uruchom jako administrator" weszło w krew, że jak nie myślę co robię to poleci...

 

VOPackage - odinstalowane, ale niestety z konta limitowanego - nie doczytałam uważnie.

 

Co do explorer.exe - po dezaktywowaniu tych pozycji na różowo - od razu po uruchomieniu systemu, przy pierwszym wpisywaniu hasła administratora wywaliło go. Za drugim razem (restart po deinstalacji HP Customer Participation) było w porządku, ale z kolei po ok. 10 wpisaniu znowu go wywaliło. Więc pewnie na razie jestem na niego skazana...

 

Firebird - moja zmora. Napisałam maila z do producenta oprogramowania, które na nim bazuje (podstawowe narzędzie mojej pracy) z pytaniem czy można to ustrojstwo zaktualizować, bo nawet Kaspersky się drze, że luka...

 

HP - kolejna zmora. W różnych gabinetach mamy różne drukarki (stare, nowe) i przy najnowszej się okazało, że jak się coś tam zaktualizuje to blokuje używanie zamienników tonerów - wydruk jednej strony może trwać z godzinę... Po powrocie do starego oprogramowania drukuje dobrze... I dlatego aktualizacje mam wyłączone. Ale i tak oprogramowanie do tych starszych raczej nie jest rozwijane. Do jednej znalazłam sterowniki z 2014r. i we wtorek je zainstaluję bo od razu sprawdzę drukarkę.

 

Jeżeli chodzi o test routera - napisało mi, że jestem bezpieczna bo nie ma dostępu od strony internetu. Ale to dziwne, bo ja dostęp z przeglądarki mam. Na razie nie zmieniałam nic poza nazwą użytkownika i hasłem bo muszę znaleźć płytę od routera - tam chyba jest jakiś program umożliwiający konfigurowanie routera (boję się, że stracę możliwość jego konfiguracji w razie czego). Chyba i tak kupię nowy a ten oddam do reklamacji, bo się boję odłączać go od prądu, bo znowu się zresetuje na twardo.

 

I w logach widzę jakieś odniesienia do Opery. Operę kiedyś miałam zainstalowaną ale teraz już jej nie ma, więc jeśli pozostały jakieś śmieci po niej, to proszę o jakąś ścieżkę, skąd to usunąć.

 

A mam jeszcze pytanie. Koleżanka na swojego laptopa ściągnęła sobie (oczywiście instalując z bardzo lubianych dobrychprogramów wraz z równie wspaniałym Asystentem) coś co nazywało się chyba Round World wraz z wyszukiwarką omiga-search. Odinstalowałam to, usunęłam rozszerzenia i wpisy w przeglądarkach i usunęłam resztki AdwCleanerem. Czy to tylko to się instaluje, czy jest szansa, że coś jeszcze z tym weszło do systemu? Bo na razie wszystkie przeglądarki zachowują się dobrze i przekierowań żadnych nie ma.

 

Dziękuję za poświęcony dotychczas czas.

FRST.txt