Zamulenie systemu, padanie kolejnych kompow

[AMFAST]

Witam;

Od dłuższego czasu borykam się z problemem, jak się na początku wydawało banalnym - a jak teraz się okazuje skomplikowanym i niewyjaśnionym. Pomimo iż z zamiłowania jestem zapalonym informatykiem i mimo posiadania jakiejś wiedzy na ten temat po raz pierwszy w żaden sposób nie jestem w stanie rozwiązać problemu jaki zaczął mnie prześladować ponad 5 miesięcy temu. Na dziś dzień stan strat opiewa przynajmniej na 11-ście komputerów, które w żaden sposób nie były ze sobą powiązane ani nie miały żadnej fizycznej styczności ze sobą - jedyne co je łączy to fakt, że wszystkie uległy tajemniczemu padnięciu...

Nie jestem wstanie określić dokładnego terminu kiedy się zaczęło.

Objawy są różne ale podobne do siebie i przebiegają analogicznie na każdym z kolejnych komputerów wedle poniższego opisu.

Na każdym komputerze, do którego miałem dostęp w celu normalnego użytkowania (komputer w domu, potem laptop domowy, kolejne komputery w pracy, a nawet jak się zorientowałem stanowiska w kafejkach internetowych z których korzystałem przynajmneij raz - WSZYSTKIE PADŁY!!!

Wystarczy że obojętnie skąd i kiedy skorzystam z sieci, wówczas w ciemno mogę określić że ten komputer w przeciągu miesiąca najdalej padnie.

Jedyne rzeczy jakie wykonywałem wspólne dla nich wszystkich to logowanie do skrzynek pocztowych, korzystanie z tego samego nr gg i konta tlenu... Jeśli już się zaloguje na poczte np wp lub google zaczynają się problemy - dziwnie zaczyna pracować dysk, na początku nie zauważalnie oprócz charakterystycznego prykania dla keyloggerów potem zaczynają się już dziwne instalacje nowych komponentów hardweru, znajdowanie nowego sprzętu pomimo żadnych zmian w konfiguracji, potem coraz bardziej uciązliwe występowanie błędów, nie wspomnę o nadmiernuym zagrzewaniu się dysku, proca i kolejno padaniu wiatraków i kończywszy na przegrzaniu płyty proca, a niekiedy dysku twardego...

Wykluczam wstępne założenia, że gdzieś na koncie pocztowym lub gg etc. coś się zagnieździło co automatycznie się uruchamia i w następstwie niszczy kompa. Odnajduje owszem rózne spyware adware rootkity wirusy itp ale to w normalnym stopniu jak zawsze od zaraznia dziejów każdy... Nie pomagają formaty dysku, nawet zmiana pamięci ram nie pomogła (zakładałem nawet że coś siedziało na pamięci) - zakładamy że kupuję nowy komputer po czym instaluje system i łączę się netem - KONIEC - a raczej początek końca kompa!!! Próbowałem wszystkiego, nic nie skutkuje, żaden antywir itp... jedynym programem jaki coś pokazuje (ale tylko poakzuje i na tym się kończy) jest ESET SYSINSPEKTOR - który wskazuje w najwyższym 9-tym poziomie jeden proces na czerwono z opisem very risky, ale nie ma już nazwy i po próbie wyszukania w sieci nic nie znajduje...

Jedna - jedyna rzecz jaka jest nie sprawdzona przeze mnie a jaka w większości przypadków była wspólna to modem dostępu do PLAY ONLINE zakupiony w salonie... ale czy to może mieć znaczenie... wątpię chodź teoretycznie możliwe... (huaweii e156g)

Dopisane: Modem jest wyeliminowany już z podejrzeń. Dodatkwo od momentu napisania tematu poczynionych zostało kilka czynności które z miernym efektem końcowym przyniosły jakieś wymierne korzyści.

 

Poniżej w punktach krótko co jeszce zrobiłem od czasu napisania powyższego tekstu oraz wyciągnięte jakieś wnioski i ewntualne następstwa:

(czynności wypisane w przypadkowej kolejności)

 

1. Raczej odpada rezydowania w RAmie - wirus nie przetrewałby restaru komputera.

2. Podejrzenie o egzystencje w BIOSIE - reset BIOSU i cmos

3. Programowanie kości w programatorze w celu ostatecznego usunięcia.

4. Sporządzane logi w OTL

5. Użyty COMBO fix

6. Uzyto programu Avenger (logi jak w opisie)

7. Formatowanie i zerowanie dysku

8 instalacja linux mint (-menedżer partycji partycje: 1. z systemem plików Linux SWAP.

przeznaczone na nią z 1 gb. Drug, z systemem plików EXT 4 Punkt montowania "/" cały dysk)

9. Uruchomienie skryptu w avengerze /Cytat: "Drivers to disable:a4oya9m9.SYSFiles to move:%SystemRoot%\System32\Drivers\a4oya9m9.SYS | C:\"

9a. Skanowanie pliku C:\a4oya9m9.SYS na Virustotal

10. Zastosowanie StFIx

11. Logi TDSSKiller + MBR.exe

12. Uruchomienie STDP

 

Sprawdzone Win 7, Vista, WIN MX RGB, WIN XP SP3, WIN XP SP2, WIN 98, WIN 98 SE, QBS, LINUX MINT.

 

Najszybciej padła winda 7 potem w koljności Vista, SP3 98 SP2, ... Co do Linuxa po scislym zerowaniu hdd, to nie jestem w stanie dokładnie określić ale dwukrotnie po instalacji Minta w przeciągu ok. godz. Padł Hdd hardwareowo. Do momntu kiedy jeszce działał - było normalnie. Nie można mu było nic zażucic.

 

 

Jeszcze cytat ostatnich efektów z jako rezultat combofixa i poozstałych - wymierne efekty:

Cyt."A co tematu - w procesach systemowych jest kilka takich których nie widać na raportach użytych programów a i w nich samych podczas pracy tee nie zostają wyświetlone. Dla przykładu nazwy kilku "wultdr" "rstdl" "stmodver" "hungapp" "wuresregre" dumpreg".

Wyskakują mi z tym związane nieraz komunikaty z takimi oto raportami:

"szAppName : IEXPLORE.EXE szAppVer : 6.0.2900.2180 szModName : hungapp

szModVer : 0.0.0.0 offset : 00000000"

w menadżerze urządzeń czy w menadżerze zadań wszystkie procesy itp nie posiadają już ikon jak wcześniej tylko widnieją białe - puste ikony. Dla przykładu "uruchomiony zostaje outlook express albo opera. w W pasku normalnie nic nie widać, znaczek opery i outlooka z tematu - bez zmian ale w momencie włączenia menadżera zadań ów aplikacje nie posiadją już swoich domy ślnych ikon i są pustymi białymi "oikienkami" identycznymi jak wcześniej zauważyłem z czymś co się nazywam dumpreg i newru"

I na koniec jeszcze jedno. Wchodząć do menadzera zadań klikając na np operę, internet explora czy podobne i próbując przełączyć się poprzez opcję do procesu to w przypadku opery nie wskazywany jest proces opery tylko proces explorer, w przypadku outlooka jest tak samo - ten sam proces i nadmienię ze jest to ten sam proces. Nie mam kilku procesow explorer, jest jeden i w dodatku uzyta przez niego pamiec njie jest wcale duza bo w granicach 4 -5 mb. Co do zuzywania paięci to rekordy bija przegldarki internetowe a w szczegolności do tą najlepiej się sprawująca opera jest praktycznie bezuyteczna i zachowuje się najbardziej "arogancko" nie zwazajac na to co ja robie tylko ewidentnie w tle robi swoje a jej zuzycie pamieci dochodzi nawet do 270 mb !!! Wydaje mi się ze tak wczesniej nie bylo. W systemie mam niecale 400mb w chwili obecej bo to juz komp z odzysku a pamiec obsadzona na jeszce starych kosciach dimm. Ale opisane powyżej sytuacje miały miejsce już na poprzednich komputerach a także na jeszce działajćym laptopoie o któym mowa wczesniej w postach.

Z początku nie zwracałem na to szczególnie uwagi, ale teraz wydaje mi się to co raz bardziej dziwne, tymbardziej ze uzytew zostaly tak zaawansowane programy i tak szeroko uwazane za skuteczne. Te jednak wogole nic z tym nie zrobily.

Jeszcze jedna sprawa. jakiś czas temu zrobiłem taką rzecz. nie wiedząc co do kl=ładnie dziej się w systemie "laptopa rodziców" (tak będe go teraz nzywał) uruchomiłem keylogera vsk 3.0 wskazując mu przesyłanie logów do mnie na inny komputer i meila z pracy. Te z poczatku nie dochodzily a teraz jak zaczeły są troche dziwne i nie wiem czy to jst spowodowane. Z wiadomych względów ich nie opublike, no chyba ze ktos nalega to wytnę po po prostu część z nich ale sprawa dotyczy samego nagłówka. W systemie zainstalowany (na laptopie) jest procesor 2000 mhz a w logach początkowo informacja o systemie jest prawdziwa natomiast z biegiem czasu uilega zmianie mimo braku zmiany faktycznej konfiguracji "laptopa rodzicow" Z czasem logi wyglądają kolejno po sobie "1600 mhz 1368 mhz 966mhz a ostatnio 960 i 800 mhz" !!! Nie wiem czy to jest spowodowane opisanym problemem czy tez jest to jakias luka samego programu vsk ale chcialem m na to rowniez zwrocic uwage.

 

Przepraszam, za długość opisu i że trochę chaotyczny ale tworzyłem go jakiś czas temu a potem tylko uaktualniałem w miarę poczynionych kroków. Nie bardzo mam czas przepisywać za każdym razem cały tekst i opisywać sytuację na potrzeby odpowiednio nowych zakładanych tematów.

 

Wszelkie logi umieszczone są chomikuj.pl/amfast w katalu logi otl

screeny z błędów w katalogu screeny etc

 

NIE MOGĘ INACZEJ załączyć LOGÓW - spadło mi łączę do max 64 kb/s co uneimożliwia już nawet korzystanie z internetu

 

Jeśli pominąłem coś istotnego to uzupełnię

 

Z góry dziękuję za pomoc

Piotr

[Anonim3]

Ja zabiorę głos tylko w jednej sprawie, mianowicie to:

Z czasem logi wyglądają kolejno po sobie "1600 mhz 1368 mhz 966mhz a ostatnio 960 i 800 mhz" !!!

to jest normalna sytuacja w przypadku laptopów i stacjonarek w dzisiejszych czasach, o ile lapek wyposażony jest w "pełny procesor" (i nie jest to lapek ze staruszkiem celeronem, duronem, athlonem xp, sempronem) to jest to zupełnie normalne. Edytowane 1 Marca 2011 przez picasso
1.03.2011 - Temat zostaje zamknięty. Wygasła jego żywotność ustalona zasadami. //picasso