Skocz do zawartości

Życie wewnętrzne w kompie kwitnie


Rekomendowane odpowiedzi

Witam serdecznie. Nastąpiło drastyczne spowolnienie pracy i wyraźnie wzrosło wykorzystanie ramu - tak że nie da się pracować. Mam Avasta, PC tools firewall plus, Spyware doctora, win patrola i mbama, którymi od czasu do czasu skanuję system. Czasem coś znajdowały i usuwały. Pomyślałem, że może nie znalazły wszystkiego. Już nie pamiętam jak to wymyśliłem, ale zainstalowalem Prevx v.3. On natomiast wykrył vira w pliku msvcrt.dll w system 32. wystartowałem z konsoli i podmieniłem plik z instalki xp. po ponownym scanie było o.k., ale po następnym znowu to samo. Wyczyściłem wszystko ccleanerem, odinstalowałem kilka programów w nadzieji że to jest to, ale dalej nic nie pomogło. Myślę że wiem co mogło być przyczyną rozwoju życia wewnętrznego mojego PC. Zciągnąłem program acid 7 pro w wersji demo ale nie chciał się zainstalować. Krzyczał że win instaler jest uszkodzony albo niepoprawnie zainstalowany. Postanowilem znaleźć inne źródło żeby sprawdzić i Vuze mi w tym pomógł. Przy instalacji nastąpiło to samo. Sprawdzałem inne programy - instalowały się. Wyczyściłem co mogłem, zrobiłem logi z programow, które są przez was preferowane i otwieram ten temat w nadziei że pomożecie mi po raz drugi. Wysłałem te pliki do VIRUS TOTAL ale nic nie wykryli. Zato mbam znajduje viry w plikach w których ich przedtem nie było. Myślę że coś siedzi głęboko i buszuje sobie swobodnie. Odinstalowalem prevx-a, to był zły pomysł, bo nie mam z niego logów. Pozdrawiam i czekam na radę. JG

 

Dzisiaj przeskanowałem TDSSKileerem, który nigdy nic nie znalazł - aż dzisiaj - dosyłam loga i obrazek, ponieważ nie wiedziałem jak zareagować - skasować czy co??

Extras.Txt

OTL.Txt

gmer-log.txt

gmer-prescan.txt

mbam-log-2011-02-02 (21-44-30).txt

TDSSKiller.2.4.8.0_03.02.2011_13.36.40_log.txt

post-1116-0-67689100-1296736657_thumb.png

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W sumie nic nie wskazuje, by rezydowała infekcja w stanie czynnym. Widzę tylko te dwa podejrzane elementy i nie potrafię ich z niczym powiązać:

 

[2011.02.02 21:44:48 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\lvmoo.sys

[2011.02.02 21:44:48 | 000,000,444 | ---- | C] () -- C:\WINDOWS\tasks\etsgyyg

Spróbujmy to usunąć, a przy okazji i odpadki po PrevX:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2011.02.02 21:44:48 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\lvmoo.sys
[2011.02.02 21:44:48 | 000,000,444 | ---- | C] () -- C:\WINDOWS\tasks\etsgyyg
SRV - File not found [Auto | Stopped] --  -- (CSIScanner)
DRV - File not found [Kernel | Boot | Running] --  -- (pxscan)
DRV - File not found [File_System | System | Running] --  -- (pxrts)
DRV - File not found [Kernel | On_Demand | Running] --  -- (pxkbf)
[2011.01.27 18:59:35 | 000,071,880 | ---- | C] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll-29502890

 

Uruchom przez Wykonaj skrypt. Nie będzie restartu. Otrzymasz log.

 

2. W Dodaj / Usuń programy odinstaluj pozycję Vuze_Remote Toolbar.

 

3. Zaprezentuj tu log z usuwania i nowe logi z OTL.

 

 

Już nie pamiętam jak to wymyśliłem, ale zainstalowalem Prevx v.3. On natomiast wykrył vira w pliku msvcrt.dll w system 32. wystartowałem z konsoli i podmieniłem plik z instalki xp. po ponownym scanie było o.k., ale po następnym znowu to samo.

 

Bez podania dokładnego raportu trudno to oceniać. Zaś PrevX to czasem pokazuje niestworzone rzeczy. Dlatego bez raportu ja tu nie zdziałam za dużo. Czy ten plik na dysku to konsekwencja Twoich operacji (?):

 

[2011.01.27 19:01:38 | 000,343,040 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcrt.bok

 

Zato mbam znajduje viry w plikach w których ich przedtem nie było.

 

To nie jest wykryte jako "wirus" tylko "RiskWare.Tool.CK". Definicje mogły się uaktualnić. Widzi to w keygenach. Ja nie widzę nic "zdrożnego" w tej akcji, o ile można to tak określić.

 

 

Nastąpiło drastyczne spowolnienie pracy i wyraźnie wzrosło wykorzystanie ramu - tak że nie da się pracować.

 

Problem może leżeć też zupełnie gdzie indziej:

 

 

Mam Avasta, PC tools firewall plus, Spyware doctora, win patrola i mbama, którymi od czasu do czasu skanuję system.

 

Jeszcze o (męczącym) Ad-aware zapomniałeś. System jest przeładowany, nie wiem czy to szczęśliwa kombinacja zabezpieczająca i prawidłowo skonfigurowana. Proponuję rozpocząć od stopniowej redukcji programów i sprawdzać czy to przynieniesie poprawę. Czyli: deinstalujesz Ad-aware > restart > sprawdzasz skutki i tak dalej.

Notuję też, że Avast albo był tu niedawno montowany, albo aktualizował swoje pliki (świeże modyfikacje na dysku). Może tu gdzieś jest pogrzebany pies i należy przetestować jak się zachowuje system z wyłączonymi wszystkimi osłonami lub bez Avasta. Podsuwam jeszcze ten wątek: KLIK.

 

 

 

EDIT: Pisząc odpowiedź nie widziałam w ogóle edycji z TDSSKiller. Daj chwilkę na analizę.

 

2011/02/03 13:36:46.0718    Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\igxpmp32.sys. Real md5: a65214c4625d25b9817bbc06c60416db, Fake md5: 66a685b05066683621920bc14a45cfe8

2011/02/03 13:36:46.0734 ialm - detected Forged file (1)

Może na początek przeskanuj ten plik Intela na VirusTotal, tylko plik musi być wyciągnięty do skanowania z poziomu niedziałającego systemu (zwyczajne skopiowanie pliku do skanu niewiarygodne = jest przecież oznaczenie sfałszowania sumy kontrolnej).

 

1. Zastartuj z Konsoli Odzyskiwania i wpisz polecenie:

 

COPY C:\WINDOWS\system32\DRIVERS\igxpmp32.sys C:\1.sys

 

2. Następnie już spod Windows plik C:\1.sys rzuć na VirusTotal i zaprezentuj co skanery w tym widzą.

 

 

 

.

Edytowane przez picasso
Odnośnik do komentarza

Wykonałem skrypt.

Vuze_Remote Toolbar nie da się usunąć z dodaj usuń ( tylko miga i nic się nie dzieje).

msvcrt.bok oraz bak - to moja "praca" - zrobiłem kopie w razie gdyby nie działał ten z cd xp.

plik do sprawdzenia na virus total się wysyła (strasznie powoli) - jak będą wyniki do doślę.

właśnie skończyli i nic nie znaleźli !!!!

 

(zwyczajne skopiowanie pliku do skanu niewiarygodne = jest przecież oznaczenie sfałszowania sumy kontrolnej). - nie bardzo rozumiem to "niewiarygodne"?

 

Teraz się zoriętowałem że podczas 1 skanu otl-em miałem zaptaszkowane - pomiń dobre znane pliki - nie wiem czy ma to znaczenie.

Po naprawie do skanu odznaczyłem tą pozycję.

OTL-napr-02032011_145803.txt

OTL.Txt

post-1116-0-73853800-1296744758_thumb.png

Odnośnik do komentarza

Czy skryptu OTL przypadkiem nie uruchomiłeś dwukrotnie? Skrypt nic nie zrobił, wszystko jest "not found". Aczkolwiek już nie ma tych obiektów w logu. Wnioski: albo dwukrotnie przepuszczony skrypt, albo podejmowałeś między prezentacją logów a moimi zaleceniami własne akcje usuwające to.

 

Vuze_Remote Toolbar nie da się usunąć z dodaj usuń ( tylko miga i nic się nie dzieje).

 

Tym zajmiemy się potem. Nie jest to takie istotne.

 

Teraz się zoriętowałem że podczas 1 skanu otl-em miałem zaptaszkowane - (ale to na obrazku, dlatego że mam czeską wersje programu.) - nie wiem czy ma to znaczenie.

 

Nie znam czeskiego. Jeśli ta zaznaczona opcja odpowiada polskiemu wariantowi "Pomiń znane dobre pliki", to jest to oczekiwane ustawienie.

 

(zwyczajne skopiowanie pliku do skanu niewiarygodne = jest przecież oznaczenie sfałszowania sumy kontrolnej). - nie bardzo rozumiem to "niewiarygodne"?

 

Mam na myśli: nie można pliku C:\WINDOWS\system32\DRIVERS\igxpmp32.sys po prostu wskazać spod Windows do skanu na VirusTotal. Przecież TDSSKiller mówi, że jest sfałszowany. To oznacza, że jeśli plik skopiujesz spod działającego Windows, VirusTotal nie wykryje nic, będzie widział sfałszowaną postać pliku. Dlatego zaleciłam tworzenie kopii tego pliku z poziomu Konsoli Odzyskiwania, bo plik widziany z tego środowiska to widok prawdziwy pliku.

 

właśnie skończyli i nic nie znaleźli !!!!

 

Mam nadzieję, że postąpiłeś zgodnie ze wskazówkami robiąc kopię z poziomu Konsoli Odzyskiwania (a nie ręcznie spod Windows).

 

 


Ja jednak sądzę, że jest to infekcja i plik Intel należy podmienić. Identyczna suma kontrolna oznaczona tu jako "real" a65214c4625d25b9817bbc06c60416db pokazuje się w tym temacie ze zgłoszeniami backdoora TDSS: KLIK.

 

1. Skopiuj ręcznie plik C:\WINDOWS\system32\drivers\igxpmp32.sys na dysk C:\. Jeśli działa rootkit, takie kopiowanie z ręki powinno przekopiować podstawioną wirtualnie czystą postać pliku, czyli w konsekwencji ma to działanie utworzyć czystą kopię sterownika.

 

2. Startujesz do Konsoli Odzyskiwania i wpisujesz komendę:

 

COPY C:\igxpmp32.sys C:\WINDOWS\system32\drivers\igxpmp32.sys

 

3. Restart do Windows i wyprodukuj nowy log z TDSSKiller.

 

 

 

.

Odnośnik do komentarza

jest możliwe że skrypt zrobiłem 2 razy, - nie jestem pewien czy to było przy skrypcie czy przy skanie po nim.

Coś mi świta w głowie że chyba za 1 razem nie wyprodukował loga (to może być to).

Ten plik skopiowałem ręcznie pod winem, następnie według instrukcji.

skan z TDSSKiller nic nie znalazł.

ale jeszcze przedtem chcialem zmienić w panelu języka na języki polski aby w otlu było po polsku, i komputer się zawiesił.

po restarcie był język zmieniony, ale po ponownej próbie zmiany na czeski stało się to znowu (zwieszka).

Kiedyś to działało, zmieniałem język aby programy były po polsku.

muszę mieć nastawiony czeski, ponieważ używam programy w pracy, które przy nastawionym języku polskim robią łledy w obliczeniach i przy sortowaniu. System operacyjny mam czeski.

TDSSKiller.2.4.8.0_03.02.2011_17.58.36_log.txt

post-1116-0-30882200-1296752409_thumb.png

Odnośnik do komentarza

Wynik z TDSSKiller potwierdza pomyślną zamianę plików. Możemy przejść do wątków pobocznych.

 

1. Czas na resztki Vuze Toolbar (przy okazji i autoryzacje AVG w zaporze). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1760230239-2365781640-338179117-1005\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - Reg Error: Key error. File not found
[2011.01.26 16:36:50 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\jaro\Data aplikací\Mozilla\Firefox\Profiles\r59dnsaq.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011.01.26 16:38:20 | 000,000,000 | ---D | C] -- C:\Program Files\Vuze_Remote
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Vuze_Remote Toolbar]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\AVG\AVG8\avgam.exe"=-
"C:\Program Files\AVG\AVG8\avgdiag.exe"=-
"C:\Program Files\AVG\AVG8\avgdiagex.exe"=-

Klik w Wykonaj skrypt. Akcja szybka i bez restartu.

 

2. Druga sprawa: optymalizacje w oprogramowaniu zabezpieczającym nadal aktualne. Rozpocznij od wyrzucenia Ad-aware, nie jest to potrzebna pozycja w Twoim aktualnym zestawie i po co obciążać system.

 

 

ale jeszcze przedtem chcialem zmienić w panelu języka na języki polski aby w otlu było po polsku, i komputer się zawiesił.

po restarcie był język zmieniony, ale po ponownej próbie zmiany na czeski stało się to znowu (zwieszka).

 

Nie wykluczam wpływu działania oprogramowania zabezpieczającego.

 

 

 

.

Odnośnik do komentarza

Zrobiłem co trzeba. Wykonałem skrypt, odinstalowałem adware (z pamięcią jest lepiej), restart, Vuze_Remote Toolbar - zniknął - sprawdziłem co z językiem (to samo) - zwieszka - tylko powerem można się było z tego wydostać.

Zauważyłem że jest pewne zjawisko, a mianowicie (i tu przepraszam, zapisałem sobie że to napisze w odpowiedzi i nie zrobłlem tego) kiedy przy pierwszej konsoli chciłlem się zalogować z dysku (ponieważ mam do wyboru butowanie do konsoli, ("Microsoft windows recovery console") (to okno zawsze mruga 2 razy) wyskoczył komunikat: "A DISK ERROR OCCURRED" - dlatego butowalem do konsoli z cd xp.

Przesyłam obrazek dysku. mam kompa od della i robiłem już test sprawdzający od della - nie zgłosił żadnego błedu w hardware i software. Nie wiem czy sprawdzał tą ukrytą partycje?

Może że ta zmiana języka jest związana z jakimś brakiem lub uszkodzeniem części windowsa? Parę dni temu zrobiłem w CMD "sfc /scannow" - nie wiem jaki to miało wpływ na sytuację?

"Więcej grzechów nie pamiętam" - choć się człowiek stara popełnia błędy - sorry

 

Może znasz jakiś antyspyware (darmowy - na początek) który zastąpiłby mojego spyware doctora?

otl-skrypt-02032011_203459-log.txt

post-1116-0-04783800-1296762853_thumb.png

post-1116-0-75222800-1296765605_thumb.png

Odnośnik do komentarza

Po usuwaniu należy jeszcze wykonać tradycyjne kroki:

 

1. W OTL wywołaj Sprzątanie.

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

Zauważyłem że jest pewne zjawisko, a mianowicie (i tu przepraszam, zapisałem sobie że to napisze w odpowiedzi i nie zrobłlem tego) kiedy przy pierwszej konsoli chciłlem się zalogować z dysku (ponieważ mam do wyboru butowanie do konsoli, ("Microsoft windows recovery console") (to okno zawsze mruga 2 razy) wyskoczył komunikat: "A DISK ERROR OCCURRED" - dlatego butowalem do konsoli z cd xp.

 

Czy to wystąpienie jednorazowe błędu, czy też powtarza się za każdym razem, gdy chcesz wejść do Konsoli?

 

 

Może znasz jakiś antyspyware (darmowy - na początek) który zastąpiłby mojego spyware doctora?

 

W dzisiejszych czasach zaciera się granica między "antywirusem" a "antyspyware". W istocie nowoczesny "antywirus" już realizuje po części te funkcje (przyjrzyj się uważnie na opis Avasta na stronie producenta ....). Wystarczy jako towarzystwo skaner na żądanie typu MBAM i tyle.

Obrazek ze SpywareDoctora nic nie mówi = nie ma podanych najważniejszych detali, czyli ścieżek dostępu obiektów.

 

 

Może że ta zmiana języka jest związana z jakimś brakiem lub uszkodzeniem części windowsa? Parę dni temu zrobiłem w CMD "sfc /scannow" - nie wiem jaki to miało wpływ na sytuację?

Ja jednak bym sprawdziła czy nie ma tu wpływu Avast. Wykonaj wstępny test z trwałym wyłączeniem wszystkich osłon + restart i sprawdź czy przestawianie języka zawiesza komputer.

 

 

 

.

Odnośnik do komentarza
znalazłem sposób jak zapisać logi ze spyware docktora

 

Ten log ze SpywareDoctor nie odpowiada w ogóle zawartości kwarantanny. Zaczyna odliczać zdarzenia od 24.12.2010 19:01:02:906, co ma zazębienie tylko z jedną pozycją w kwarantannie z tego samego dnia. Przy czym w logu nawet nie ma danych co to zostało wykryte tego dnia. Same ogólniki. Raport ma odnośniki tylko mało istotnych zgłoszeń (Ciastka).

 

 

Problem z konsolą powtarza się cały czas.

 

Czy na dysku C jest katalog CMDCONS oraz plik rozruchowy Konsoli CMLDR? I przeklej tu zawartość pliku BOOT.INI do wglądu.

 

Oczywiście ustaw widoczność wszystkich plików w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego.

 

 

 

.

Odnośnik do komentarza

jaro2010 proszę używaj opcji Edytuj, jeśli chcesz coś dodać, a nikt jeszcze nie odpisał pod spodem, zamiast replikować posty. Łączę.

 

Wylączyłem wszystko według zaleceń.

 

I? Czy jest wymierny skutek dla zawieszania przy użyciu opcji?

 

Błąd z konsolą ten sam.

 

Tu przecież nie została podana żadna operacja mająca to rozwiązać.

 

Katalog i plik są na c:

 

Pokaż zawartość tego katalogu CMDCONS. Start > Uruchom > cmd i wklep komendę:

 

dir /s /a C:\CMDCONS > C:\log.txt & start notepad C:\log.txt

 

 

 

.

Odnośnik do komentarza
Napisałem że po wyłączeniu avasta, firewaala i antyspyware - problem z konsolą pozostał. Wyskakuje A DISK ERROR OCCURED.

 

No ale ja mówię = ta akcja z wyłączaniem nie ma w ogóle nic wspólnego z Konsolą. Ta akcja jest związana ze sprawdzaniem czy wiesza się dialog regionalnych.

 

Daj mi czas na obejrzenie loga i rozważenie możliwości. EDIT: hmmm, może spróbuj reinstalować Konsolę.

 

1. W BOOT.INI wytnij tę linię:

 

[boot loader]

timeout=3

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

Zapisz zmiany w pliku.

 

2. Skasuj z dysku plik CMLDR i folder CMDCONS.

 

3. Włóż płytę CD XP i w Start > Uruchom > wpisz polecenie: X:\i386\winnt32.exe /cmdcons (gdzie X = litera napędu CD-ROM).

 

 

 

.

Edytowane przez picasso
Odnośnik do komentarza

1. Upewnij się, że ta opcja jest odznaczona: Opcje folderów > Widok > Użyj prostego udostępniania plików

 

2. Z prawokliku na folder CMDCONS wybierz Właściwości i wejdź w kartę Zabezpieczenia. Na liście podświetl grupę Wszyscy i sprawdź czy przypadkiem nie ma ustawionego "Odmów" (co należałoby odfajkować, by nadać Pełną kontrolę).

Odnośnik do komentarza

jaro2010 nie dogadujemy się. Powtarzam po raz trzeci: masz wejść do Opcje folderów > Widok > i ściągnąć ptaszek z opcji "Użyj prostego udostępniania plików". Po wyłączeniu tej funkcji we Właściwościach folderów jest inny układ kart, pojawia się czwarta o nazwie "Zabezpieczenia" (A Ty tu pokazujesz na obrazku kartę od czegoś zupełnie innego = od współdzielenia).

 

EDIT: I proszę ponownie, opcja Edytuj a nie pisanie posta pod postem. Zbnowu łączę posty.

 

EDIT2: Nie no bez przesady. Ja mówię o wykonywaniu edycji, gdy nikt jeszcze nie odpisał, tak by nie tworzyły się dwa posty Twojego autorstwa jeden pod drugim. Skoro już odpisałam, Ty tworzysz pod moim postem nowy post stanowiący odpowiedź na mój post i przedstawiający wyniki. Teraz jest nielogicznie. Edytujesz wstecznie ....

Edytowane przez picasso
Odnośnik do komentarza

Konsola została tu zainstalowana niejako "na czysto" (stąd i masz czeską nazwę teraz a nie angielską). Problemu nie mogą raczej tworzyć pliki Konsoli, gdyż wszystkie zostały ponownie odświeżone. BOOT.INI zdaje się być prawidłowy. No to podejrzanym zostaje niestety MBR. "Niestety" = dlatego że nie mogę go nadpisać standardową procedurą, ponieważ mam tu do czynienia z komputerem Dell i MBR nosi kod producenta, a nadpis MBR jest równoznaczny ze stemplem danych.

 

Zadam pytanie: czy ta Konsola w menu kiedykolwiek działała? W jaki sposób została tam wstawiona za pierwszym razem, to był "gotowiec" od producenta czy samodzielnie ją instalowałeś jakimś sposobem?

Odnośnik do komentarza

To jest komp, kupiony od della, z którym moja firma ma umowę. Był tam przedinstalowany win i aplikacje , które używam w firmie.

Dostałem 6 CD: 2 x reinstalacja z visty i xp, 1 x z softem zainstalowanym, 2x drivers, 1 x drivers win 7.

Nie mogę sobie przypomnieć czy startowałem z tej konsoli, ale na pewno jej nie instalowałem.

Bardziej prawdopodobne że startowałem z cd, aby skasować pliki, które były w użyciu i nie dały się skasować.

To po jakichś robalach kiedyś tam, zanim zacząlem pisać do was.

Te cd pisze że są tylko do reinstalacji systemu a nie do instalacji.

Jest tam ukryta partycja, którą masz na obrazku jaki posłałem wcześniej. Nie wiem czy to ma jakieś znaczenie w tej sprawie.

Czy w tym MBR siedzi jakis robal? czy jest uszkodzony i dlatego ten problem? Czy można to zignorować?

Acha no i mam wyłączoną indeksację plików.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...