Win7 - blokada kont mailowych WP i Tlen z powodu rzekomej infekcji ?

[quentin]

gorąca prośba do @picasso o wstępne sprawdzenie logów FRST na okoliczność infekcji wirusami - win7 (6.1.7601) na lenovo w530 (24472AG)

objawy:

1) blokada kont mailowych od 31.12.2017 przez Wirtualną Polskę i Tlen wobec podejrzenia przejęcia hasła do obydwu kont przez wirus z powodu logowania z różnych miejsc w krótkich odstępach czasu - nie wiem, czy chodzi o to, że jestem w podróży i loguję się z różnych miejsc i urządzeń (Thunderbird, GalaxyA3 i S4), bo administratorzy WP i O2 nie raczą niczego wyjaśniać i nadal blokują mi możliwości odpowiadania na maile;

2) do wyżej opisanej blokady kont mailowych doszło po serii bluescreenów w grudniu: 16.12.2017 0x0000001A; 24.12.2017 0x0000009F; 28.12.2017 0x0000003B; 29.12.2017 0x000000D1 (po verifier.exe); 31.12.2017 0x0000009F; 01.01.2018 0x00000050 i oczywiście w dzienniku zdarzeń mam szereg błędów krytycznych (wolny rozruch) i różnych ostrzeżeń;

3) 04.01.2018 wyraźne spowolnienie rozruchu i przerywana, krytycznie wolna praca systemu (screen z użycia procesora 0% - nigdy z czymś takim się nie spotkałem) z komunikatem pojawiającym się na zbyt krótką chwilę, o zajęciu całej pamięci (low on memory) - chyba przez kartę Mobile Broadband, z której aktualnie nie korzystam, więc ją wyłączyłem w Menedżerze urządzeń;

pytanie do @mgrzeg - czy przy takich objawach, jak opisałem w pkt 3) trzeba już przeprowadzać tą uciążliwą i czasochłonną analizę z WPT, jaką opisałeś tutaj ?

podjęte dotąd działania:

4) od 01.01.2018 aktualizacje wszelkich dostępnych sterowników;

5) od 01.01.2018 skany a-v systemu: ZoneAlarm (ok), adwcleaner (pup TotalAV, ok), mb3 (ok), mbar (AppInit_Dlls; ok), Bitdefender (kvrt, ok), SuperAntiSpyware (masa cookies - ok), RogueKiller (pup.gen), KVRT (top_netinfo + bbp tor), tdsskiller (ok); Comodo_av (ok), F-Secure (ok); ESET (ok), HitmanPro (ok), Zemana (ok), MS Security Essentials (ok), Windows Defender (ok), SFC (ok), CCleaner (ok), testy BIOS (ok); testy Lenovo (ok); Raport systemu (ok) - FRST nie potrafię ocenić;

6) na odrębnej partycji w archiwum maili sprzed 2-3 lat tylko Bitdefender wykrył mi infekcje w starych, podejrzanych wiadomościach (spam), których nigdy nie otwierałem, więc te wiadomości również usunąłem;

po tych działaniach system mimo dość wolnego rozruchu, pracuje w miarę normalnie i jeszcze nie przydarzył mi się bluescreen od 1 stycznia, lecz WP i Tlen nadal uniemożliwiają mi odpowiadanie na maile (błąd logowania na serwery smtp), więc usilnie już szukam przyczyn, gdyż nie mogę wykluczyć, że przyczyną może być jednak jakiś wirus, a już nie mam pomysłów na dalsze analizy;

z góry za wszelką pomoc dziękuję, q

FRST.txt

Addition.txt

Shortcut.txt

[Rucek]

Możesz jeszcze puścić skan MBAM:

https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=173217

Nie usuwaj nic - dołącz wyniki skanu i czekaj na Miszela.

[quentin]

no mogę, bo scan mbam nawet puściłem w trakcie zakładania wątku, ale raport jest pusty, podobnie jak był pusty również 16.12.2017, 01.01.2018 i 05.01.2018 - widocznie coś gdzieś musi siedzieć, co umyka tym wszystkim darmowym skanerom  albo to rosnący bałagan, o jaki już nietrudno pod win7 po kilku latach pracy poczekam na @Miszel03a

180111_w530_mbam_scan_07.txt

[quentin]

zrobiłem jeszcze jeden scan mbam z opcją poszukiwania rootkitów i zbierania danych dziennika zdarzeń, ale też jest pusty, więc przejrzałem jeszcze dokładnie wszystkie raporty i widzę jednak, że niektóre nie były tak do końca puste, bo 01.01.2018 wyrzucił mi do kwarantanny PowerISO7-X64.exe, z którego rzadko kiedyś korzystałem do montowania obrazów, a ciekawe, że 16.12.2017 go pominął i 05.01.2018 wyrzucił mi do kwarantanny jakieś reszki PUP po badziewiu DriverIdentyfier, który szybko odinstalowałem, bo niewłaściwe sterowniki mi wskazywał i narobił więcej bałaganu niż pożytku, co też mogło być przyczyną tego zaskakującego objawu z 04.01.2018, jaki wyżej opisałem w pkt 3), choć sterownika karty Mobile Broadband nie aktualizowałem, bo mi system twierdzi, że mam aktualny.

180112_w530_mbam_scan_08.txt

180101_w530_mbam_scan_02.txt

180105_w530_mbam_scan_03.txt

[quentin]

pomocy :-(

 

po miesiącu względnego spokoju, ponownie dziwne zawieszanie systemu i seria bluescreenów, innych niż miesiąc temu i tym razem z tego samego powodu, jak przypuszczam (storport.sys - DRIVER_IRQL_NOT_LES_OR_EQUAL i SYSTEM_SERVICE_EXCEPTION):

 

23.01.2018 ok. 14:30
zawiecha podczas edycji tekstu w mailu, kompletny brak reakcji i aktywności diod, cisza - twardy reset przyciskiem zasilania

29.01.2018 20:44
*** STOP: 0x000000D1 (0x000000000000232A, 0x0000000000000002, 0x0000000000000000, 0xFFFFF88001B20FE0)
*** storport.sys - Address FFFFF88001B20FE0 base at FFFFF88001B!E000 Date Stamp 52f04432

30.01.2018 ok. 15:30
zawiecha podczas edycji tekstu w notatniku, kompletny brak reakcji i aktywności diod, cisza - twardy reset przyciskiem zasilania

30.01.2018 18:05
*** STOP: 0x000000D1 (0x000000000000246C, 0x0000000000000002, 0x0000000000000000, 0xFFFFF88001B3C0AB)
*** storport.sys - Address FFFFF88001BBC0AB base at FFFFF88001B3A000 Date Stamp 52f04432

30.01.2018 18:46
*** STOP: 0x0000003B (0x00000000C0000005, 0xFFFFF88001B96494, 0xFFFFF88011CC1D00, 0x0000000000000000)
*** storport.sys - Address FFFFF88001B96494 base at FFFFF88001B82000 Date Stamp 52f04432

[Groszexxx]

Co do punktu 3 to można po prostu uruchomić wprui i stworzyć log co wykonuje się w systemie. 

 

Menadżer zadań w windowsie nie podaje rzeczywistych wartości. Jeżeli jest 0% użycia cpu to na pewno tych 0% nie ma, w tym celu lepiej uzyć programu Process Explorer. 

 

Te pliki tekstowe są bezużyteczne, załącz całe zrzuty pamięci. 

[quentin]

Groszek - dziękuję za uwagę, ale wprui to mnóstwo opcji i jak wszystkie zaznaczasz, to masz log na 4,5 GB, a jak żadnej (poza First level triage - General), to masz log na 70 MB, a log z opcją Boot trace z itinerations 3, też ma ponad 3GB, to chyba takich plików na forum nie da się zamieszczać ?

 

Nie wiem też o jakie zrzuty pamięci chodzi ? Windows 7 robi dziesiątki różnych logów i raportów w różnych miejscach, w systemie mam ustawioną opcję małego zrzutu pamięci (256 kB) do %SystemRoot%\Minidump, ale tam mam pusto przy "pokaż ukryte pliki, foldery i dyski" i nie "ukrywaj chronionych plików systemu".

[Groszexxx]

Tylko First triage Cię interesuje + general. 

 

 

https://www.fixitpc.pl/topic/29344-diagnostyka-samoczynnych-restart%C3%B3w-i-bsod/

[quentin]

Tylko First triage Cię interesuje + general. 

https://www.fixitpc.pl/topic/29344-diagnostyka-samoczynnych-restart%C3%B3w-i-bsod/

 

OK, dzięki - załączam LEN7.01-31-2018.10-41-31.etl (68 MB).

EDIT: - no niestety, bo jest limit do 12 MB

 

Sugerujesz, bym zrobił netsh winsock reset?

[Groszexxx]

Wrzuć na jakiś hosting, dziwne, żeby takie logi wrzucać na forum. Kto by za to miał zapłacić?! 

[quentin]

Oj Groszek, Groszek - jaki znów hosting? Szukam pomocy na forum, zrobiłem logi według instrukcji, które zaproponowałeś i nic nie pisałeś, że mam poza forum szukać jakiegoś hostingu, byś nie musiał pisać, że robię rzeczy dziwne - nie mam pojęcia na jakim hostingu, mam takie pliki udostępniać, by nie tracić ani Twojego czasu i uprzejmości, ani własnego?

[Groszexxx]

Powstały log wynikowy spakuj do archiwum, a następnie wyślij go na jakiś hosting, np. MediaFire. 

 

Miszel03: Proszę o pełny zestaw raportów FRST (choć w infekcję wątpię, po tylko skanach), bo tamte już nieaktualne, a widzę, że tu trwają również prace z innej dziedziny.

​Przy okazji posprzątałem temat. 

[quentin]

[member=Miszel03]: Proszę o pełny zestaw raportów FRST (choć w infekcję wątpię, po tylko skanach), bo tamte już nieaktualne, a widzę, że tu trwają również prace z innej dziedziny.

​Przy okazji posprzątałem temat. 

 

by nie kończyć tematu milczeniem z braku czasu na kolejne syzyfowe zmagania z Win7, dopiero teraz załączam poniżej pełny zestaw FRST, ale... - z zaktualizowanego klonu systemu z sierpnia 2017, bo (fabryczny) system z lutego 2018 po względnym spokoju (tylko z trzema BSOD) w marcu i kwietniu, w końcu rozjechał się w maju na nierozwiązywalnym BSOD 0x0000007B (19 potencjalnych przyczyn wg lifewire - nie do przejścia w żaden normalny sposób dla przeciętnego użytkownika), więc po 4 tygodniach daremnych prób szukania przyczyn w końcu poddałem się i sięgnąłem po kopię systemu sprzed roku...,

 

o ile w kopii z 2017 BSOD 0x7B jeszcze nie występował i nadal jeszcze nie występuje, to jednak 3 dni temu przy próbie hurtowej aktualizacji oprogramowania pojawił mi się realny atak: Trojan.Floxif w plikach ccleaner.exe i pdxsxwz.uqf oraz jakiś dodatkowy problem w \ProgramData\WPM\Update\update.exe - Zone Alarm zablokował mi system wymuszając natychmiastowy exit i następnie te 3 problemy zgłosiły mi zgodnie 3 skanery: Zone Alarm, msert i mbam.., potwierdzając ich usunięcie, lecz pewności nie mam, czy skutecznie je usunęły...,

 

i stąd też w pierwszej kolejności prośba o przejrzenie logów FRST na okoliczność usunięcia tej infekcji.

FRST.txt

Addition.txt

Shortcut.txt

[quentin]

w drugiej kolejności, od ponad dwóch lat borykam się z problemem wolnego uruchamiania i nie znalazłem dotąd rozwiązania - na uruchomienie systemu, który potrzebował mniej niż minutę (ok. 50s), teraz czekać muszę co najmniej 3-4 minuty (o ile nie dokonuję aktualizacji - bo w przypadku aktualizacji bywa 6-8 minut i dłużej - rekord ponad 15 minut), co jak przypuszczam przekłada się również na wyraźnie wolniejszą pracę systemu, z jaką mam do czynienia już od dłuższego czasu;

i stąd drugie pytanie do @mgrzeg, czy znalazłby chwilę, by zerknąć na boot_1.etl załączony w linku (boot_1.rar) ?
 

[Groszexxx]

Zerknę, ale potrzebuję czasu. Strasznie dużo sprawa na głowie mam. 

[Groszexxx]

Wydaję mi się, że to pakiet CheckPoint odpowiada za ten wolny start. Ten Lenovo Password Manager to też jakiś szajs i zużywa całkiem sporo zasobów. 

[quentin]

Wydaję mi się, że to pakiet CheckPoint odpowiada za ten wolny start. Ten Lenovo Password Manager to też jakiś szajs i zużywa całkiem sporo zasobów. 

dzięki Groszek za uwagę - cały czas poszukuję rozwiązań...

 

CheckPoint - częściowo może odpowiadać za ten wolny start, bo w międzyczasie 17.06.2018 zainstalowałem update ZoneAlarm 15.3.060.17669, który narobił dużo dodatkowego bałaganu z SandBlast, jakiego już nie potrafię opanować, więc cały ZoneAlarm odinstalowałem i na razie mam tylko Zaporę MS (szkoda bo ZoneAlarm miałem co najmniej od Win98, przez cały XP i teraz w Win7 jako pierwszy wykrył mi ten atak Trojan.Floxif z 21.06.2018), może wypada już innej Zapory poszukać, ale to wątek poboczny;

 

Lenovo Password Manager - raczej bym nie podejrzewał (choć oczywiście pewności nie mam), bo może mieć związek z logowaniem do całego sytemu odciskiem palca - a w taki sposób od 2012 loguję się na tej maszynie do Win7;

 

po próbach z ostatnich kilku dni podejrzewałbym bardziej konfigurację Usług z następujących powodów:

 

1) w analizowanej konfiguracji Win7 z 28.07.2017 wyłączyłem większość usług (m.in. wg blackviper.com) - średni restart 180-240s (wg eventvwr.msc)

2) skopiowałem ustawienia usług ze zdegradowanej konfiguracji Win7 z 20.05.2018 (więcej Usług na Auto) - i mam średni restart ok. 70-80s (wg eventvwr.msc)

 

i to bez dodatkowych strat czasu na kolejne generowanie i analizy plików boot_1.etl z WPR (Windows Performance Toolkit)

więc wątek dotyczący wolnego startu proponowałbym uznać za zamknięty, gdyż to też wątek poboczny,

 

nadal nie znalazłem rozwiązania na ten BSOD 0x7B, przez który już kilka razy straciłem ogrom mojej pracy...,

i nie wiem czy jest sens poszukiwania naprawy tej konfiguracji Win7 z 28.07.2017 z powodu ataku Trojan.Floxif z 21.06.2018 ?

 

stąd nadal poszukuję rozwiązań...

[quentin]

w międzyczasie na bleepingcomputer trafiłem na info, że Trojan.Floxif możemy zawdzięczać CCleaner, który przed rokiem padł ofiarą hakerów (w wersji 5.33.6162) - CCleaner Compromised to Distribute Malware - co wydaje się możliwe, bo system odtworzyłem z kopii z sierpnia 2017, czyli tuż po wyjściu tej wersji CCleanera;

 

z informacji podanej w Remove the Floxif CCleaner Trojan wynika, że infekcję usuwa aktualizacja CCleanera do bieżącej wersji, a u mnie jej usunięcie zgłosiły dodatkowo zonealarm, mbam i msert, więc mam nadzieję, że problem tej infekcji też mam już rozwiązany

 

pozostaje BSOD 0x7B - *** STOP: 0x0000007B (0xFFFFF880009A97E8, 0xFFFFFFFFC0000034, 0x0000000000000000, 0x0000000000000000), którego przyczyn nie potrafię od 2 miesięcy wytropić metodą prób i błędów - ostatni 3 tygodnie temu, choć ten był w nietypowej sytuacji, bo przy próbie rozruchu czystej instalacji Win7 z HDD na USB, co może sugerować, że przyczyna może nie tkwi w konfiguracji Win7 na SSD (HDD0), tylko może mam gdzieś jakiś trudny do wykrycia konflikt sprzętowy ?
 

z drugiej jednak strony z okoliczności 0x7B od stycznia do maja trudno wysnuć jednoznaczne wnioski, (edit) gdyż ten błąd występuje chyba tylko w początkowej fazie rozruchu (logo Win7), stąd brak dmp i śladów w eventvwr.msc - zauważyłem tylko, że występował albo wskutek modyfikacji Rejestru przez niektóre programy (np. autoruns, msconfig), albo uszkadzania czymś opcji rozruchu (BCD) prowadząc do konieczności odbudowy BCD przez WinRE (niestety czasem bezskutecznej i stąd decyzja o powrocie do kopii systemu z sierpnia 2017) - więc BSOD 0x7B pozostaje na dziś zagadką nierozwiązaną

[Groszexxx]

7b to charakterystyczny błąd jak wspomniałem wcześniej, występuje w kilku określonych przypadkach. Gdy miałeś dysk z systemem podłączony tradycyjnie przez sata, a potem podłączyłeś go przez usb - to to kwalifikuje się do takiego błędu. Nawet całkiem niedawno sprawdzałem czy dysk z połamanym wejściem sata będzie działał sprawnie po wsadzeniu do adaptera sata/usb i chodzi swietnie, ale systemu z niego nie wystartuje, bo wlasnie wywali błąd 7b.

 

Można się pobawić w zmianę ustawien w rejestrze - upewnij się, że jest tak jak tutaj: https://answers.microsoft.com/en-us/windows/forum/windows_10-hardware-winpc/how-to-enable-ahci-for-ssd-in-windows-10/18ee0b43-47a9-4344-b0c8-1e8546be2c82

(szukane na szybko)

tutaj z obrazkami: https://www.tenforums.com/tutorials/22631-enable-ahci-windows-8-windows-10-after-installation.html

Jesli tak - to mozesz pozmieniac tam wartosci na 3. Nie ma tez tam uwzglednionego klucza msahci, zerknij czy u Ciebie on występuje. 

 

Co się tyczy zas Twojego wczesniejszego posta, z calym szacunkiem, ale ja nie wzialem sobie Lenovo Password Manager z kosmosu. Trwonił duzo zasobow i to jest fakt. 

Bcd jest latwo naprawic i przywrocic. Ogromna ilosc informacji na ten temat z cala masa filmikow na yt.