Skocz do zawartości

Przymulanie komputera, przymulanie stron internetowych


dstjr

Rekomendowane odpowiedzi

Witam,

Od jakiegoś czasu zaobserwowałem, że komputer przymula, a najbardziej jest to odczuwalne na przeglądaniu stron internetowych. Posiadam stałe łącze, światłowód i nie miałem nigdy problemu z internetem. Korzystam z przeglądarki Opera 53, na nowszej było to samo. Nie przypominam sobie, żeby coś takiego miało kiedykolwiek miejsce, nawet jak miałem dużo zajętego miejsca na partycjach. Proszę Was o sprawdzenie, czy może jakieś dziadostwo siedzi w systemie lub coś co obciąża sprzęt i przez to dzieje się coś takiego. Da się w ogóle sprawdzić to, czy ktoś czasem wykorzystuje mój sprzęt do kopania walut? Może warto przeskanować komputer, którymś z tych programów? Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool, Kaspersky TDSSKiller.

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Task: {AD82E90F-E248-465D-B1C3-27F4B5D2D5F2} - Brak ścieżki do pliku
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4
DeleteKey: HKLM\System\CurrentControlSet\Services\45834C64C3A8D1E4
"A4688A50C" => serwis nie został odblokowany. <==== UWAGA
HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4 <==== UWAGA (Rootkit!)
C:\ZDYQT
Unlock: C:\Windows\system32\drivers\A4688A50C.sys
C:\Windows\system32\drivers\A4688A50C.sys
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

Zrób log z TDSSKiller.

 

jessi

Odnośnik do komentarza

"HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4" => nie znaleziono

"C:\Windows\system32\drivers\A4688A50C.sys" => nie znaleziono

Hmm, sama nie wiem, co o tym myśleć: w poprzednich logach to było, a teraz w nowych logach tego nie ma, TDSSKiller też tego nie znalazł.

Samo wyparowało?

 

Ale najważniejsze, że w nowych logach nie widzę już niczego podejrzanego.

 

jessi

Odnośnik do komentarza

dstjr:

 

Słowem komentarza:
 

Cytat

Korzystam z przeglądarki Opera 53, na nowszej było to samo.

 

Należy zawsze korzystać z najnowszej wersji oprogramowania, zwłaszcza przeglądarek (są obszarem krytycznym). 
 

 

Cytat

Da się w ogóle sprawdzić to, czy ktoś czasem wykorzystuje mój sprzęt do kopania walut?

 
Tak. Koparki kryptowalut (ładowane metodą PUP) są zazwyczaj widoczne w raportach i wykrywalne przez programy zabezpieczające. 
 

Cytat

Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool, Kaspersky TDSSKiller.

 
TDSSKiller to narzędzie do wykrywania i neutralizacji rootkit / bootkit. Tu nie mamy z nimi do czynienia, więc narzędzie zbędne. Przeskanować oczywiście można.
 


 
 
W raportach brak oznak infekcji. Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc. Muszę pomyśleć jakie informację będą mi potrzebne do diagnostyki. 
 
Jessica:

Poniższe wpisy to fałszywe alarmy detekcji robionej pod kątem Rootkit SmartService. Pojawią się gdy zachodzi dysonans między rejestrem a obiektami załadowanymi w pamięci, tzn. FRST w rejestrze nie wykrył obiektu (ukryty techniką rootkit lub brak rzeczywisty), ale jest on uruchomiony w pamięci. Jako skutek uboczny pojawiają się różne fałszywe alarmy, np. jeśli odinstalowano antywirusa, ale nie zrestartowano systemu (z rejestru usunięte sterowniki, ale są nadal w pamięci). Wystarczy zrestartować system, by pozbyć się tych odczytów "rootkit".
 

HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4 "A4688A50C" => serwis nie został odblokowany.
U5 A4688A50C; C:\Windows\System32\Drivers\A4688A50C.sys [138256 2018-07-15] ()
C:\Windows\system32\drivers\A4688A50C.sys -> Odmowa dostępu

 

Odnośnik do komentarza

Hmm, sama nie wiem, co o tym myśleć: w poprzednich logach to było, a teraz w nowych logach tego nie ma, TDSSKiller też tego nie znalazł.

Samo wyparowało?

 

Ale najważniejsze, że w nowych logach nie widzę już niczego podejrzanego.

 

jessi

 

Może jeszcze raz zrobię to skanowanie, hmm?

 

Należy zawsze korzystać z najnowszej wersji oprogramowania, zwłaszcza przeglądarek (są obszarem krytycznym).

 

Wiem to, po prostu wróciłem do poprzedniej wersji, którą pamiętam, że działała dobrze np. 2 tygodnie temu. Wrócę do najnowszej wersji.

 

Tak. Koparki kryptowalut (ładowane metodą PUP) są zazwyczaj widoczne w raportach i wykrywalne przez programy zabezpieczające.

 

W tych raportach, które dostarczyłem byłoby to zawarte, gdyby ktoś podczepił się z koparką do mojego komputera? Jest jakiś ogólny program do przeskanowania pod obecność kopania?

Odnośnik do komentarza

Może jeszcze raz zrobię to skanowanie, hmm?

 

Proszę przeczytać moją wcześniejszą adnotację dla postów Jessi.

 

W tych raportach, które dostarczyłem byłoby to zawarte, gdyby ktoś podczepił się z koparką do mojego komputera?

 

Raporty FRST to jedynie ułomny obraz systemu. Niemniej jednak pozwalają nierzadko bardzo precyzyjnie usunąć infekcje i zdiagnozować problem. Nie wykluczone, że jest to koparka zintegrowana ze stroną internetową (proces obciążania rozpoczyna się po wejściu na taką stronę). Korzystasz z Opera, więc spróbuj włączyć wbudowaną blokadę tego typu zagrożeń:

  • Uruchom Opera > klawisz ALT + P > zakładka Podstawowe:

fixitpc.png

  • koniecznie zaptaszkuj NoCoin, reszta pod ocenę indywidualną, czy ich potrzebujesz. 

Poobserwuj i daj znać czy to pomogło. 

 

Jest jakiś ogólny program do przeskanowania pod obecność kopania?

 

Nie znam dedykowanego skanera (i wątpię, że taki jest). Marką, która chyba rok temu przedstawiała raporty z ostrzeżeniami, że rok 2018 będzie pełny zagrożeń tworzących kryptowaluty jest Kaspersky Lab. Znowu się nie pomylili. Możesz skorzystać z ich darmowego skaner Kaspersky Virus Removal Tool.

Odnośnik do komentarza

Wydaję mi się, że Opera ma wieloprocesowy system kart. To znaczy jedna otwarta karta = jeden aktywny proces. Ma to na celu zapobiec sytuacji, w której zawieszenie jeden karty spowoduje zawieszenie całej przeglądarki. 

 

A tutaj wszystko wydaje się być w porządku?

 

Raporty częściowo pokazują mi tą sekcję, ja nie widzę tutaj niczego niepokojącego. Proszę wykonaj całościowy skan za pomocą Zemana Anti-Malware, dla "świętego spokoju", choć ja nie sądzę, że to problem infekcji po stronie systemu (a być może przeglądarki).

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...