Komputer "rzęzi", ping skacze

[Cymbal]

Witam,

 

trzy lata temu zostałem zarażony jakąś infekcją, pochodzącą z pendrive'a znajomego. Infekcja następowała przez plik ufo.exe, który z kolei uruchamiany był przez autorun pendrive'a. Trochę przy tej infekcji podłubałem, na wstępie wyłączając autoruny dla wszystkich urządzeń. Później w bardzo nieumiejętny sposób skorzystałem kilkakrotnie z combofixa. Na koniec jeszcze pomęczyłem nieco cały plik (choć nie pamiętam w jaki sposób ) i - stwierdziwszy, że komputer nie infekuje następnych pendrive'ów - olałem sprawę. Nie wiedzieć czemu pojawiło się we mnie przeświadczenie, że replikacja jest jedynym celem tego złośliwego programu i poprzez uniemożliwienie jej, pozbyłem się wszystkich problemów związanych z plikiem. Przeświadczenie to zyskiwało z czasem na sile, gdyż nic złego z moim komputerem się nie działo.

 

Ostatnio ping zaczął mi coś dziwnie skakać, co jakiś czas przyjmując wartości 100-180 podczas łączenia się z maszynami położonymi względnie blisko. Nie wiedząc, czy to mój ISP czy coś u mnie, stwierdziłem, że dawno "się" nie skanowałem. Wtedy też przypomniałem sobie o moim starym pasażerze na gapę, Secpolu i po chwili zastanowienia stwierdziłem, że nie wiem, na czym bazowałem moje przeświadczenie o niegroźności tego programu.

 

Okazało się zaś, że robal potrafi całkiem sporo. Na jakiejś stronce przeczytałem, że pełni między innymi funkcje keyloggera i trojan downloadera.

 

Po efektach, jakie mogę zaobserwować na ekranie w sumie trudno mi w to uwierzyć. Nie dzieje się bowiem prawie nic, poza tym dwurazowym (w ciągu ostatniego tygodnia) skaczącym pingiem. Na przestrzeni lat też w sumie zbyt wiele się nie wydarzyło. Jedynym dziwnym wydarzeniem był komunikat przy wyłączaniu Windowsa, pytający mnie, czy na pewno chcę wyłączyć komputer, jeżeli liczba połączonych ze mną użytkowników wynosi: 2. Zdarzyło się to w sumie chyba jedno- czy dwukrotnie.

 

Od czasu do czasu komputer też coś "rzęzi" po dysku twardym bez wyraźnego powodu, ale w gruncie rzeczy robił to od zawsze (co jednak o niczym nie świadczy, bo komputer ma właśnie 3 lata), więc przestałem na to zwracać uwagę. Robił to zawsze w czasie zwykłej pracy, nigdy w czasie oglądania filmów, grania w gry, czy też robieniu czegoś równie zasobożernego. Potrafił za to robić to w czasie oglądania filmów na youtube, co owocowało kilkusekundową przerwą w odtwarzaniu klipu.

 

Tak czy inaczej postanowiłem pozbyć się problemu. Nie jestem jednak ekspertem od bezpieczeństwa i nie wiem, czy koniec końców ten program mi coś ściągnął, czy też nie. Co oznacza, że nie wiem, czy nie mam jeszcze jakichś innych infekcji poza wspomnianą. Sam secpol tak wielkim problemem nie jest - nadal mam kilka pomysłów na usunięcie go, choć raczej dość amatorskich (np: próba usunięcia go za pomocą płyty z bootowalnym Linuxem). Nie wiem jednak, czy w ciągu tych trzech lat nie dostałem w prezencie czegoś jeszcze. Dlatego postanowiłem zwrócić się do Was.

 

Do sprawy starałem się podejść jak najbardziej poważnie. Usunąłem Daemon Tools i wszystkie pozostałości po nim zgodnie z zaleceniami. Wygenerowałem wszystkie logi. Przy generowaniu pierwszego loga za pomocą OTL, Avast oskarżył tenże program o szkodliwe działanie wobec systemu i poinformował mnie o tym, że zamierza zakończyć jego działanie. Najwyraźniej jednak jego starania w tym względzie były mizerne, gdyż log się wygenerował. Niemniej jednak postanowiłem powtórzyć skan, tym razem z wyłączonym avastem. Z dość dużym zdziwieniem zauważyłem, że drugi log nie zawiera informacji o pliku secpol.exe, podczas gdy ten pierwszy takową posiada. Powtórzyłem test, z podobnym efektem. Uznając, że pierwszy log jest najbardziej wiarygodny, zamieściłem go poniżej.

 

Do tego wygenerowałem loga opcjonalnego:

 

Results of screen317's Security Check version 0.99.9

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 13

Java 6 Update 3

Java SE Development Kit 6 Update 13

Java DB 10.4.1.3

Out of date Java installed!

Adobe Flash Player 10.1.102.64

Adobe Reader 7.0

Out of date Adobe Reader installed!

Mozilla Firefox (3.6.15)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Alwil Software Avast5 AvastSvc.exe

ALWILS~1 Avast5 avastUI.exe

``````````End of Log````````````

 

To chyba wszystko. Ogólnie rzecz biorąc to nie do końca wiem, jak ten komputer powinien się działać, bo wygląda na to, że znam go tylko jako... "osobnika chorego".

 

Za ewentualną pomoc - serdecznie dziękuję. Wskazówki odnośnie podniesienia poziomu zabezpieczeń również będą mile widziane i postaram się wprowadzić je w życie.

gmer.txt

OTL.Txt

Extras.Txt

[Landuss]

W logach brak śladów aktywnej infekcji więc nie ma tutaj czego szukać. Możliwe, że temat zostanie przeniesiony do innego działu.

 

Z dość dużym zdziwieniem zauważyłem, że drugi log nie zawiera informacji o pliku secpol.exe, podczas gdy ten pierwszy takową posiada.

 

Gdzie? Możesz to wskazać?

 

Wskazówki odnośnie podniesienia poziomu zabezpieczeń również będą mile widziane i postaram się wprowadzić je w życie

 

Możesz zaktualizować wersje Java i Adobe Reader: KLIK.

 

Ponadto mówisz, że ci "rzęzi" i tu zauważyłem, że masz bardzo mało wolnego miejsca na dysku systemowym:

 

Drive C: | 10,00 Gb Total Space | 0,66 Gb Free Space | 6,63% Space Free | Partition Type: NTFS

 

Tak być nie może i musisz coś z tym zrobić. To wpływa niezdrowo na system. Ogólnie ta partycja jest moim zdaniem za mała jak na XP. Powinna mieć przynajmniej 20GB i wtedy było by idealnie. Na początek radzę zacząć od usunięcia lokalizacji tymczasowych za pomocą narzędzia TFC - Temp Cleaner. W dalszej kolejności defragmentacja narzędziem Puran Defrag Free Edition

 

Do ewentualnej analizy miejsca na dysku C polecam też narzędzie SpaceSniffer

 

 

 

[Cymbal]

[2003-06-26 00:00:00 | 000,018,432 | ---- | C] () -- C:\WINDOWS\System32\secpol.exe

 

-linia 303 w przesłanym pliku.

 

Załączam również plik wygenerowany przez OTL przy drugim skanie.

 

Zrobiłem update Acrobat Readera i Javy. Ten pierwszy jednak zrobił mi numer w postaci zainstalowania jakiegoś swojego "nieproszonego kumpla", za co oba programy wyleciały szybciej niż się pojawiły. Zamiast tego zainstalowałem "Foxit Reader", który jednak również usiłował mi wyciąć podobny numer. Nie wiem, co jest z tymi przeglądarkami pdf-ów.

 

Co do wolnego miejsca - słyszałem, że można poszerzyć rozmiar partycji "na żywca" za pomocą Partition Magic... Choć podobno może to być nieco ryzykowne.... Póki co usunę te pliki tymczasowe. Defragmentację zostawię na noc.

OTL.Txt

[picasso]

1. Zmień stronę startową Internet Explorer, usuwając adres pozostały po śmieciu DAEMON Tools Toolbar:

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.www.daemon-search.com/default"

2. Tu jeszcze będzie Avast do aktualizacji. Najnowsza wersja 6 ma też więcej rzeczy za darmo (osłonę skryptową / blokowanie URL / autosandbox).

 

3. Sugestia na temat kaleki Gadu-Gadu 7.7: Darmowe komunikatory. W temacie są opisane bardzo dobre alternatywy (WTW / Miranda).

 

 

Zrobiłem update Acrobat Readera i Javy. Ten pierwszy jednak zrobił mi numer w postaci zainstalowania jakiegoś swojego "nieproszonego kumpla", za co oba programy wyleciały szybciej niż się pojawiły. Zamiast tego zainstalowałem "Foxit Reader", który jednak również usiłował mi wyciąć podobny numer. Nie wiem, co jest z tymi przeglądarkami pdf-ów.

 

Ten pierwszy = bo nie odznaczyłeś sponsora McAfee na stronie pobierania. A tego drugiego nie polecam wcale (to już od dawna nie jest "lekki zamiennik") = kompromitacja w postaci perfidnego śmiecia Ask Toolbar maskowanego jako "Foxit Toolbar". Oryginał przynajmniej instalując swoich sponsorów nie wciska podejrzanego reputacją paska, tylko aplikacje, które same w sobie są użyteczne. I tak Cię czeka ponowna obowiązkowa aktualizacja Adobe Reader = by zamknąć luki, a przy okazji ta wersja ma sandbox. Pierwotnie przez Ciebie posiadany Adobe Reader 7.0 = to jest ta dziurawa wersja, która przepuszcza infekcje wklejkowe (!).

 

 

Wtedy też przypomniałem sobie o moim starym pasażerze na gapę, Secpolu i po chwili zastanowienia stwierdziłem, że nie wiem, na czym bazowałem moje przeświadczenie o niegroźności tego programu.

 

Podaj mi powód dla którego wiedząc o owym pasażerze (tak odczytuję "przypominanie" sobie) nadal go trzymałeś na dysku i nie skasowałeś ręcznie ani wtedy ani po "przypomnieniu" sobie?

 

 

Z dość dużym zdziwieniem zauważyłem, że drugi log nie zawiera informacji o pliku secpol.exe, podczas gdy ten pierwszy takową posiada.

 

vs.

 

Przy generowaniu pierwszego loga za pomocą OTL, Avast oskarżył tenże program o szkodliwe działanie wobec systemu i poinformował mnie o tym, że zamierza zakończyć jego działanie. Najwyraźniej jednak jego starania w tym względzie były mizerne, gdyż log się wygenerował.

 

A czy to aby nie jest tak, że właśnie w trakcie generowania pierwszego loga z OTL, OTL tworząc listę plików uzyskał siłą rzeczy dostęp do odczytu atrybutów secpol, w konsekwencji osłona Avast to właśnie wychwyciła i zrobiła swoje = Avast skasował plik secpol? To mogłoby wyjaśniać dlaczego pierwszy log z OTL listuje plik, ale drugi już nie. Po pierwsze: sprawdź dokładnie dzienniki działań Avasta. Po drugie: dla pewności zrób wyszukiwanie na ten plik. Uruchom OTL, wszystko ustaw na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
secpol.exe
/md5stop

Klik w Skanuj (a nie Wykonaj skrypt).

 

 

 

 

 

.

[Cymbal]

Faktycznie, w dzienniku logów znalazłem, że secpol.exe został poddany "kwarantannie". Czy w związku z tym problem mogę traktować jako usunięty? Czy jednak jeszcze będę musiał coś z tym zrobić? OTL ponownie pliku nie znalazł.

 

Podaj mi powód dla którego wiedząc o owym pasażerze (tak odczytuję "przypominanie" sobie) nadal go trzymałeś na dysku i nie skasowałeś ręcznie ani wtedy ani po "przypomnieniu" sobie?

 

Jak już wspomniałem, myślałem z jakiegoś powodu, że jego jedynym celem jest replikacja. Trzy lata temu plik stawiał opory, więc go zostawiłem, kiedy już stwierdziłem, że jest "unieszkodliwiony". Stawiał opory najpewniej dlatego, że cały czas był aktywny, ale wtedy z jakiegoś powodu nie przyszło mi to do głowy. Nie wiem czemu. Zapamiętałem go w każdym razie jako "w pełni unieszkodliwionego" z jakiegoś powodu i nie zawracałem sobie nim głowy.

 

Mój "w pełni unieszkodliwiony" plik leżał u mnie trzy lata. W tym czasie założyłem konto internetowe, grałem w płatne gry MMORPG i robiłem kilka innych rzeczy, które przy zainstalowanym złośliwym oprogramowaniu, powinny mi przynieść dość potężną szkodę. Nic się nie wydarzyło.

 

Trzy dni temu w dość... niespodziewanych okolicznościach nagle sobie o nim przypomniałem. W sensie: o pliku w istocie pamiętałem cały czas, ale za Chiny nie mogłem sobie przypomnieć, skąd właściwie wiedziałem, że replikacja jest jego jedynym celem. Doszedłem do wniosku, że nie wiem, skąd to wiem, przypomniałem też sobie o problemach przy próbie jego usuwania, więc zacząłem szukać informacji o jego zadaniach. Kiedy już znalazłem dane o wszystkich jego funkcjach (trojan downloader), stwierdziłem, że Wasza pomoc i tak będzie w tym przypadku niezbędna, więc skoro leżał sobie u mnie ten plik przez trzy lata, to może poleżeć jeszcze i dwa dni jako... "fizyczne" potwierdzenie moich obaw. Obawiałem się też, że secpol.exe mógł nie być głównym plikiem infekującym i odtwarzać się za pomocą jakiegoś... "przetrwalnika". Wówczas mógłbym dłuugo z nim walczyć, bez uzyskania konkretnych korzyści.

 

Ten pierwszy = bo nie odznaczyłeś sponsora McAfee na stronie pobierania. A tego drugiego nie polecam wcale (to już od dawna nie jest "lekki zamiennik") = kompromitacja w postaci perfidnego śmiecia Ask Toolbar maskowanego jako "Foxit Toolbar". Oryginał przynajmniej instalując swoich sponsorów nie wciska podejrzanego reputacją paska, tylko aplikacje, które same w sobie są użyteczne. I tak Cię czeka ponowna obowiązkowa aktualizacja Adobe Reader = by zamknąć luki, a przy okazji ta wersja ma sandbox. Pierwotnie przez Ciebie posiadany Adobe Reader 7.0 = to jest ta dziurawa wersja, która przepuszcza infekcje wklejkowe (!).

 

Tak, zauważyłem. Miałem jednak podejrzenia, że nietypowe umiejscowienie przycisku było celowe, stąd też dość... gwałtowna reakcja. Przy instalacji Foxit Readera też musiałem omijać dziwaczne opcje, ale pouczony przypadkiem AR czytałem wszystko uważnie i chyba nie mam zainstalowanego Ask Toolbar. Chyba, że gdzieś się ukrył.

 

Tak czy inaczej: proponujesz, abym usunął Foxit Readera i zainstalował ponownie Acrobat Readera X?

 

3. Sugestia na temat kaleki Gadu-Gadu 7.7: Darmowe komunikatory. W temacie są opisane bardzo dobre alternatywy (WTW / Miranda).

 

Przemyślę to. Miałem styczność z Mirandą, ale średnio podobał mi się sposób, w jaki rozwiązano w niej kwestię archiwum i opisy. Być może warto jednak wypróbować jeszcze coś innego. Pomyślę nad tym jutro.

 

2. Tu jeszcze będzie Avast do aktualizacji. Najnowsza wersja 6 ma też więcej rzeczy za darmo (osłonę skryptową / blokowanie URL / autosandbox).

 

Ok.

 

1. Zmień stronę startową Internet Explorer, usuwając adres pozostały po śmieciu DAEMON Tools Toolbar:

 

Zrobione.

[picasso]

Czy pracujesz nad uwalnianiem miejsca na dysku? ~600MB wolnego to bardzo kiepsko, a jeśli na dodatek ta nędza jest mocno sfragmentowana, dysk będzie się zarzynał przy zapisie.

 

 

Faktycznie, w dzienniku logów znalazłem, że secpol.exe został poddany "kwarantannie". Czy w związku z tym problem mogę traktować jako usunięty? Czy jednak jeszcze będę musiał coś z tym zrobić? OTL ponownie pliku nie znalazł.

 

Sprawa wyjaśniona. Niewątpliwie skan OTL, odczytujący parametry pliku, obudził ochronę Avast. Plik skasowany, to nie sądzę, że tu jest coś więcej do roboty.

 

 

Tak czy inaczej: proponujesz, abym usunął Foxit Readera i zainstalował ponownie Acrobat Readera X?

 

Tak bym zrobiła, jeśli chcesz posiadać tylko jeden.

 

 

Przemyślę to. Miałem styczność z Mirandą, ale średnio podobał mi się sposób, w jaki rozwiązano w niej kwestię archiwum i opisy. Być może warto jednak wypróbować jeszcze coś innego. Pomyślę nad tym jutro.

 

To wypróbuj WTW (opis jest w temacie do którego linkuję). Kieruję na niego uwagę nie bez powodu: porządna obsługa nowego protokołu GG8/10 (więcej cech obsługiwanych niż w Mirandzie) i szybkie reakcje autora na każde zmiany protokołowe, program lekki, tryb portable i oczywiście nie ma tu reklam i innego zintegrowanego śmiecia. Opisy na liście kontaktów są (opcjonalnie można wyłączyć), umieszczane pod nickiem. Archiwum - nie wiem do czego zmierzasz, to i nie mogę zastosować porównania.

 

No są jeszcze: AQQ (ale te reklamy i cukierkowość mnie odrzucają), Tlen 7 (zbyt dużo niedoróbek), Kadu dla Windows (portowany więc nieco sztuczny + niedoróbki), Pidgin (cienka obsługa Gadu). Nie wspominam tu oczywiście o kompletnych protezach, jawnych partactwach, starociach na siłę ukompatybilnianych i klientach bez obsługi protokołu GG8/10.

 

 

 

 

.

[Cymbal]

Zwolniło się mniej więcej 500 mb miejsca po uruchomieniu tego cleanera, jednak po usunięciu FR i zainstalowaniu AR X znowu zmniejszyło się o jakieś 200 mb. Zastanawiam się nad tymi niebieskimi folderami w katalogu systemowym - z tego co pamiętam to jakieś backupy, powstałe po instalacji aktualizacji Windowsa... Zastanawia mnie ich przydatność i czy kiedykolwiek będę zmuszony z nich skorzystać.

 

Dałem szanse temu WTW i teraz na nim siedzę. Po początkowych problemach z połapaniem się co gdzie jest, okazało się, że nie ma tragedii. Zobaczymy, jak współpraca będzie się nam układać.

[picasso]

Zwolniło się mniej więcej 500 mb miejsca po uruchomieniu tego cleanera, jednak po usunięciu FR i zainstalowaniu AR X znowu zmniejszyło się o jakieś 200 mb. Zastanawiam się nad tymi niebieskimi folderami w katalogu systemowym - z tego co pamiętam to jakieś backupy, powstałe po instalacji aktualizacji Windowsa... Zastanawia mnie ich przydatność i czy kiedykolwiek będę zmuszony z nich skorzystać.

 

Jako wzornik zastosuj ten temat: KLIK. I przypominam o narzędziu:

 

Do ewentualnej analizy miejsca na dysku C polecam też narzędzie SpaceSniffer

[Cymbal]

Wygląda na to, że problemy zniknęły; na dysku C: udało mi się wygospodarować blisko 1,5 gb wolnej przestrzeni. Na upartego może mógłbym zwolnić więcej, ale póki co jestem usatysfakcjonowany działaniem komputera.

 

Nie wiem, czy powinienem był podbijać temat, skoro najwyraźniej problemu już nie ma, ale chciałem podziękować za otrzymaną pomoc.

 

Wielkie dzięki za zainteresowanie i zaangażowanie w sprawę - Wasza pomoc była nieoceniona.