Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Chyba infekcja od aplikacji przenośnych

karloos

Przez karloos
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

karloos

karloos

Opublikowano
Opublikowano

Jak sądzę od wizyty na stronach z aplikacjami przenośnymi i instalacji paru z nich na penie (U3) trwa zabawa w ciuciubabkę: komputer pracował niby normalnie, ale co jakiś czas (różnie, 5-10 minut) nagle przez od pół do 2 minut na nic nie reaguje - ani mysz, ani klawiatura, tylko reset abo wyłącznik zasilania, a klikane aplikacje na pasku podają: (brak odpowiedzi). Wyciąłem wszystko w pień (DBaN, Gparted) poinstalowałem… przy szczepieniu USBFix usunął kosze na wszystkich dyskach jako zainfekowane (w koszach były pliki desktop.ini). W dodatku napęd DVD służy tylko do odczytu - nie mogę nic wypalić, bo albo "napęd CD jest pusty" mimo włożonej pustej płyty, albo "dysk nie jest pusty". Podobną sytuację mam na laptopie, ale to będzie następny temat. W dodatku na NASie na zmapowanych dyskach pojawił się zbiór IHJZB1~V ok 150kB, którego nie widać gdy oglądam foldery przez przeglądarkę internetową, a widać w Explorerze Windows. Uruchomiłem na NASIe USBFix, pozakładał Autorun.inf ze swoim zbiorkiem (lpt1....) ale nic nie wykazał w sekcji "zarażone", potem (bo nic się nie zmieniło) zapuściłem Kasperskiego na zmapowane dyski - zapętlił się na jakimś katalogu w C:\Documents and Settings (za długa nazwa ścieżki i widziałem tylko skanowane zbiory - kilkadziesiąt w pętli). Zapuściłem NOD32 - to samo. Za jakiś czas (dzień - dwa) obejrzałem foldery na NASie i stwierdziłem, że foldery Autorun.inf są przeniesione do kosza (#recycle) i zawierają jakieś pliki XXXXXX~X (wielkie litery) po 30-150 kB. Skanowałem komputer czym się dało, zainstalowanym Kasperskim, różnymi innymi skanerami online - i nic, żadnych infekcji. Pozdrawiam i czekam na pomoc.

Extras.Txt

logmer.txt

OTL.Txt

checkup.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W raportach nie ma żadnych widocznych znaków, by chodziło tu o infekcję. Komentarze:

 

1. Z Firefox w menedżerze rozszerzeń wymontuj śmiecia sponsoringowego Ask Toolbar (przypuszczalne źródło: Foxit Reader, ma w instalatorze tego reklamodawcę).

 

2. Do usunięcia Spybot - Search & Destroy oraz przeprowadzona przez niego modyfikacja pliku HOSTS zaprawiająca plik o przetwarzanie ponad 14 tysięcy wpisów:

 

O1 HOSTS File: ([2011-04-11 10:51:40 | 000,432,311 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
(...)
O1 - Hosts: 14882 more lines...

  • Dlaczego Spybot: program o akcentach archaicznych i za słaby na dzisiejsze zagrożenia, brak aktualizacji maszyny od dwóch lat (nie mylić z aktualizacją baz sygnatur, które i tak nie są znowuż takie częste), w systemie już działa równolegle natywnie zintegrowany program tej konduity = Windows Defender, usuwaniem spyware aktualnie parają się nowoczesne antywirusy i Spybot jest zbędny.
  • Dlaczego należy odkręcić plik HOSTS do postaci domyślnej: tak koszmarnie duży plik wchodzi w konflikt z usługą Klient DNS (duże zużyciezasobów przez svchost.exe na którym jest podmontowane dnscache), wynikowo może się zawieszać system / sieć. Zerowanie pliku HOSTS do postaci domyślnej jest w opcjach immunizacji statycznej programu lub do zastosowania Fix-it MS z artykułu KB972034.

 

zapuściłem Kasperskiego na zmapowane dyski - zapętlił się na jakimś katalogu w C:\Documents and Settings (za długa nazwa ścieżki i widziałem tylko skanowane zbiory - kilkadziesiąt w pętli). Zapuściłem NOD32 - to samo.

 

Vista/7 i "Documents and settings" = linki symboliczne = KLIK.

 

 

komputer pracował niby normalnie, ale co jakiś czas (różnie, 5-10 minut) nagle przez od pół do 2 minut na nic nie reaguje - ani mysz, ani klawiatura, tylko reset abo wyłącznik zasilania, a klikane aplikacje na pasku podają: (brak odpowiedzi)

 

O ile to nie jest problem sprzętowy, to jako pierwszy podejrzany dla zawieszeń widzianego tu systemu nasuwa się Kaspersky Internet Security.

 

 

W dodatku napęd DVD służy tylko do odczytu - nie mogę nic wypalić, bo albo "napęd CD jest pusty" mimo włożonej pustej płyty, albo "dysk nie jest pusty".

 

Do przetrenowania temat "Problemy z DVD w systemach Vista/Windows 7": KLIK. Ponadto, w Dzienniku zdarzeń pojawiają się takie odczyty:

 

Error - 2011-04-18 04:38:19 | Computer Name = Gwiazdka2 | Source = cdrom | ID = 262155
Description = Sterownik wykrył błąd kontrolera na \Device\CdRom0.

 

W dodatku na NASie na zmapowanych dyskach pojawił się zbiór IHJZB1~V ok 150kB, którego nie widać gdy oglądam foldery przez przeglądarkę internetową, a widać w Explorerze Windows.

 

Objaśnij jaka jest ścieżka docelowa w eksploratorze Windows. Po samej nazwie skróconej metodą 8+3 nie można się zorientować od czego to może pochodzić.

 

 

Za jakiś czas (dzień - dwa) obejrzałem foldery na NASie i stwierdziłem, że foldery Autorun.inf są przeniesione do kosza (#recycle) i zawierają jakieś pliki XXXXXX~X (wielkie litery) po 30-150 kB.

 

Nie pomyliłeś sobie nazwy? Recycle to nie jest Kosz, dopuszczalne nazwy dla Kosza to: $Recycle.Bin (Vista/7), RECYCLER (starsze systemy na NTFS), RECYCLED (starsze systemy na FAT). Przedstaw dokładniej te nazwy XXXXXX~X. Jeśli zaś te foldery są pochodną USBFix, może któryś skaner je przesunął do Kosza. Metoda szczepienia w USBFix jest niewdzięczna (budzi skanery AV), wcale nie taka trwała (można zmienić nazwę folderu z palca, można go skasować wiedząc jaką komendę należy wydać). Najskuteczniejszą blokadą jest edycja rejestru wyłączająca parsowanie plików autorun.inf (w Panda USB Vaccine wystąpuje pod nazwą "Computer Vaccination").

 

 

przy szczepieniu USBFix usunął kosze na wszystkich dyskach jako zainfekowane (w koszach były pliki desktop.ini)

 

On to czyni nawet jeśli Kosze nie są zainfekowane.

 

 

.

Odnośnik do komentarza
karloos

karloos

Opublikowano
  • Autor
Opublikowano

ad 1. nie mam Aska w Firefoxie, przynajmniej w postaci jawnej - w "dodatkach" pokazuje mi kilka, ale Aska nie ma. Za to w historii jest jakobym szukał czegoś przez Ask.com Search, czego jako żywo nie pamiętam - używam tylko googli. Tym niemniej poszukam dokładniej gdzie to mam i jak to usunąć.

ad 2. w Spybocie kręci mnie TeaTimer, daje jakąś namiastkę kontroli nad tym, co się dzieje w rejestrze. Ale jeśli to ma mi mieszać pracy - wywalę.

ad zapętlenie: poczytam o linkach symbolicznych. Nb zapuściłem AVZ (rosyjski) i w skanowaniu dysku pokazuje mi 12 poziomów zagłębienia Application Data, pewnie znów przez te symboliczne..

ad zawieszeń systemu: identyczna sytuacja jest na laptopie z WinXP i avastem, opisałem dziś w poście "bezprzewodowy net…."

ad. dvd: też w nowym poście. Ale doczytam i przećwiczę co trzeba :)

ad. NASa: dokładnie tyle jest w Eksplorerze, w katalogu na NASie (home czy jakimś moim własnym) jest (był, bo w chwili wq.. go wyciąłem) zbiór o takiej nazwie, Czyli ścieżka była .. no tak, właśnie mi zaginęło okno Eksplorera! Czy to bywa, że aplikacja działa i nagle jej okno znika, z paska zadań też? W Menadżerze zadań proces jest, a okna nie ma. To samo z działającym AVZ, też znikł. Nie pierwszy raz to mi się zdarza,tyle, że poprzednio przy pisaniu polskich znaków, a teraz bez żadnej akcji z mojej strony... W ogóle coś się z siecią porobiło. Nie widzę laptopa, choć na nim właśnie piszę (podłączyłem kablem, bo wireless szwankuje), a NAS w Eksplorerze, w Sieci ma ikonkę zbioru multimedialnego i po dwukliku uruchamia Windows Media Player..

Więc ścieżka była chyba sieć\NAS\katalog\ IHJZB1~V.

ad. kosza: w NASie (Synology) kosz ma nazwę #recycle, tak go widać w Eksplorerze i tak samo przez przeglądarkę. Zbiorki w koszach miały nazwy jak ten IHJ… tyle, że na L, też wyciąłem.

i to by było na tyle…

jutro (dziś...) wyjeżdżam z laptopem i mogę nie mieć netu, więc życzę Wesołego Alleluja i mokrego jaja.

PS1. AVZ wykrył 4 procesy maskujące o nazwach "" i fałszywych PIDach, czy to szkodliwe?

PS2. Jak "wydobyć" okno aplikacji, gdy zniknie z pulpitu i jest tylko proces widoczny w Menadżerze zadań?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Ja jednak nie sądzę, że tu ma coś do rzeczy infekcja. Nie mam żadnych podstaw, by tak przypuszczać i żaden objaw nie pasuje do tej koncepcji. Wreszcie i to:

 

 

ad zawieszeń systemu: identyczna sytuacja jest na laptopie z WinXP i avastem, opisałem dziś w poście "bezprzewodowy net…."

 

Skoro dwa kompy cierpią na bardzo podobne defekty (i widzę, że je doszczętnie odświeżałeś "wycinając wszystko" = oba = koncepcja infekcji jest bardzo blada), nasuwa się że mają one wspólny mianownik pozasystemowy. Tu, z tego co rozumiem, elementem łączącym jest serwer plików / współdzielenie. Układu tu nie znam, ale o ile to możliwe sprawdziłabym co się stanie jak "rozbierzesz" sieciowość / odłączysz dyski sieciowe, jak w takim układzie zachowują się te dwa kompy i czy nadal systemy się zawieszają.

Nie wykluczam tu także problemu sprzętowego.

 

PS. Avastem? Albo pomyłka, albo przeinstalowałeś na Eset.

 

 

Więc ścieżka była chyba sieć\NAS\katalog\ IHJZB1~V.

ad. kosza: w NASie (Synology) kosz ma nazwę #recycle, tak go widać w Eksplorerze i tak samo przez przeglądarkę. Zbiorki w koszach miały nazwy jak ten IHJ… tyle, że na L, też wyciąłem.

i to by było na tyle…

 

Nie wiem co to jest, nie umiem tego ocenić, ale to nie wygląda na składniki infekcji. Takich plików nigdy nie widziałam w kontekście infekcji.

 

 

PS1. AVZ wykrył 4 procesy maskujące o nazwach "" i fałszywych PIDach, czy to szkodliwe?

 

Nie widzę oryginału, nie mogę tego ocenić. Pokaż dokładnie zwrot ze skanera.

 

 

ad 1. nie mam Aska w Firefoxie, przynajmniej w postaci jawnej - w "dodatkach" pokazuje mi kilka, ale Aska nie ma. Za to w historii jest jakobym szukał czegoś przez Ask.com Search, czego jako żywo nie pamiętam - używam tylko googli. Tym niemniej poszukam dokładniej gdzie to mam i jak to usunąć.

 

W ostatnio dostarczonym logu widzę go jako rozszerzenie czynne:

 

FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019

W pasku adresów wklep about:config, wyszukaj wartość extensions.enabledItems i ją zmodyfikuj wycinając z ciągu wtręt toolbar@ask.com:3.9.1.14019.

 

 

ad 2. w Spybocie kręci mnie TeaTimer, daje jakąś namiastkę kontroli nad tym, co się dzieje w rejestrze. Ale jeśli to ma mi mieszać pracy - wywalę.

 

Ale ... masz to samo w systemowym Windows Defender (który notabene jest cały czas w tle uruchomiony, widać to w raportach) ... Opcje strażnika:

 

windefend.th.png

 

Zaś mierny menedżer startu wbudowany w Spybota to prędzej zastąpić jednym z tych, np. Autoruns: KLIK. Sądzę, że znany Ci, bo widzę jego użycie w drugim temacie.

 

 

Czy to bywa, że aplikacja działa i nagle jej okno znika, z paska zadań też? W Menadżerze zadań proces jest, a okna nie ma.

 

Bywać, to tak bywa. Ale pytaniem jest: czy efekt jest trwały, czy restart przywraca żywotność obiektów?

 

 

PS2. Jak "wydobyć" okno aplikacji, gdy zniknie z pulpitu i jest tylko proces widoczny w Menadżerze zadań?

 

Alt+Tab.

 

 

życzę Wesołego Alleluja i mokrego jaja.

 

Dzięki. Nawzajem.

 

 

 

 

.

Edytowane przez picasso
22.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...