Avast krzyczy, że widzi crd.exe (cdr.exe?) w czystych archiwach

[part]

Z góry przepraszam za ilość tekstu, starałem się jak najdokładniej opisać sytuację i tyle wyszło

 

OS:

2 systemy - Win7 Pro x64 PL z SP1 (oryginalny, auto-uaktualniany) i Ubuntu x86 (uaktualniany raz na jakiś czas). Przy starcie kompa uruchamia się grub i domyślnie jest ustawiony start Windows. Priorytetem jest, aby nie trzeba było przeinstalowywać systemów, ani nie naruszyć w/w stanu rzeczy - oba systemy są na co dzień potrzebne.

 

Zabezpieczenia Windows:

System Restore OFF (wszystkie dyski), Avast Free (auto-aktualizowany), domyślny systemowy firewall, system za natem, ale na routerze otwarte porty do uTorrenta i kilku innych aplikacji. Czasem się z Windows Update ściąga jakieś narzędzie do usuwania syfu od MS, ale nie mam pojęcia czy to w ogóle działa i jak, ręcznie nic takiego nie było nigdy uruchamiane. Wszystkie gry i aplikacje oryginalne (głównie free). Żaden użytkownik nie przypomina sobie, żeby kiedykolwiek uruchamiał cracki, keygeny, aplikacje podejrzanego pochodzenia, ale wiadomo - pamięć lubi zawodzić

 

Problem:

Podczas pobierania plików uTorrentem (pliki są raczej czyste - wieloczęściowe archiwa z plikami avi, pobierałem je na innym komputerze z Avastem i nie było problemów) Avast czasami alertuje, że wykrył Win32:Malware-gen w uTorrencie - w jakiejś części pobieranego archiwum wykrywa zawirusowany plik crd.exe lub cdr.exe - nie pamiętam dokładnie (WinRAR nie widzi w archiwum takiego pliku). Dany part archiwum ląduje w kwarantannie, po ręcznym przywróceniu Avast nic w nim nie wykrywa. Niestety Avast ma wyłączone logowanie takich rzeczy do dzienników, a ja widząc ostatni raz ten błąd nie pomyślałem, aby spisać dokładniejsze informacje. Alert ciężki do celowego wywołania - występuje sam z siebie raz na jakiś czas (nie w każdym pobieranym pliku, tylko w niektórych).

 

Objawy, które mogą, ale nie muszą być spowodowane wirusem:

Grzanie - wiatrak często pracuje na wysokich obrotach przy prawie-bezczynności - może to wina kiepskiego chłodzenia, z którym już wcześniej były problemy. W systemowym menadżerze nie widać procesów, które by nadmiernie męczyły proca.

Zrywy połączenia z Internetem - może być winą ISP (wcześniej były takie problemy) lub routera. Swego czasu gdy miałem dużo plików w uTorrencie połączenie padało przy wyłączaniu uTorrenta i leżało martwe aż do restartu routera - wtedy się aktualizował tracker na bardzo dużej ilości torrentów, myślę, że po prostu router tego nie wytrzymywał. Teraz torrentów jest mniej i połączenie już nie pada w tym konkretnym momencie, ale zdarzają się sporadyczne pady w momentach, w których raczej nie dzieje się w systemie nic szczególnego, samo się naprawia po paru sekundach.

Poza tym system wydaje się działać w porządku, zero zwisów, restartów, podejrzanych komunikatów czy innych niecodzienności. Maszyna mocna, nie jest specjalnie obciążana, więc niewykluczone, że ewentualny spadek wydajności po prostu nie jest zauważalny.

 

Podjęte przeze mnie kroki:

Zaktualizowano ręcznie Avasta z wersji 6.0.1 na 6.0.11.25, upewniono się, że definicje są aktualne, dociągnięto jedną aktualizację z Windows Update, po restarcie kompa wykonano pełny skan systemu - nie znaleziono żadnego zagrożenia.

Uruchomiono HiJackThis i SilentRunners w jakichś archaicznych wersjach, które miałem zachomikowane - pierwszy wywalał errory, drugi nie rozpoznał systemu, wtedy uświadomiłem sobie, że moje doświadczenie w diagnostyce jest mocno nieaktualne i podjąłem decyzję o zasięgnięciu pomocy u was.

Ze względu na obecność Alcohola 52% i StarBurna rozchmurzono peceta Defoggerem. Być może bez potrzeby, bo żaden napęd wirtualny nie był widoczny w systemie. Użyłem na wszelki wypadek i dołączam log.

Wygenerowano log Z OTL. Wg instrukcji wszystko pięknie się zrobiło, dołączam do posta. Odptakowałem opcję "pomiń znane dobre pliki" niewidoczną na screenie z przykładową konfiguracją przez analogię to tej z plikami MS. Zmieniłem też domyślne 30 dni na 40, bo wtedy nie było mnie w domu przez kilka dni i może ktoś coś nabroił. Jest też ten drugi opcjonalny z SecurityCheck - jak szaleć, to szaleć

 

W przypadku gdyby okazało się, że system został zainfekowany poza pomocą w leczeniu proszę o informację czy jest możliwe, że przez zainstalowany syf ktoś uzyskał np. hasła do banku?

Proszę także o info czy infekcja mogła rozprzestrzenić się na nagrywane ostatnio płyty CD, podpinane pamięci flash, tworzone archiwa itp. Czy mam ostrzegać innych użytkowników sieci lokalnej i osoby, którym wysyłano jakieś pliki?

Generalnie jakie szkody mogły zostać poczynione?

Prosiłbym także o info czy można coś zrobić w kierunku optymalizacji startu itp - jakieś zbędne usługi czy aplikacje uruchamiane przy starcie... o ile widać coś takiego w tych logach

 

Results of screen317's Security Check version 0.99.11

Windows 7 (UAC is disabled!)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Out of date HijackThis installed!

HijackThis 1.99.1

Java 6 Update 24

Java 6 Update 22

Out of date Java installed!

Adobe Flash Player 10.3.181.14

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Alwil Software Avast5 AvastSvc.exe

Alwil Software Avast5 AvastUI.exe

``````````End of Log````````````

 

Edit: Połapałem się, że po zmianie z 30 na 40 dni OTL zrobił listę z "All days" zajmującą 2 MB Generuję jeszcze jeden log, zaraz go wrzucę, a ten usunąłem.

Edit2: Done.

defogger_disable.log.txt

OTL.Txt

Extras.Txt

[picasso]

W raportach (sprawdziłam obie wersje - jeszcze przed podmianą Załączników) nie widzę żadnych znaków infekcji, a w związku z tym iż nie ma precyzyjnego odczytu z Avast, nie mogę ocenić zjawiska.

 

 

wykrył Win32:Malware-gen w uTorrencie - w jakiejś części pobieranego archiwum wykrywa zawirusowany plik crd.exe lub cdr.exe - nie pamiętam dokładnie (WinRAR nie widzi w archiwum takiego pliku). Dany part archiwum ląduje w kwarantannie, po ręcznym przywróceniu Avast nic w nim nie wykrywa.

 

Jeśli WinRAR nie widzi tego bezpośrednio w archiwum, to albo Avast już to usunął z wnętrza, albo to jest zapakowane w technice "instalatora" / kompresowane czymś dodatkowym i WinRAR nie może rozbić pod-składników.

Jak mówię: nie ma tu raportu Avast do oceny (a Ty nawet nie potrafisz mi podać właściwej nazwy pliku - crd.exe vs. cdr.exe to jednak różnica) i nie widzę jak to jest sformułowane, nie mam próbki tego archiwum by to osobiście sprawdzić, nie widzę żadnych znaków infekcji = nie potrafię wystawić diagnozy. O ile to jest możliwe, prześlij mi na PW link skąd był pobierany ów AVI-torrent.

 

 

System Restore OFF (wszystkie dyski)

 

To działanie na platformach Vista i Windows 7 uważam za mało sprytne. Przywracanie systemu (skonstruowane inaczej niż w starszych platformach) to postawowa droga ratunku i to nawet gdy system już nie startuje (WinRE). Sugeruję przywrócenie domyślnej opcji systemowej czyli Ochrony systemu na dysk z Windows (tylko). Ale to jest wykonalne dopiero po punkcie 2:

 

 

Prosiłbym także o info czy można coś zrobić w kierunku optymalizacji startu itp - jakieś zbędne usługi czy aplikacje uruchamiane przy starcie... o ile widać coś takiego w tych logach

 

1. Odinstaluj śmiecia Foxit Toolbar (brandowany Ask Toolbar i pod taką nazwą widzę go na liście zainstalowanych) wstawiony przez nieuważną instalację Foxit. Foxit już od dawna nie jest niestety "chudą alternatywą", skoro para się instalacją sponsoringowego szajsu. Jeśli chcesz małą chudzinkę, to darmowa Sumatra PDF.

 

2. Bardzo mało wolnego miejsca na dysku zostało:

 

Drive C: | 54,16 Gb Total Space | 5,21 Gb Free Space | 9,62% Space Free | Partition Type: NTFS

5 GB z hakiem nie wróży tu dobrze, ani dla pracy systemu (może się pojawić efekt spowolnienia), ani dla kolejnych operacji instalacyjnych (aktualizacje / oprogramowanie). Wstępnie:

 

• Wyczyszczenie lokalizacji tymczasowych za pomocą TFC - Temp Cleaner.
  
• Usuwanie pobranych aktualizacji (które już zostały zainstalowane): opróżnienie całego katalogu C:\Windows\SoftwareDistribution\Download
  
• Usuwanie kopii zapasowych po instalacji SP1 (co oczywiście uniemożliwi jego deinstalację): KLIK.
  

Dalsza diagnostyka może się odbyć za pomocą programiku SpaceSniffer (wywołany przez Uruchom jako Administrator).

 

 

Uruchomiono HiJackThis i SilentRunners w jakichś archaicznych wersjach, które miałem zachomikowane - pierwszy wywalał errory, drugi nie rozpoznał systemu, wtedy uświadomiłem sobie, że moje doświadczenie w diagnostyce jest mocno nieaktualne i podjąłem decyzję o zasięgnięciu pomocy u was.

 

HijackThis nawet w najnowszej wersji nie pod ten system, masz system 64-bitowy (HijackThis jest 32-bitowy i nie potrafi przedstawić prawdziwego wyglądu Windows). Do całkowitego usunięcia z tego systemu.

 

 

Grzanie - wiatrak często pracuje na wysokich obrotach przy prawie-bezczynności - może to wina kiepskiego chłodzenia, z którym już wcześniej były problemy. W systemowym menadżerze nie widać procesów, które by nadmiernie męczyły proca.

 

Kierunek na dział Hardware z całkiem innymi raportami: pełna specyfikacja sprzętowa. Przyklejony podaje dokładnie jakie informacje są oczekiwane + programy do generowania inwentaryzacji sprzętowej i pomiaru temperatur.

 

 

 

.

[part]

Dzięki za pomoc, wykonam to co piszesz pod wieczór i się odezwę najpóźniej jutro. Co do dokładniejszego raportu z Avasta załączę więcej informacji jak tylko znowu coś wyskoczy, niestety jak napisałem to wyskakuje raz na jakiś czas i ciężko wywołać celowo, ale jak już wyskoczy raport tu będzie.

 

Torrenty są pobierane z prywatnych trackerów (z passkeyem), trzeba mieć konto, aby je pobrać. Korzystam z nich na co dzień, dużo seeduję (uTorrent chodzi 24h na dobę), a jak Ci dam plik torrent i spróbujesz go pobrać, to połączenie z 2 różnych IP z tym samym passkeyem zaowocuje odrzuceniem połączenia przez tracker i być może banem dla mnie, więc to raczej odpada. Ewentualnie mogę sobie odpuścić ściąganie/seedowanie na parę dni i zarzucić Ci przykładowego torrenta do diagnostyki, wtedy nie powinni się czepiać, ale może zostawmy to na koniec. Wira znajduje w różnych torrentach pobieranych z różnych stron. Wcześniej pobierałem z nich i nie znajdował. Na stronie nikt nie raportował, żeby gdzieś mu wykrywało wiry. Pliki są wrzucane przez różne grupy. Jest mała szansa, że ludzie uploadujący te pliki się czymś zarazili i rzeczywiście pliki po prostu są zawirusowane, ale jakoś dziwnie mi się to zbiegło w czasie z tymi padami łącza i z moją chwilową nieobecnością w domu gdzie domownicy mogli coś namieszać, co mnie zaalarmowało.

 

Zdaję sobie sprawę ze złych skutków małej ilości wolnego miejsca na C i na pewno wykonam zalecone rady plus będę wdzięczny za dalszą asystę. Na przyszłość - znasz jakiś darmowy program, który pozwoli to przepartycjonować nie chrzaniąc jednocześnie tego, że są 2 systemy i partycje Linuksa itp?

 

==================================================================================================

Edit:

==================================================================================================

 

W złym dzienniku szukałem - sprawdzałem dziennik skanowania na żądanie, a info zapisało się do osobnego dziennika osłony P2P, nie wiedziałem, że Avast ma osobne. Znalazłem taki wpis:

Plik: sciezka\nazwa_pliku.r45|>crd.exe ( nie jestem pewien co oznacza tu "|>")

Poziom zagrożenia: wysoki

Stan: Zagrożenie: Win32:Malware-gen

Akcja: Przenieś do kwarantanny

Wynik: Czynność zakończona powodzeniem.

 

Avast nic więcej nie pokazuje i podczas gdy alertował też więcej informacji nie widziałem. Jedyne czego nie zapamiętałem, to czy cdr czy crd - teraz to już jasne - crd.exe.

 

Zrobiłem mały trik - zatrzymałem udostępnianie tego torrenta i wybrałem "ponowne sprawdzanie" - okazuje się, że torrent nie był pobrany w 100%, mimo, że uTorrent tak pokazywał (ponad doba seedowania za mną) - brakowało trochę danych właśnie w tym pliku, w którym wtedy wykryto wirusa. Dane dociągnąłem i tym razem Avast się nie rzucał. Plik przeskanowałem - jest czysty. Wrzuciłem go na VirusTotal (zmieniłem jedynie nazwę pliku): http://www.virustotal.com/file-scan/report.html?id=cff89735834e005a82f88e753584ff989c367b49e45231b4abe02e8fccd55564-1305667577

Przeskanowałem cały folder, w którym siedział plik - czysto (avast ma włączone szukanie wewnątrz archiwów). Wewnątrz archiwum WinRAR widzi tylko jeden plik avi.

 

Moja teoria, nie wiem czy możliwa, ale jedyna, jaka wydaje mi się prawdopodobna - mam w systemie coś, co próbowało zainfekować ten plik (podmienić część pliku) podczas, gdy uTorrent zapisywał go na dysk i Avast na to nie pozwolił. Podczas ponownego pobierania to coś już nie zaatakowało (wydaje się, jakby atakowało w losowych momentach). Słyszałem o wirusach, które "dopisują" się do exe i po takiej operacji exe działa, ale podczas jego działania pliki są infekowane. Wrzuciłem na VirusTotal pliki uTorrent.exe, WinRAR.exe, Rar.exe - wyniki ładne, tylko 1 raz "suspicious" dla uTorrent: http://www.virustotal.com/file-scan/report.html?id=c5f3206b895eec7d9d482cde0e3795921435eb1b08d5b182facbcfbd5f757b0c-1305668558 Nie bardzo wiem gdzie dalej szukać i z jakiej strony jeszcze można to ugryźć.

 

Tyle w kwestii wirusa, zabieram się za wykonywanie rad optymalizacyjnych i odezwę się niebawem.

 

 

==================================================================================================

Edit:

==================================================================================================

 

SumatraPDF jest super, dzięki za polecenie. Foxit Toolbar jak i Reader poleciały, przy okazji skasowałem nieaktualną javę.

 

TFC za pierwszym razem się zawiesił, za drugim wykasował jakieś kilkadziesiąt MB - zawsze coś.

Aktualizacji dużo nie było, ale też kilkadziesiąt MB więcej wolnego.

Pierwsza metoda na usunięcie kopii zapasowej po SP1 nie usunęła nic, zastosowanie drugiej pomogło (ok. 3 GB miejsca się zwolniło).

Przeniosłem ok 2 GB danych z pulpitu na inny dysk.

I wciąż mam niedosyt... 10,5 GB to już 2 razy więcej niż wcześniej, ale nie mam pojęcia ile zeżre System Restore jak je włączę. Wygenerowałem raport z poleconego narzędzia, wersję png wrzucam w załączniku, wersja txt do pobrania z zewnętrznego serwera ze względu na rozmiary (9 MB): [KLIK]

Czy coś jeszcze można z czystym sumieniem wykasować?

 

Czy 1 GB na pagefile to dobry wybór przy 4 GB RAM? Czy dobrym pomysłem jest ustawienie tego na auto? Czy dobrym pomysłem jest przeniesienie tego na inną partycję? To samo się tyczy hiberfil.

Ile powinno być wolnego miejsca na C, aby po włączeniu System Restore zostało tyle, aby nie powodowało zwalniania ani problemów przy aktualizacji (zakładając, że nie planuję w najbliższym czasie instalować nowego softu)?

[part]

Wybaczcie post pod postem, ale minęło już kilka dni i nie jestem pewien, czy moje edycje zostały zauważone Poza tym mam pytanie - ile GB optymalnie przeznaczyć na przywracanie systemu?