lvb111 Opublikowano 9 Czerwca 2011 Zgłoś Udostępnij Opublikowano 9 Czerwca 2011 Witam i proszę o pomoc, Przedwczoraj zauważyłam niepokojące symptomy, a mianowicie podczas gry w jedną z gier na przeglądarkę po kilkukrotnym kliknięciu na jakikolwiek odnośnik pojawiał się komunikat o wylogowaniu: Nastąpiło wylogowanie z powodu wyczerpania okresu ważności sesji (e1-46.134.142.7(25178)/31.61.129.240). Kliknij tutaj aby zalogować się ponownie choć tak naprawdę nie następowało żadne wylogowanie, a już tym bardziej zmiana IP jak sugeruje ów alert. W zasadzie komputer nie wykazywał żadnych dodatkowych anomalii w funkcjonowaniu (poza tym, że dziś gg odmówiło współpracy i nie chciało mnie zalogować). Myślałam, że to mogą być jakieś przejściowe kłopoty u dostawcy internetu. Ale następnego dnia było tak samo, a nawet jeszcze gorzej, bo częstość komunikatów wzrosła - w zasadzie co drugie kliknięcie w odnośnik kończyło się uciążliwą przerwą w grze. Ponieważ w ostatnich dniach nie instalowałam żadnego oprogramowania, to nie podejrzewałam najmniejszej infekcji. W końcu zirytowana odpaliłam skan w Comodo. No i szok. Comodo znalazł 25 zagrożeń z czego 20 to trojany oznaczone jako Trojware.Java.TrojanDownloader. Poniżej zamieszczam zapis dziennika zdarzeń Comodo: http://wklej.org/id/543753/ Naturalnie przeniosłam wykryte zagrożenia do kwarantanny i usunęłam trojany. Po tej operacji wszystko wróciło do normy, a ja odetchnęłam z ulgą. To było wczoraj. Niestety dziś to samo - czyli powrócił komunikat o wylogowaniu. Odpaliłam więc Comodo ponownie, ale nic nie znalazł. W tej sytuacji poczułam się bezradnie i stąd zwracam się tutaj z prośbą o pomoc. Log z OTL: http://wklej.org/id/543739/ Extras: http://wklej.org/id/543762/ Security Check: Results of screen317's Security Check version 0.99.13 Windows 7 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Ad-Aware Java 6 Update 24 Out of date Java installed! Adobe Flash Player 10.3.181.14 Mozilla Firefox (3.6.17) Firefox Out of Date! Mozilla Thunderbird (3.1.9) ```````````````````````````````` Process Check: objlist.exe by Laurent Ad-Aware AAWService.exe Ad-Aware AAWTray.exe Comodo Firewall cmdagent.exe Comodo Firewall cfp.exe ``````````End of Log```````````` Aha, i jeszcze jedno. Ściągnęłam dziś Ad-Aware'a, ale skanował przez 5 godzin i nic nie znalazł, przy czym wydaje mi się podejrzane, że skan trwał tak długo... Proszę więc o pomoc, bo zupełnie brak mi pomysłów jak sobie z tym poradzić. Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Nie widzę tu śladów infekcji, a to co było usuwane przez COMODO to cache Java. W związku z tym proszę o log wygenerowany z Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, nie podejmuj na wyniku akcji = przypisz Skip i tylko zaprezentuj raport tekstowy. Aha, i jeszcze jedno. Ściągnęłam dziś Ad-Aware'a, ale skanował przez 5 godzin i nic nie znalazł, przy czym wydaje mi się podejrzane, że skan trwał tak długo... Długi skan jeszcze o niczym nie świadczy. A tu Ad-aware zostało wstawione w układ z COMODO Internet Security. Ciężka artyleria. Ad-aware i tak odinstaluj, bo to akurat program którego do skanu bym tu nie wzięła, a jest to spory pakiet i jeszcze obciąża system. Zamiennie możesz za to przeskanować system przez Malwarebytes' Anti-Malware. . Odnośnik do komentarza
lvb111 Opublikowano 10 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Ad-Aware wyrzucony. MBAM niczego nie znalazł, a i TDSSKiller twierdzi, że wszystko ok: 2011/06/10 12:10:36.0931 6624 TDSS rootkit removing tool 2.5.4.0 Jun 7 2011 17:31:48 2011/06/10 12:10:38.0517 6624 ================================================================================ 2011/06/10 12:10:38.0517 6624 SystemInfo: 2011/06/10 12:10:38.0517 6624 2011/06/10 12:10:38.0517 6624 OS Version: 6.1.7600 ServicePack: 0.0 2011/06/10 12:10:38.0517 6624 Product type: Workstation 2011/06/10 12:10:38.0517 6624 ComputerName: USER-HP 2011/06/10 12:10:38.0517 6624 UserName: user 2011/06/10 12:10:38.0517 6624 Windows directory: C:\windows 2011/06/10 12:10:38.0517 6624 System windows directory: C:\windows 2011/06/10 12:10:38.0517 6624 Running under WOW64 2011/06/10 12:10:38.0517 6624 Processor architecture: Intel x64 2011/06/10 12:10:38.0517 6624 Number of processors: 4 2011/06/10 12:10:38.0517 6624 Page size: 0x1000 2011/06/10 12:10:38.0517 6624 Boot type: Normal boot 2011/06/10 12:10:38.0517 6624 ================================================================================ 2011/06/10 12:10:38.0824 6624 Initialize success 2011/06/10 12:11:20.0769 5560 ================================================================================ 2011/06/10 12:11:20.0769 5560 Scan started 2011/06/10 12:11:20.0769 5560 Mode: Manual; 2011/06/10 12:11:20.0769 5560 ================================================================================ 2011/06/10 12:11:24.0769 5560 MBR (0x1B8) (b0e8c80547466c3ea29267a4540c3f02) \Device\Harddisk0\DR0 2011/06/10 12:11:24.0965 5560 ================================================================================ 2011/06/10 12:11:24.0965 5560 Scan finished 2011/06/10 12:11:24.0965 5560 ================================================================================ 2011/06/10 12:11:24.0981 6812 Detected object count: 0 2011/06/10 12:11:24.0982 6812 Actual detected object count: 0 Przyznam, że doznaję właśnie uczuć mieszanych, bo powinnam się cieszyć, że nie mam żadnej infekcji, ale problem się nadal utrzymuje i nie mam pojęcia skąd on się u licha wziął... Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Przyznam, że doznaję właśnie uczuć mieszanych, bo powinnam się cieszyć, że nie mam żadnej infekcji, ale problem się nadal utrzymuje i nie mam pojęcia skąd on się u licha wziął... Ja tu podejrzewam rzecz odwrotną niż sugerowana pierwotnie = Comodo Internet Security blokujący jakiś mechanizm (np. cookies). Przetestuj czy to samo się dzieje, gdy całkowicie zdeaktywujesz Comodo, wszystkie osłony. Odnośnik do komentarza
lvb111 Opublikowano 10 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Wyłączyłam COMODO i MBAM, zaporę systemową mam tradycyjnie stale zdezaktywowaną. Nic się nie zmieniło. Odinstalowałam COMODO, przeczyściłam rejestr Wise Registry Cleaner (nie wiem czy słusznie czy nie) i zainstalowałam COMODO ponownie. Przed każdym krokiem sprawdzałam czy problem występuje nadal i niestety odpowiedź brzmi TAK. Kiedy tak myślę nad tym, co się działo bezpośrednio przed pojawieniem się uciążliwości, to przychodzi mi na myśl, że instalowała się aktualizacja usługi GeekBuddy dołączonej do COMODO. Po aktualizacji dostałam komunikat, że okres trialowy dobiegł końca... P.S.: Znam Panią jeszcze z SE i tam kilkakrotnie Pani i Landuss ratowaliście mi skórę, za co jestem ogromnie wdzięczna, jak i wciąż pozostaję pod wielkim wrażeniem Pani wiedzy (tak, wiem - nie ja pierwsza to Pani mówię). Teraz także dziękuję serdecznie za sprawdzenie logów. Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Odinstalowałam COMODO, przeczyściłam rejestr Wise Registry Cleaner (nie wiem czy słusznie czy nie) i zainstalowałam COMODO ponownie. Przed każdym krokiem sprawdzałam czy problem występuje nadal i niestety odpowiedź brzmi TAK. Czyli mam rozumieć, że po odinstalowaniu COMODO i przed jego ponowną instalacją także był problem? Nie sądzę, że to problem infekcji. Komunikat sugeruje, że albo to kwestia sieci i dynamicznej zmiany jakiś parametrów w trakcie (nie wykluczone są manipulacje po stronie dostawcy) albo blokowania ciastek. Co to za gra? Na której przeglądarce działasz? W logu jest Internet Explorer, Firefox oraz Google Chrome. Sprawdź może czy tak samo się dzieje na innej przeglądarce niż ta w której zapuszczasz grę. Kiedy tak myślę nad tym, co się działo bezpośrednio przed pojawieniem się uciążliwości, to przychodzi mi na myśl, że instalowała się aktualizacja usługi GeekBuddy dołączonej do COMODO. Po aktualizacji dostałam komunikat, że okres trialowy dobiegł końca... A miałam na końcu języka, by GeekBuddy odinstalować (jako sugestię poboczną, nie związaną z problemem podstawowym). To jest akurat ta reklamowa część COMODO i nie jest darmowa. Jest instalowany trial, można sobie to wypróbować, a potem albo deinstalacja albo płacisz za wersję komercyjną. Miałam o tym wspominać, bo po co zaśmiecać system w zasadzie martwymi funkcjami. . Odnośnik do komentarza
lvb111 Opublikowano 10 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 (edytowane) Po odinstalowaniu COMODO i przed ponowną instalacją problem występował nadal (tym razem nie instalowałam GeekBuddy, bo mam takie samo podejście, że nie ma potrzeby zaśmiecania systemu czymś, co i tak nie będzie używane). Logi nie kłamią mam IE, który jest bo jest, ale z niego nie korzystam (jakiś taki uraz z dawnych czasów, choć podobno to już inny IE, a nie wyrzucam, bo mam podejrzenia, że jest jakoś powiązany z systemem, wszak to jednak produkt Microsoftu), a działam na FF. Sprawdzałam na Chromie - to samo, teraz ściągnęłam Operę - to samo... Gra to Blood Wars, gram już w nią dwa lata (O, Jezusicku!) i nie było takich kwiatków do tej pory... Też chciałam nieśmiało sugerować, że to może wina dostawcy, ale się nie odważyłam... Za 10 dni wyjeżdżam z Polski, więc tak czy inaczej będę musiała zmienić operatora, zatem może wszystko się uspokoi... Pozdrawiam serdecznie i dziękuję za poświęcony mi czas. Edytowane 10 Lipca 2011 przez picasso 10.07.2011 - Upłynął miesiąc, brak nowych komentarzy, temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi