Skocz do zawartości

Cicha infekcja komputera nawet po formatowaniu i mimo obecności antywirusa


Rekomendowane odpowiedzi

Cicha infekcja komputera nawet po formatowaniu dysku mimo obecności antywirusa

 

OPIS PROBLEMU

 

Witam,

Jestem nowym użytkownikiem na tym forum i zwracam się do Was o pomoc w rozwiązaniu mojego problemu,

który dotyczy cichej infekcji komputera w ciągu kilku dni od formatowania dysku twardego (formatowałem dysk lutym tego roku),

mimo obecności antywirusa.

Antywirus w momencie ataku, staje się nieaktywny bez powodu (mimo tego że jest zaktualizowany), nie wyskakują zadne błędy,

ani poważne awarie systemu. Antywirus po ponownym uruchomieniu nic nie wykrywa.

 

Mój komputer posiada system operacyjny Windows Vista 32-bit oraz antywirusa Kaspersky Internet Security.

 

Mam przypuszczenia co do tego, że może to być program szpiegujący, ponieważ miałem już kiedyś (przed kilkoma formatowaniami) zainstalowanego keyloggera,

przez osobę z mojego otoczenia, lecz też nie mam pojęcia w jaki sposób został zainstalowany na moim komputerze mimo ochrony w formie hasła.

Po formatowaniu antywirus nie wykrywał obecności keyloggera.

 

# 1

Po cichej infekcji, po kilku-kilkunastu dniach pojawiają się pierwsze objawy, a później co jakiś czas.

 

1.1 Antywirus wykrywa modyfikacje programów, wyskakuje wtedy okno z zapytaniem, czy uważać dany program dalej za zaufany (2-3 formatowania temu wyświetlał także modyfikacje plików,

głównie instalatorów programów i gier).

1.2 Podczas gry na komputerze w pewnym momencie, następuje minimalizacja na pasek startu i w ułamku sekundy następuje migawka okna antywirusa z zapytaniem,

czy dodać (jakiś) program do zaufanych (nie jestem w stanie uchwycić co pisze w tym oknie).

1.3 W ciagu dnia praca komputera nie jest płynna, w pewnych regularnych odstępach czasu komputer zaczyna się "zacinać" na 1-2 min.

Odstępy czasowe są różne, nie wiem od czego zależą. W jednym dniu są co godzinę, w innym co dwie godziny albo tylko 2-3 razy na dzień.

1.4 Wirus prawdopodobnie korzysta z zasłony w postaci innych programów. Kiedy komputer zaczyna się "zacinać" w 'Monitorze niezawodności i wydajności' w zakładce 'CPU'

widnieje jakiś program wykorzystujący ok. 50% procesora. Kiedyś (2-3 formatowania dysku temu) taką wysoką aktywność uzyskiwał gadu-gadu 10 beta (gg.exe) oraz soldat [moja gra] (soldat.exe).

Po ostatnim foramtowaniu i nadal aż do teraz podczas "zacinania się" komputera widnieje Kaspersky (avp.exe).

 

 

Kilka dni temu zwróciłem się o pomoc na forum dobreprogramy.pl (oto link do tematu: http://forum.dobreprogramy.pl/jak-wykryc-program-szpiegowski-t454770.html ) w celu rozwiązania mojego problemu.

Są tam logi, screenshoty i wymienione programy które używałem (nie wiem czy powinienem tu wszystko przekleić, jesli tak, to proszę mi zwrócić uwagę).

Od tamtego czasu nie próbowałem rozwiązać mojego problemu, instalowałem natomiast na komputerze gre Minecraft (wersję Beta, aby zobaczyć czy gra warta uwagi) i trzy programy:

Hamachi (który odinstalowałem w tym samym dniu co zainstalowałem) ; PDFnova Standard Desktop 7 (do drukowania plików PDF) oraz Jave ( Version 6 Update 26 )

 

1.5 Wczoraj koputer podczas gry w Minecraft zaczął znów "zacinać się" bardziej niż zwykle i gdy chciałem wejść do 'Monitora niezawodności i wydajności' przez menadżer zadań, w zakładce "Zasoby",

następił błąd i zamknięcie menadżera:

 

"Program Menedżer zadań Windows przestał działać.

Program przestał działać poprawnie z powodu wystąpienia problemu.

System Windows zamknie program i powiadomi Cię, jeśli istnieje

dostępne rozwiązanie."

 

Problem trwa do teraz i pojawia się za każdym razem gdy próbuję uruchomić "Monitor niezawodności i wydajności" przez menadżer zadań, lecz mogę go uruchomić przez Panel sterowania ->

Informacje wydajności i narzędzia -> Narzędzia zaawansowane -> Monitor niezawodności i wydajności.

 

1.6 Wczoraj też Kaspersky wyświetlił mi okno o modyfikacji soldata i zapytanie czy uznać ten program za zaufany (zaznaczyłem: Blokuj).

 

# 2

Kaspersky nie wykrył mi żadnej infekcji przez przeglądanie sieci.

 

# 3

Prowadzono mi pomoc na forum dobreprogramy.pl

http://forum.dobreprogramy.pl/jak-wykryc-program-szpiegowski-t454770.html

 

# 4

Pomoce wizualne: w linku powyżej.

 

 

OPCJONALNY + OBOWIĄZKOWE LOGI Z PROGRAMÓW

 

# 1

 

LOGI OTL

 

1.1 OTL załącznik 1

 

1.2 OTL Extras załącznik 2

 

 

# 2

 

GMER >>> PRESKANOWANIE <<< (program gmer wyłączył się z powodu napotkania problemu)

 

Program 2wkbyjln.exe przestał działać.

Program przestał działać poprawnie z powodu wystąpienia problemu.

System Windows zamknie program i powiadomi Cię, jeśli istnieje

dostępne rozwiązanie.

 

Gmer wyświetlił tylko część wyników, za pierwszym uruchomieniem zakończyl skanowanie w lokalizacji:

\Device\HarddiskVolumeShadowCopy1

 

a za drugim uruchomieniem zakończył skanowanie w lokalizacji:

\Device\HarddiskVolumeShadowCopy2

 

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit quick scan 2011-07-30 16:31:44

Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD3200BEVT-60ZCT1 rev.13.01A13

Running: 2wkbyjln.exe; Driver: C:\Users\Tau\AppData\Local\Temp\ugryyfog.sys

 

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\tdx \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

AttachedDevice \Driver\tdx \Device\Tcp prio.sys (Prio Network Activity Driver/Xeno)

AttachedDevice \Driver\tdx \Device\Tcp ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

AttachedDevice \Driver\tdx \Device\Udp prio.sys (Prio Network Activity Driver/Xeno)

AttachedDevice \Driver\tdx \Device\Udp ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Aparat wykonawczy struktury sterowników trybu jądra/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Aparat wykonawczy struktury sterowników trybu jądra/Microsoft Corporation)

 

---- EOF - GMER 1.0.15 ----

 

 

 

Uruchomienie Gmer z poziomu awaryjnego dało log preskanowania:

 

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Aparat wykonawczy struktury sterowników trybu jądra/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Aparat wykonawczy struktury sterowników trybu jądra/Microsoft Corporation)

 

Skanowanie dokładne zakończyło się w lokalizacji:

\Device\HarddiskVolumeShadowCopy1

 

i dało ten sam komunikat z błędem co wyzej:

 

Program 2wkbyjln.exe przestał działać.

Program przestał działać poprawnie z powodu wystąpienia problemu.

System Windows zamknie program i powiadomi Cię, jeśli istnieje

dostępne rozwiązanie.

 

 

# 3

 

ROOTREPEAL

>>>UWAGA<<<

Nie byłem w stanie wykonać całego loga z tego programu mino przełączania poziomów skanowania, ponieważ za każdym razem program zatrzymywał się na lokacji:

 

C:\Windows\winsxs\Manifests

 

Za pierwszym skanowaniem czekałem 30 minut i skanowanie nie ruszyło się dalej. Dlatego też, wyłączyłem opcję w skanowaniu "Files".

 

 

Shadow SSDT

-------------------

#: 013 Function Name: NtGdiBitBlt

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb660

 

#: 235 Function Name: NtGdiMaskBlt

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb736

 

#: 245 Function Name: NtGdiPlgBlt

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb7a6

 

#: 301 Function Name: NtGdiStretchBlt

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb6ca

 

#: 317 Function Name: NtUserAttachThreadInput

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acbd2e

 

#: 322 Function Name: NtUserBuildHwndList

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb80e

 

#: 391 Function Name: NtUserFindWindowEx

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb484

 

#: 397 Function Name: NtUserGetAsyncKeyState

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb292

 

#: 428 Function Name: NtUserGetKeyboardState

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb592

 

#: 430 Function Name: NtUserGetKeyState

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb2de

 

#: 479 Function Name: NtUserMessageCall

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb3d6

 

#: 497 Function Name: NtUserPostMessage

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb32a

 

#: 498 Function Name: NtUserPostThreadMessage

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb37e

 

#: 513 Function Name: NtUserRegisterRawInputDevices

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb51a

 

#: 525 Function Name: NtUserSendInput

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb436

 

#: 550 Function Name: NtUserSetParent

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acbbe0

 

#: 573 Function Name: NtUserSetWindowsHookEx

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb1d8

 

#: 576 Function Name: NtUserSetWinEventHook

Status: Hooked by "C:\Windows\system32\DRIVERS\klif.sys" at address 0xa1acb230

 

==EOF==

 

 

 

# 4

 

LOG OPCJONALNY : Security Check

 

Results of screen317's Security Check version 0.99.18

Windows Vista Service Pack 2 (UAC is enabled)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Kaspersky Internet Security 2011

Norton Internet Security

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

Ashampoo Registry Cleaner v.1.00

Java 6 Update 26

Java 6 Update 7

Out of date Java installed!

Adobe Flash Player 10.3.181.26

````````````````````````````````

Process Check:

objlist.exe by Laurent

Windows Defender MSASCui.exe

Malwarebytes' Anti-Malware mbamservice.exe

Malwarebytes' Anti-Malware mbamgui.exe

Windows Defender MSASCui.exe

``````````End of Log````````````

 

 

 

MOJA PROŚBA :

 

1. Obawiam się, że może być taka możliwość, że formatowanie dysku nic nie daje, ponieważ zostają ominięte pewne lokacje, albo ustawienia formatowania zostały tak zmienione, aby się nie dało się pozbyć infekcji, więc proszę mi pomóc przeskanować też i takie lokacje.

2. Jeśli to to faktycznie infekcja, to proszę mi pomóc namierzyć winowajce. Chcialbym, aby takowa osoba została ukarana w świetle prawa.

3. Jeśli pomogą mi Pańswo rozwiązać mój problem, to będę bardzo wdzięczy i przekażę darowiznę na Wasze konto.

 

Dziękuję

 

shasokais7

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Szczerze wątpię w koncepcję infekcji. Czy zdajesz sobie sprawę, że:

- jest niewiele typów infekcji które mogą przeżyć format. Do tej grupy należy: infekcja w wykonywalnych, względnie infekcja w MBR. Zaś tekst "albo ustawienia formatowania zostały tak zmienione, aby się nie dało się pozbyć infekcji" to dla mnie zagadka co Ci chodzi po głowie, bo nigdy nie słyszałam o czymś takim, a usuwam infekcje z cudzych komputerów już ósmy rok.

- opisywane tu objawy są tak ogólne i mogą być generowane przez tak szeroki zakres czynników od software do hardware, że podpinanie pod to infekcji bez żadnych solidnych dowodów jest bajaniem. Tematów o Twoich cechach rozwiązywałam mnóstwo i wcale nie tylko infekcje wchodziły w grę.

Co widzę teraz: żadnych śladów infekcji w podanych raportach, zaś zainstalowane oprogramowanie antywirusowe siedzi cicho (ponieważ nie są podane żadne wyniki stricte infekcyjne). Tak więc nie mam tu żadnych podstaw winić infekcję. Skoro problem objawia się po formacie, to nasuwa się: ładujesz to samo ofensywne oprogramowanie co przed formatem lub usterka natury sprzętowej.

 

 

1.1 Antywirus wykrywa modyfikacje programów, wyskakuje wtedy okno z zapytaniem, czy uważać dany program dalej za zaufany (2-3 formatowania temu wyświetlał także modyfikacje plików,

głównie instalatorów programów i gier).

1.2 Podczas gry na komputerze w pewnym momencie, następuje minimalizacja na pasek startu i w ułamku sekundy następuje migawka okna antywirusa z zapytaniem,

czy dodać (jakiś) program do zaufanych (nie jestem w stanie uchwycić co pisze w tym oknie).

1.3 W ciagu dnia praca komputera nie jest płynna, w pewnych regularnych odstępach czasu komputer zaczyna się "zacinać" na 1-2 min.

Odstępy czasowe są różne, nie wiem od czego zależą. W jednym dniu są co godzinę, w innym co dwie godziny albo tylko 2-3 razy na dzień.

1.4 Wirus prawdopodobnie korzysta z zasłony w postaci innych programów. Kiedy komputer zaczyna się "zacinać" w 'Monitorze niezawodności i wydajności' w zakładce 'CPU'

widnieje jakiś program wykorzystujący ok. 50% procesora. Kiedyś (2-3 formatowania dysku temu) taką wysoką aktywność uzyskiwał gadu-gadu 10 beta (gg.exe) oraz soldat [moja gra] (soldat.exe).

Po ostatnim foramtowaniu i nadal aż do teraz podczas "zacinania się" komputera widnieje Kaspersky (avp.exe).

1.5 Wczoraj koputer podczas gry w Minecraft zaczął znów "zacinać się" bardziej niż zwykle i gdy chciałem wejść do 'Monitora niezawodności i wydajności' przez menadżer zadań, w zakładce "Zasoby",

następił błąd i zamknięcie menadżera:

1.6 Wczoraj też Kaspersky wyświetlił mi okno o modyfikacji soldata i zapytanie czy uznać ten program za zaufany (zaznaczyłem: Blokuj).

1.1: By ocenić "modyfikacje", muszę je widzieć dokładnie. Poza tym: możliwe, że albo źle interpretujesz wyniki albo masz za wysokie / zbyt restrykcyjne ustawienia Kasperskiego.

1.2: Ponownie, trzeba pokazać jakie to wyniki. A to że podczas gry to się ujawnia, sugeruje że nawalił lub nie masz włączonego "Game Mode" w Kasperskym, który to tryb jest przyjazny dla gracza (praca w trybie cichym).

1.3: "Zacinanie" = masa przyczyn możliwa, włącznie z Kasperskym. Twój system wcale nie taki "dopieszczony" jakby się to mogło wydawać. Po formacie pracują w tle zbędne procesy (m.in. konsekwencje integracji oprogramowania OEM), są szczątki Nortona.

1.4: Owym "wirusem" równie dobrze może być Kaspersky lub inne oprogramowanie powielone po formacie.

1.5 + 1.6: Jak wyżej.

 

 

2. Jeśli to to faktycznie infekcja, to proszę mi pomóc namierzyć winowajce. Chcialbym, aby takowa osoba została ukarana w świetle prawa.

 

Gdyby nawet była jakaś infekcja (w co jak mówię wątpię), to wątek ścigania w świetle prawa możesz wsadzić do pieca. "Inżynieria wsteczna" kto co i kiedy jest awykonalna, nie wspominając o tym że to nie musiałaby być realna osoba, mógłby to być wykonany byle jaki skrypt na stronie malware i szukaj wiatru w polu.

 

 

 

1. Co jest podejrzane dla problemów zawieszeń:

 

  • Połączenie nadmiaru programów zabezpieczających w stanie czynnym. Tu mamy pracujące równolegle usługi KIS, MBAM, SUPERAntispyware, Windows Defender i Zone ForceField. Kasperskiego komentuję niżej, odinstaluj SUPERAntiSpyware zostawiając tylko MBAM, Windows Defender i potencjalne szczątki ForceField skomentowane w punkcie 2.
  • Antywirus per se. Kaspersky jest oprogramowaniem działającym niskopoziomowo (co widać w GMER), posługującym się grupą silnych sterowników i jest to pierwszy rodzaj oprogramowania które testowo się deinstaluje, by ocenić potencjalny wpływ. Nie wyłączanie, bo to niemożliwe (nie wstrzymuje to wcale aktywności sterowników Kasperskiego), tylko deinstalacja.
  • Hooki aplikacji Prio. Kolejna testowa deinstalacja.
  • Oprogramowanie czytnika linii papilarnych Digital Persona, znane z dewiacji tego rodzaju: KLIK.
  • Sztuczne "speedowanie" systemu dające skutki odwrotne od zamierzonych. Tu jest zainstalowana m.in. aplikacja appsmaker AppBooster. Nie jest mi dostatecznie znana, bym mogła to ocenić, ale wszelkie manipulacje na pamięci uznaję za ryzykowne.

2. Z ładowania możesz wyłączyć niepotrzebne programy za pomocą programu Autoruns.

 

----> W karcie Logon odznacz wszystkie te wpisy z ładowania:

 

O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [CLMLServer for HP TouchSmart] C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe (CyberLink)

O4 - HKLM..\Run: [DVDAgent] C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe (CyberLink Corp.)

O4 - HKLM..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe (Hewlett-Packard)

O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Real\RealPlayer\update\realsched.exe (RealNetworks, Inc.)

O4 - HKLM..\Run: [TSMAgent] C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe (CyberLink Corp.)

O4 - HKLM..\Run: [uCam_Menu] C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)

O4 - HKLM..\Run: [updateLBPShortCut] C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)

O4 - HKLM..\Run: [updateP2GoShortCut] C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)

O4 - HKLM..\Run: [updatePDIRShortCut] C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)

O4 - HKLM..\Run: [updatePSTShortCut] C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)

O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)

O4 - HKU\S-1-5-21-2464591094-2890713532-3293956153-1000..\Run: [] File not found

O4 - HKU\S-1-5-21-2464591094-2890713532-3293956153-1000..\Run: [ABBYY Screenshot Reader Retail] File not found

----> W karcie Services odptaszkuj drugi składnik Windows Defender:

 

SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

----> W karcie Drivers całkowicie usuń (jeśli to odinstalowane oprogramowanie):

 

DRV - [2011-02-15 17:25:36 | 000,026,872 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)

DRV - [2009-03-18 17:35:40 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\hamachi.sys -- (hamachi)

3. Są notowane szczątki Symantec (jak sądzę oprogramowanie ładowane z obrazu producenta, deinstalowane przez Ciebie ręcznie):

 

SRV - File not found [Disabled | Stopped] --  -- (Norton Internet Security)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{7B15D70E-9449-4CFB-B9BC-798465B2BD5C}" = Norton Internet Security

Skorzystaj z Norton Removal Tool.

 

4. Jest drobny błędzik w Dzienniku zdarzeń:

 

Error - 2011-07-26 06:13:57 | Computer Name = TauCommander | Source = WinMgmt | ID = 10

Description =

Tu nie ma się czym martwić, ale możesz to naprawić na podstawie instrukcji MS: KB950375.

 

5. Potwór konsumpcyjny GG10 można swobodnie zastąpić aplikacją, która nie muli, bo po prostu jest lekka i nie ma żadnych reklam i innych wątpliwych reputacją elementów. Do wglądu mój artykuł: Darmowe komunikatory. Propozycja zamiany: WTW (dobra obsługa GG10 i import archiwum GG10).

 

 

Po wykonaniu punktów 1-5 zgłoś się tu z wynikami i nowymi logami z OTL.

 

 

 

.

Odnośnik do komentarza
Zaś tekst "albo ustawienia formatowania zostały tak zmienione, aby się nie dało się pozbyć infekcji" to dla mnie zagadka co Ci chodzi po głowie, bo nigdy nie słyszałam o czymś takim, a usuwam infekcje z cudzych komputerów już ósmy rok.

 

Kiedyś kiedy pierwszy raz formatowałem komputer, utworzyłem nową partycję D:\ ,aby na niej zgromadzić wszystkie dane zapasowe, dokumenty, muzykę, ect., z której miałem potem wszystko zgrać na płytki DVD, aby nic nie stracić. Byłem wtedy tak zmęczony, że zapomniałem to wszystko wypalić na płytki i przystąpiłem do formatowania. Oczywiście przypomniało mi się, że nie zgrałem tego dopiero wtedy kiedy formatowanie się zakończyło... :> xD

Nie wiem czy coś źle zrobiłem, ale po instalacji na nowo systemu, partycja D:\ dalej widniała, a w niej wszystkie moje dane.

 

Więc czy jest taka możliwość aby na moim dysku była jakaś ukryta partycja, która nie ulega formatowaniu?

 

Nie znam się na tym, wiem natomiast, że Jesteś ekspertem w tych sprawach i wiesz lepiej, dlatego z czystej ciekawości chciałbym się dowiedzieć czy teoretycznie taka sytuacja mogłaby mieć miejsce?

 

- opisywane tu objawy są tak ogólne i mogą być generowane przez tak szeroki zakres czynników od software do hardware, że podpinanie pod to infekcji bez żadnych solidnych dowodów jest bajaniem. Tematów o Twoich cechach rozwiązywałam mnóstwo i wcale nie tylko infekcje wchodziły w grę.

 

Przepraszam... za bardzo panikuję, kiedy widzę że komputer zaczyna się zacinać, przy prostych programach...

 

1.1: By ocenić "modyfikacje", muszę je widzieć dokładnie. Poza tym: możliwe, że albo źle interpretujesz wyniki albo masz za wysokie / zbyt restrykcyjne ustawienia Kasperskiego.

 

Przyznaję się, miałem zmienione ustawienia ochrony Kaspersy'ego na najwyższym poziomie.

 

1.2: Ponownie, trzeba pokazać jakie to wyniki. A to że podczas gry to się ujawnia, sugeruje że nawalił lub nie masz włączonego "Game Mode" w Kasperskym, który to tryb jest przyjazny dla gracza (praca w trybie cichym).

 

Racja, nie miałem włączonego trybu gracza.

 

Gdyby nawet była jakaś infekcja (w co jak mówię wątpię), to wątek ścigania w świetle prawa możesz wsadzić do pieca. "Inżynieria wsteczna" kto co i kiedy jest awykonalna, nie wspominając o tym że to nie musiałaby być realna osoba, mógłby to być wykonany byle jaki skrypt na stronie malware i szukaj wiatru w polu.

 

Przepraszam, nie wyraziłem się jasno, miałem na myśli w tym przypadku infekcję programem szpiegowskim albo keyloggerem. Z tego co czytałem w internecie to takie programy potrafią wysyłać na e-mail, różnego typu dane i aktywność użytkownika, więc chyba byłaby możliwość jakoś wykryć aktywność tego programu i gdzie wysyła dane?

 

1. Co jest podejrzane dla problemów zawieszeń:

 

@ Połączenie nadmiaru programów zabezpieczających w stanie czynnym. Tu mamy pracujące równolegle usługi KIS, MBAM, SUPERAntispyware, Windows Defender i Zone ForceField. Kasperskiego komentuję niżej, odinstaluj SUPERAntiSpyware zostawiając tylko MBAM, Windows Defender i potencjalne szczątki ForceField skomentowane w punkcie 2.

@ Antywirus per se. Kaspersky jest oprogramowaniem działającym niskopoziomowo (co widać w GMER), posługującym się grupą silnych sterowników i jest to pierwszy rodzaj oprogramowania które testowo się deinstaluje, by ocenić potencjalny wpływ. Nie wyłączanie, bo to niemożliwe (nie wstrzymuje to wcale aktywności sterowników Kasperskiego), tylko deinstalacja.

@ Hooki aplikacji Prio. Kolejna testowa deinstalacja.

@ Oprogramowanie czytnika linii papilarnych Digital Persona, znane z dewiacji tego rodzaju: KLIK.

@ Sztuczne "speedowanie" systemu dające skutki odwrotne od zamierzonych. Tu jest zainstalowana m.in. aplikacja appsmaker AppBooster. Nie jest mi dostatecznie znana, bym mogła to ocenić, ale wszelkie manipulacje na pamięci uznaję za ryzykowne.

 

@ SuperAntispyware odinstalowany (Zone Force Field pierwszy raz widzę na oczy).

@ Kaspersky odinstalowany (ręcznie odinstalowany) (Czy mam dodatkowo użyć tego programu: http://support.kaspersky.com/pl/faq/?qid=208279460).

@ Prio odinstalowany.

@ Czy to tylko dla mojej wiadomości ten artykuł, czy ten program do czytnika linii papilarnych, też mam usunąć? (Nie używam czytnika)

@ Wrzucam tutaj ogólną listę wyłączanych usług i procesów przez program appBooster:

 

DeviceSupport(5/7)

(zaznaczone) Disable Suppoit tor Mobile Devices (e.g. iPod, iPhone, cellphones, MP3 players etc.)

(zaznaczone) Disable Suppoit tor Scanners and Digital Cameras, WebCams and Tablets

(odznaczone) Disable Bluetooth Support

(zaznaczone) Disable Printer Support

(zaznaczone) Disable Helper Apps tor Soundcards (e.g. uneeded Mixer Software)

(odznaczone) Disable additional tools tor ATI Graphic Cards

(zaznaczone) Disable additional tools tor nVidia Graphic Cards

 

Windows Features (5/5)

(wszystko zaznaczone)

Disable Multimedia Suppoit (Windows Media Centei, Windows Media Playei,

Stieaming etc.)

Set Poweipiotile to "Maximum Peitoimance"

Disable Windows Theming and Designs

Disable Scheduled Tasks and Automatic Updates

Disable othei nonessential Windows seivices

 

Applications (5/7)

(odznaczone) Close Messengeis (ICQ, Microsoft Instant Messenger, Skype etc.)

(odznaczone) Close Browser

(zaznaczone) Close Ottice Applications

(zaznaczone) Close other unneeded applications

(zaznaczone) Close Apple Services and Background Applications

(zaznaczone) Disable Backup Applications

(zaznaczone) Close Autostart Programs

 

Czy mogę dalej używać tego programu, czy raczej zalecasz deinstalacje i zrezygnowanie z korzystania z tego typu oprogramowanie?

 

2. Z ładowania możesz wyłączyć niepotrzebne programy za pomocą programu Autoruns.

 

----> W karcie Logon odznacz wszystkie te wpisy z ładowania:

 

Nie znalazłem poniższych wpisów w tej karcie:

O4 - HKU\S-1-5-21-2464591094-2890713532-3293956153-1000..\Run: [] File not found

O4 - HKU\S-1-5-21-2464591094-2890713532-3293956153-1000..\Run: [ABBYY Screenshot Reader Retail] File not found

 

Jedynym wpisem dla którego nie znaleziono pliku był:

logon file not found: rdpclip (nie było rozszerzenia)

 

3. Są notowane szczątki Symantec (jak sądzę oprogramowanie ładowane z obrazu producenta, deinstalowane przez Ciebie ręcznie):

 

Odinstalowany.

 

4. Jest drobny błędzik w Dzienniku zdarzeń:

 

Error - 2011-07-26 06:13:57 | Computer Name = TauCommander | Source = WinMgmt | ID = 10

Description =

 

Tu nie ma się czym martwić, ale możesz to naprawić na podstawie instrukcji MS: KB950375.

 

Nie wiem jak to naprawić, mój angielski nie jest na tak zaawansowanym poziomie, aby wszystko zrozumieć.

Bardzo proszę o wytłumaczenie co powinienem z tym zrobić.

 

5. Potwór konsumpcyjny GG10 można swobodnie zastąpić aplikacją, która nie muli, bo po prostu jest lekka i nie ma żadnych reklam i innych wątpliwych reputacją elementów. Do wglądu mój artykuł: Darmowe komunikatory. Propozycja zamiany: WTW (dobra obsługa GG10 i import archiwum GG10).

 

GG10 odinstalowany. Eksportowałem sobie listę kontaktów. Rzuciłem okiem na temat o komunikatorach, chyba się przerzucę na AQQ.

 

Dzięki :)

Odnośnik do komentarza

Nie odpowiedziałeś na ten ustęp:

 

 

Po wykonaniu punktów 1-5 zgłoś się tu z wynikami i nowymi logami z OTL.

 

Czy notujesz jakąś poprawę sytuacji + podaj nowy log z OTL do oceny mający zweryfikować poprawność przeprowadzonych kroków. I może coś z tego OTL da radę więcej wywnioskować.

 

 

Kiedyś kiedy pierwszy raz formatowałem komputer, utworzyłem nową partycję D:\ ,aby na niej zgromadzić wszystkie dane zapasowe, dokumenty, muzykę, ect., z której miałem potem wszystko zgrać na płytki DVD, aby nic nie stracić. Byłem wtedy tak zmęczony, że zapomniałem to wszystko wypalić na płytki i przystąpiłem do formatowania. Oczywiście przypomniało mi się, że nie zgrałem tego dopiero wtedy kiedy formatowanie się zakończyło... :> xD

Nie wiem czy coś źle zrobiłem, ale po instalacji na nowo systemu, partycja D:\ dalej widniała, a w niej wszystkie moje dane.

 

Więc czy jest taka możliwość aby na moim dysku była jakaś ukryta partycja, która nie ulega formatowaniu?

 

Ale ... przecież mówisz wyraźnie, że założyłeś nową partycję D (czyli musiała istnieć C z systemem). Jeśli format robiłeś z instalatora Windows, to jest oczywistym, że sformatowana zostanie tylko partycja systemowa, ta na której chce się instalować Windows, a nie wszystkie .... Cały dysk z wszystkimi partycjami zostanie sformatowany wtedy, gdy tak jakieś narzędzie poinstruujesz, jeśli jednak instalacja Windows idzie z automatu, to nie interesuje się całym dyskiem.

 

 

@ Kaspersky odinstalowany (ręcznie odinstalowany) (Czy mam dodatkowo użyć tego programu: http://support.kaspe.../?qid=208279460).

@ Czy to tylko dla mojej wiadomości ten artykuł, czy ten program do czytnika linii papilarnych, też mam usunąć? (Nie używam czytnika)

@ Wrzucam tutaj ogólną listę wyłączanych usług i procesów przez program appBooster:

 

@ Tak, możesz dla pewności poprawić narzędziem Kaspersky Remover. I nadal nie wiem czy po usunięciu Kasperskiego notujesz polepszenie bytu systemowego.

@ Artykuł o podwójnym przeznaczeniu: wskazówka co może się dziać z powodu Digital Persona + sugestia by to diagnozować. A skoro teraz wyraźnie mówisz, że czytnika papilarnych w ogóle nie używasz, to się całkowicie pozbądź Digital Persona z systemu.

@ Spis z appBooster nic specjalnego mi nie mówi.

 

 

Nie wiem jak to naprawić, mój angielski nie jest na tak zaawansowanym poziomie, aby wszystko zrozumieć.

Bardzo proszę o wytłumaczenie co powinienem z tym zrobić.

 

1. Otwórz Notatnik i wklej w nim:

 

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _
& strComputer & "\root\subscription")
 
Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'")
 
set obj2set = obj1.Associators_("__FilterToConsumerBinding")
 
set obj3set = obj1.References_("__FilterToConsumerBinding")
 
 
 
For each obj2 in obj2set
                WScript.echo "Deleting the object"
                WScript.echo obj2.GetObjectText_
                obj2.Delete_
next
 
For each obj3 in obj3set
                WScript.echo "Deleting the object"
                WScript.echo obj3.GetObjectText_
                obj3.Delete_
next
 
WScript.echo "Deleting the object"
WScript.echo obj1.GetObjectText_
obj1.Delete_

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.VBS > plik umieść na Pulpicie

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę:

 

C:\Users\Tau\Desktop\FIX.VBS

 

 

GG10 odinstalowany. Eksportowałem sobie listę kontaktów. Rzuciłem okiem na temat o komunikatorach, chyba się przerzucę na AQQ.

 

Twój wybór, ale WTW ma lepszą obsługę Gadu i nie ma reklam. A jeśli wybierzesz jednak AQQ, pilnuj ręcznej aktualizacji listy kontaktów (wysyłanie na serwer Gadu), bo AQQ nie obsługuje automatycznej synchronizacji z serwerem (cecha oryginalnego GG10) i można się nadziać na niespodziankę z nieświeżą listą w okolicznościach wymagających np. skorzystania z AQQ na innym komputerze.

 

 

Przepraszam, nie wyraziłem się jasno, miałem na myśli w tym przypadku infekcję programem szpiegowskim albo keyloggerem. Z tego co czytałem w internecie to takie programy potrafią wysyłać na e-mail, różnego typu dane i aktywność użytkownika, więc chyba byłaby możliwość jakoś wykryć aktywność tego programu i gdzie wysyła dane?

 

Ja rozumiem co miałeś na myśli. Gdzie wysyła dane = to nie znaczy, że dasz radę w ogóle coś z tą informacją zrobić i że jest ona użyteczna. Miejsce docelowe może być zamaskowane i zanonimizowane.

 

 

 

.

Odnośnik do komentarza

Po odinstalowaniu Kaspersky'ego komputer zaczął śmigać, podczas gry nie zacina się. Wygląda na to ze jest wszystko w porządku.

Po usunięciu pozostałości po Kaspersky za pomocą programu "kavremover.exe" udało mi się zrobić pełny skan za pomocą GMER'a.

(Najpierw zaznaczyłem w programie moją wersje, a następnie wszystkie).

 

W załączniku przesyłam logi.

 

Kiedy prowadzono mi prowadzono pomoc na forum dobreprogramy.pl (http://forum.dobreprogramy.pl/jak-wykryc-program-szpiegowski-t454770.html), po którymś włączeniu komputera pojawiły mi się na pulpicie i we wszystkich folderach w których zmieniłem ikonki pliki 'desktop.ini'.

Ja nie przełączałem żadnych ustawień systemowych. Co mam z tym zrobić? Zmienić w opcjach folderów na 'ukryte'?

 

Co zrobić z plikiem z FIX.VBS na pulpicie?

 

Dzięki

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza

Patrząc na logi (nic w nich podejrzanego nie ma) możesz wykonać drobne zadania końcowe:

 

1. Do aktualizacji oprogramowanie (istotne pod kątem łatania luk). Widzę na liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 26

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

Starsze wersje odinstaluj, wstaw najnowsze. Szczegóły: INSTRUKCJE.

 

Czy korzystasz z Paska AOL? Jeśli nie, deinstalacja, po co obciążać przeglądarkę IE zbędnikami.

 

2. Usunięcie owych wpisów, których nie mogłeś namierzyć w Autoruns (ubytki + sterownik Hamachi i ForceField) plus czyszczenie lokalizacji tymczasowych, w których zapewne po punkcie 1 narośnie śmieci. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2011-02-15 17:25:36 | 000,026,872 | ---- | M] (Check Point Software Technologies) [Kernel | Disabled | Stopped] -- C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - [2009-03-18 17:35:40 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\hamachi.sys -- (hamachi)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O4 - HKU\S-1-5-21-2464591094-2890713532-3293956153-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-2464591094-2890713532-3293956153-1000..\Run: [ABBYY Screenshot Reader Retail]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt, system będzie restartował. Po ukończeniu klik w Sprzątanie, co usunie elementy OTL z dysku + patrz poniżej na ustęp z desktop.ini co jeszcze się stanie. :P

 

 

3. Pozostaje kwestia doboru jakieś zabezpieczenia, skoro KIS nie sprawdził się wydajnościowo. Jeśli miałaby to być jakaś darmowa propozycja, to może Avast (ma Tryb Gracza). Wątek "dla gracza" był zresztą mielony na forum w tym temacie: KLIK. Tylko jedna uwaga: Aviry na dzień dzisiejszy nie polecam, bo mnie sumienie gryzie, by podsuwać aplikację, która się shańbiła integracją sponsora Ask Toolbar....

 

 

4. Co jeszcze można byłoby rozważyć: aktualizację sterowników stricte sprzętowych. Z drugiej strony: jeśli wszystko chodzi jak należy, może lepiej nie ruszać.

 

 

Kiedy prowadzono mi prowadzono pomoc na forum dobreprogramy.pl, po którymś włączeniu komputera pojawiły mi się na pulpicie i we wszystkich folderach w których zmieniłem ikonki pliki 'desktop.ini'.

Ja nie przełączałem żadnych ustawień systemowych. Co mam z tym zrobić? Zmienić w opcjach folderów na 'ukryte'?

 

Pliki desktop.ini odpowiadają za specjalne cechy folderów takie jak: spolonizowana nazwa czy określona ikona. Przykład: na Vista i 7 z polskim pakietem językowym wyświetla się nazwa katalogu C:\Użytkownicy. To właśnie sprawka desktop.ini, który wyświetla nazwę polską "na wierzchu", mimo że prawdziwą nazwą "spodnią" jest angielska C:\Users (i ta nazwa działa w systemie polskim). Skasowanie takiego pliku powoduje utratę tych cech.

 

desktopini.png

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

 

Co zrobić z plikiem z FIX.VBS na pulpicie?

 

Po użyciu już zbędny i do kasacji.

 

 

 

.

Odnośnik do komentarza

1. Oprogramowanie zaktualizowane, jave 7 pobrałem z dobreprogramy.pl , bo nie wiedziałem jak zainstalować ze strony producenta.

 

2. Włączyłem skrypt w OTL i użyłem opcji sprzątania.

 

3. Co do antywirusa się jeszcze zastanawiam...

 

 

Przedwczoraj kiedy chciałem uruchomić drugi raz GMER'a pojawił mi się bluescreen i zrestartował się komputer.

W załączniku log po uruchomieniu skryptu i raport z bluescreena.

 

Produkt

Windows

 

Problem

Nastąpiło nieoczekiwane zamknięcie.

 

Data

2011-08-02 20:11

 

Stan

Raport został wysłany

 

Sygnatura problemu

Nazwa zdarzenia problemu: BlueScreen

Wersja systemu operacyjnego: 6.0.6002.2.2.0.768.3

Identyfikator ustawień regionalnych: 1045

 

Pliki pomagające opisać problem (niektóre pliki mogą być już niedostępne)

Mini080211-01.dmp

sysdata.xml

Version.txt

 

Dodatkowe informacje o problemie

BCCode: 1000008e

BCP1: C0000005

BCP2: 83334870

BCP3: AC2ECB3C

BCP4: 00000000

OS Version: 6_0_6002

Service Pack: 2_0

Product: 768_1

Informacje o serwerze: 115765d7-615d-4fad-b600-d9ba482008e2

 

Dzięki :D

log.txt

Odnośnik do komentarza
jave 7 pobrałem z dobreprogramy.pl , bo nie wiedziałem jak zainstalować ze strony producenta.

 

Otrzymałeś konkretne instrukcje: "(Download JRE > wybór jednego z instalatorów o nazwie "Windows x86...").". To były dwa kliki na stronie, by pozyskać instalator.

 

 

Przedwczoraj kiedy chciałem uruchomić drugi raz GMER'a pojawił mi się bluescreen i zrestartował się komputer.

 

To nie definiuje problemu w systemie.

 

 

Czyli rozumiem, że na chwilę obecną nie ma żadnych szczególnych problemów w systemie?

 

 

 

.

Odnośnik do komentarza

Komputer chodzi. Jest w porządku.

 

Ze strony producenta Java'y pobrałem jeden z plików i po rozpakowaniu niego, nie wiedziałem co dalej zrobić, bo nie było ikonki instalatora. Na tym samym etapie zakończyłem z drugim plikiem... :mellow:

 

Zainstalowałem sobie jednak WTW. Fajny komunikator, szkoda że tak mało znany. Ja o nim pierwszy raz usłyszałem od Ciebie.

 

Dzięki za wszystko :)

Odnośnik do komentarza
Ze strony producenta Java'y pobrałem jeden z plików i po rozpakowaniu niego, nie wiedziałem co dalej zrobić, bo nie było ikonki instalatora.

 

Nie za bardzo potrafię dojść co Ty robiłeś, bo tam na stronie nie ma żadnych archiwów dla Windows tylko od razu instalatory gotowe do uruchomienia przez dwuklik:

 

Java SE Runtime Environment 7 Downloads

 

Windows x86 Online 0.85 MB jre-7-windows-i586-iftw.exe

Windows x86 Offline 19.26 MB jre-7-windows-i586.exe

Windows x64 20.34 MB jre-7-windows-x64.exe

 

Zainstalowałem sobie jednak WTW. Fajny komunikator, szkoda że tak mało znany. Ja o nim pierwszy raz usłyszałem od Ciebie.

 

:)

 

Komputer chodzi. Jest w porządku.

 

Temat będziemy zamykać.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...