Michal0z Opublikowano 23 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2012 Witam Miałem kilka problemów z komputerem - + nie działające ustawienia dot. pulpitu i monitora (nie włącza się wygaszacz ekranu, nie wyłącza się automatycznie monitor, system nie przechodzi w stan uśpienia po "X" minutach mimo zastosowania tych ustawień) + Przy wyłączaniu komputera czasem (ale nie zawsze) pojawiają się tzw. "błędy explorer.exe" i różne inne rodzaje błędów z dużą ilością cyfr i "x" w swojej "nazwie" + Miałem kilka przygód z trojanami i rootkitami (oraz jeden robaczek) - Kaspersky Internet Security 2012 "niby" pozbył się ich, jednak nie jestem co do tego przekonany (tymbardziej, że teraz jego licencja (testowa) się przeterminowała i jestem - można powiedzieć - "słodką kropką dla zagrożeń") + Wydaje się mi, że działanie mojego komputera ma negatywny wpływ na stabilność domowej sieci WI-FI + Sam czasem też potrafię dokonać na kompie rzeczy epickich i nie raz już doprowadziłem system do nieużywalności (choć zawsze znajdowałem czy to pomoc, czy rozwiązanie) + Program do obsługi sterowników (Catalyst Visual Engine coś tam - dawniej "CCC") nie chce się włączać w autostarcie - dopiero ręczne "uruchom jako admin" go uruchamia + Pewne zaufane programy, takie jak: "World of Tanks Client", "Cabal online client", czy pomniejsze programy są nadal wykrywane przez KIS jako zagrożenie - "WOT" jako robak, reszta jako backdoor... więc tak ogólnie, to nie miałem jakiegoś konkretnego, palącego problemu, np. aktywnego, destrukcyjnego wirusa, jednak kolega polecił mi użycie "tak na wszelki wypadek" ComboFixa i podanie utworzonego logu na forum, by ktoś to przeanalizował i stwierdził, że jest wszystko ok, albo pomógł rozwiązać wykryte problemy. No i wyszło szydło z worka - stosując się tylko i wyłącznie do instrukcji na: http://www.bleepingc...uzycia-combofix użyłem programu (bezgranicznie głupi ja). A dopiero teraz czytam tutaj o "daemon Tools" oraz innych zasadach bezpiecznego użycia CF, z pośród których wielu nie podjąłem. Na szczęście - nie wydaje się, żeby coś poszło nie tak, CF utworzył log, system włączył się z powrotem, w folderze kwarantanny są dwa pliki. Tylko podczas wyłączania kompa pojawił się błąd explorer.exe (ale zignorowałem, to, bo, jak już wcześniej napisałem - dość często go widuję, a jego skutków jakoś nie odczuwam). Teraz tylko pozostaje mi prosić o pomoc w analizie logu (nie przepraszam nikogo tutaj, że źle użyłem CF (nie usunąłem DTools z systemu i zrobiłem skan "bez powodu"), bo to tylko moja wina i tylko siebie mogę przeprosić, wiecie, co mam na myśli ;P ). System wydaje się być sprawny po użyciu CF w tym samym stopniu, co przed jego użyciem, choć piszę ten post praktycznie zaraz po tym zajściu, więc możliwe, że jeszcze nie zauważyłem nieprawidłowości (poza tym oczywistymi - domyślne ustawienia systemu, domyślna przeglądarka itd). Należę do tego typu użytkowników "którym się wydaje, że są zaawansowani", jak to w temacie "Dezynfekcja: Użycie programu ComboFix" ktoś mądrze napisał - owszem - jestem zaawansowany w tym sensie, że wiem i umiem dużo więcej od zwykłego niedzielnego "fejsbukowicza", ale w tak krytycznych sprawach (jak ta z CF) jestem tak na prawdę zielony. Przyjmę wszystkie słowa krytyki, bo wiem, co zrobiłem nie tak i nie będę się usprawiedliwiał, "że padłem ofiarą złego propagowania CF w innych miejscach", czy "zdawałem sobie sprawę, co robię, ale zgodziłem się na to...". Po prostu "nieodrobiłem pracy domowej" i tyle. Zamieszczam listę Trojanów i innego ustrojstwa wykrytych (i zneutralizowanych) przez KIS 2012: 1) PDP.Worm.P2P.Generic w: C:\Users\Nazwa_Usera\APPDATA\LOCAL\TEMP\IS-5G3UM.TMP\WOT_INTERNET_INSTALL_EU.TMP (za pierwszym razem kazałem zneutralizować, co skutkowało usunięciem .exe gry - przeczytałem na forach, że wykrycie Worma w tym pliku się zdarza, bo gra korzysta z sieci P2P - uruchomiłem ją więc ponownie i zezwoliłem na działanie (choć nie wiem, czy dobrze zrobiłem) 2) Trojan.Win32.AutoRun.gen w: J:\AutoRun.inf (J:\ to w moim sys jeden z dysków wymiennych) 3) Backdoor.Win32.ZAccess.uca w: H:\Setup.exe//# (H:\ to jeden z napędów DTools) - kaspersky informuje, że "Stan:Nieodnaleziony [KOŃ TROJAŃSKI]" 4) Backdoor.Win32.ZAccess.uca w: H:\Setup.exe//data0018.res//SETUP~1.exe - kaspersky informuje, że "Stan:Nieodnaleziony [KOŃ TROJAŃSKI]" 5) Backdoor.Win32.ZAccess.uca w: H:\Setup.exe - kaspersky informuje, że "Stan:Niezdefiniowany [KOŃ TROJAŃSKI]" 6) Backdoor.Win32.ZAccess.uca w: H:\Setup.exe//data0018.res - kaspersky informuje, że "Stan:Niezdefiniowany [KOŃ TROJAŃSKI]" EDIT: Od wczoraj po użyciu CF zdarzyło się mi kilkakrotnie włączać i wyłączać komputer i zauważyłem, że "błędy explorer.exe", jak i inne, których wymówić nie sposób przestały się pojawiać przy zamykaniu systemu. Konfiguracja sprzętu: Windows 7 Ultimate x64 AMD FX-4100 Quad-Core @ 3.60 GHz, ASUS M5A 78L-M LX V2 8 GB RAM DDR3 @ 1600 MHz (optymalizowanego pod gry) ATI RADEON HD 5570 (HIS) @ 1GB (różne programy np. AIDA32 i CPU-Z pokazują 1,7GB - nie wiem, czy to dobrze) Dźwięk ze zintegrowanej Zasilacz CHIEFTEC 500W model CTG-500-80P LOG z SECURITYCHECK: Results of screen317's Security Check version 0.99.46 Windows 7 x64 (UAC is enabled) Out of date service pack!! Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Kaspersky Internet Security Antivirus out of date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Java 6 Update 30 Java version out of Date! Adobe Flash Player 11.2.202.235 Flash Player out of Date! Adobe Reader X 10.1.0 Adobe Reader out of Date! Mozilla Firefox 13.0.1 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` Kaspersky Lab Kaspersky Internet Security 2012 avp.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` W załącznikach logi z OTL i CF Dziękuję i prosze jeszcze raz o pomoc ComboFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 24 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 W logach nie notuję żadnych śladów infekcji. ComboFix zaś nic szczególnego nie wykonał usuwał tylko te dwa obiekty: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programdata\5B5A46CB11.sys c:\users\Michal0z\AppData\Roaming\chrtmp Folder chrtmp jest upuszczany przez niektóre infekcje natomiast ten plik .sys trudno powiedzieć czy był szkodliwy. Odinstaluj narzędzie w prawidłowy sposób: Wciśnij klawisz z flagą Windows + R następnie wklej i wywołaj polecenie "C:\users\Michal0z\Desktop\ComboFix.exe" /uninstall I pytanie czy istnieje na tą chwilę jakiś problem? Odnośnik do komentarza
Michal0z Opublikowano 24 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 Dziękuję za pomoc i przeanalizowanie logów - na przyszłość będę pisał tylko w przypadku uzasadnionych problemów (i zanim zabiorę się samodzielnie za ComboFix i inne podobne metody) Już usunąłęm CF w sposób opisany w instrukcji. Nie - jeżeli chodzi o infekcje i soft - nie ma problemów. Jest problem z monitorem - napisałem już o tym w dziale "Hardware" oraz jedyny na ten czas grubszy problem dotyczy niestabilności domowego Wi-Fi i podejrzenie, że mój komputer może mieć z tym coś wspólnego (każde jego włączenie powoduje zablokowanie dostępu do internetu (nawet "po kablu") i sieci Wi-Fi na kilka minut. Sam komputer zaś ma problemy z zapamiętywaniem konfiguracji sieci i łączeniem się z nią (ale tylko, za pierwszym razem po wprowadzeniu jakiś zmian/reinstalacji systemu - jak już się uda mu to zapisać, to potem działa (z sensacjami jw.)). Ale to post do osobnego działu. Temat można zamknąć/usunąć. Odnośnik do komentarza
Rekomendowane odpowiedzi