eksploder Opublikowano 5 Maja 2013 Zgłoś Udostępnij Opublikowano 5 Maja 2013 Witam! Od poprzedniej niedzieli (21.04) usiłuję rozwiązać problem z laptopem (system Windows XP SP2). Po paru dniach poszukiwania przyczyny problemu, podejrzewam, że może to być infekcja rootkitem i dlatego zdecydowałem się wystąpić o Waszą pomoc. Po kolei co się działo. We wspomnianą niedzielę (21.04) tuż po uruchomieniu systemu wyświetliła się prośba o aktualizację wtyczki Flash Player (tak jak zwykle co jakiś czas). Zgodziłem się i zostałem przeniesiony na stronę adobe. Przed kliknięciem „pobierz” można było odznaczyć opcję łącznego zainstalowania dodatków, co zwykłem odznaczać; tym razem jednak zgodziłem się na zainstalowanie McAfee Security Scanner. Tuż po instalacji obu, uruchomiłem ów McAfee by przeskanować system. Pamiętam, że w wynikach było jedno zagrożenie coś ze słowem „web”. Kliknąłem, aby obejrzeć więcej szczegółów zagrożenia – wynik miał się wyświetlić w przeglądarce (na stronie mcafee zapewne). MIAŁ się wyświetlić, ponieważ strony nie udało się otworzyć. Okazało się nagle, że żadne strony się nie otwierają (dostęp do LAN-u pozostał, zanikł dostęp do Internetu). Nie pomógł reset komputera ani karty sieciowej. Dopiero prawdopodobnie odinstalowanie karty z Menedżera urządzeń i zainstalowanie ponowne wyeliminowały brak internetu na laptopie (od tej pory działa). Odinstalowałem wówczas nowo pobraną wtyczkę Flash Player oraz ów McAfee Security Scanner. Wydawało mi się, że wszystko powróciło do normy. Parę dni później podczas korzystania z www nagle BSOD (błąd 0x0000008e). Po jakimś czasie znowu BSOD przy uruchamianiu apletu java na stronie. Odinstalowałem Javę (od Sun) poprzez panel sterowania (prawdopodobnie była to wersja mniej więcej 1.6.0__37). Jednak nie wyeliminowało to javy z systemu, gdyż system posiada oprócz tego preinstalowaną w laptopie wtyczkę IBM Java (Java Web Start) w wersji 1.4.2 (przedpotopowa wersja). Po wielu próbach odkryłem, że wywołanie javaw.exe z tej preinstalowanej od IBM javy powodowało zatrzymanie systemu i błąd BSOD (PAGE_FAULT_IN_NONPAGED_AREA, 0x00000050). Do tej pory w systemie zawsze były dwie javy – w miarę aktualna od Sun oraz ta od IBM, której nie potrafię odinstalować (z zaznaczeniem w jej opcjach, aby nie była domyślną wtyczką dla przeglądarek). Szukając rozwiązania problemu trafiłem m.in na tę informację z bazy MS: http://support.microsoft.com/kb/903251 - zasugerowałem się potencjalnym wirusem. Wykonałem pełny skan drweb z live cd, ale w wynikach oprócz niemożności otwarcia różnych archiwów nie widziałem nic nietypowego. Zamieszczam logi z GMER, OTL, Defogger-a i z SecurityCheck. Przed skanem gmerem zamknąłem ZoneAlarm. Logi: GMER http://wklej.org/hash/7a63ec31906/ OTL http://wklej.org/hash/0fe9ae2ed14/ OTL Extras http://wklej.org/hash/9af87b34512/ Defogger http://wklej.org/hash/251a40c8fda/ Security Check log Results of screen317's Security Check version 0.99.63 Windows XP Service Pack 2 x86 Out of date service pack!! Internet Explorer 6 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! ZoneAlarm ZoneAlarm LTD Toolbar `````````Anti-malware/Other Utilities Check:````````` WinPatrol Out of date HijackThis installed! xp-AntiSpy 3.96-8 Gmer HijackThis 2.0.2 Duplicate Cleaner 1.4.5 Eusing Free Registry Cleaner TweakNow RegCleaner IBM 32-bit Runtime Environment for Java 2, v1.4.2 Java version out of Date! Adobe Reader 7 Adobe Reader out of Date! Mozilla Firefox 17.0.1 Firefox out of Date! Mozilla Thunderbird (3.1.9) Thunderbird out of Date! ````````Process Check: objlist.exe by Laurent```````` WinPatrol winpatrol.exe BillP Studios WinPatrol winpatrol.exe Zone Labs ZoneAlarm zlclient.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` A może problem związany jest głównie z javą? Jak mogę odinstalować tę starą javę od ibm? Nie jestem pewien co dalej robić. Dlatego przychodzę tu prosząc o Waszą pomoc. Odnośnik do komentarza
Landuss Opublikowano 5 Maja 2013 Zgłoś Udostępnij Opublikowano 5 Maja 2013 Logi w żadnym wypadku nie potwierdzają by była jakaś infekcja na tym systemie. Temat zostaje stąd przeniesiony. Tutaj przede wszystkim należy się zająć aktualizacjami bo system ten jest w krytycznym, dziurawym stanie, odcięty od wsparcia Microsoftu: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Zainstaluj jak najszybciej Service Pack 3 + Internet Explorer 8 Należy jednak pamiętać, że wsparcie dla Windowsa XP SP3 kończy się w przyszłym roku i należy powoli myśleć o zmianie systemu na nowszy. Jeśli chodzi o Javę, wszelkie stare szczątki możesz usunąć za pomocą JavaRa, następnie zainstaluj najnowszą wersję Javy (JRE) - Java SE 7 update 21. Po tych działaniach dopiero sprawdź jakie są efekty. Odnośnik do komentarza
picasso Opublikowano 5 Maja 2013 Zgłoś Udostępnij Opublikowano 5 Maja 2013 1. W GMER na dole jest taki odczyt: ---- Disk sectors - GMER 2.1 ----Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 61 !Disk \Device\Harddisk0\DR0 PE file @ sector 156296385 ! Wprawdzie to wygląda na "nieczynne", ale na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller. 2. Po drugie: w systemie jest zainstalowana stara wersja ZoneAlarm. Taki BSOD 0x0000008e jest możliwy z powodu tego oprogramowania. Pozbądź się tego. 3. Diagnostyka BSOD, punkt 5: KLIK. Dostarcz katalog Minidump, o ile nie jest pusty. . Odnośnik do komentarza
eksploder Opublikowano 5 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2013 Na początek dziękuję za szybką odpowiedź. @picasso ad. 1. Ten wpis z gmera też mnie zaniepokoił. Nie był jednak wyróżniony w wyniku na czerwono. Ponadto, przypominam sobie, że coś takiego mogło pozostać ze starej infekcji (jeszcze wówczas rozwiązywane na forum SE (mogę znaleźć link do tematu)). Dołączam log z: Kaspersky TDSSKiller - http://wklej.org/hash/effe0374228/ ad. 2. pozbędę się starego ZA, po zakończeniu ewentualnej dalszej diagnostyki (laptop pozostawiam na razie odpięty od internetu) ad. 3. katalog Minidump – zawiera wyłącznie kilka dość starych logów, brakuje zrzutów z błędów ostatnich „nastu” dni. Plik C:\Windows\MEMORY.DMP – całkowicie pusty (0 bajtów) z datą modyfikacji z końca kwietnia gdy ostatni BSoD mógł się pojawić. We właściwościach systemu w obszarze „Awaria systemu” na liście wyboru „Zapisywanie informacji o debugowaniu” widniało „(brak)” [możliwe, że sam kiedyś przestawiłem, choć nie przypominam sobie tego]. Obecnie ustawiłem na „Zrzut pamięci jądra” tak jak w instrukcji o analizie BSoD. Jak na razie nie udało mi się ponownie wywołać BSoD-u, aby uzyskać nowy wpis w logu zrzutu pamięci (wywołanie javaw.exe jakimś cudem nie powoduje ponownie wcześniejszego błędu; zarówno przy włączonym jak i wyłączonym ZA). Wcześniejsze BSoD-y udało mi się uchwycić zwykłym aparatem fotograficznym. Oto komunikaty błędów (mogę przepisać więcej szczegółów jeśli potrzeba): BSoD 1. (ten błąd był tylko raz) (brak nazwy błędu), STOP: 0x0000008E, plik 36C0B9E23.sys (nie udało mi się tego odnaleźć na dysku) BSoD 2. (ten błąd powtarzał się) PAGE_FAULT_IN_NONPAGED_AREA, STOP: 0x00000050, plik srescan.sys (widzę, że należy do ZA) @Landuss Potwierdzam, dość dawno nie aktualizowałem. Z IE w ogóle od dawna nie korzystam, nie przyszło mi na myśl by wgrywać nowszy. Jak już uda mi się pozbyć tej starej Javy, to poaktualizuję wg wskazówek. (choć osobiście boję się tego trochę – niedawna autoaktualizacja skype „zgubiła” większość historii rozmów...). Widzę jednak, że nie ma sensu dłużej zwlekać. PS. Przy okazji, widzę, że dysk przeszedł na tryb PIO, nie zauważyłem kiedy to się mogło stać. Odnośnik do komentarza
picasso Opublikowano 6 Maja 2013 Zgłoś Udostępnij Opublikowano 6 Maja 2013 Wcześniejsze BSoD-y udało mi się uchwycić zwykłym aparatem fotograficznym. Oto komunikaty błędów (mogę przepisać więcej szczegółów jeśli potrzeba): BSoD 1. (ten błąd był tylko raz) (brak nazwy błędu), STOP: 0x0000008E, plik 36C0B9E23.sys (nie udało mi się tego odnaleźć na dysku) BSoD 2. (ten błąd powtarzał się) PAGE_FAULT_IN_NONPAGED_AREA, STOP: 0x00000050, plik srescan.sys (widzę, że należy do ZA) Te sterowniki widać w raporcie OTL, pierwszy mi nieznany, ale drugi od ZoneAlarm: DRV - File not found [File_System | On_Demand | Stopped] -- c:\documents and settings\admin\ustawienia lokalne\temp\36C0B9E23.sys -- (36C0B9E23)DRV - [2007-01-05 09:50:14 | 000,050,416 | ---- | M] (Zone Labs, LLC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\ZoneLabs\srescan.sys -- (srescan) Tak więc ZoneAlarm tym bardziej do odstrzału. Przy okazji, widzę, że dysk przeszedł na tryb PIO, nie zauważyłem kiedy to się mogło stać. Zapewne skan GMER to odpalił. Odinstaluj kanał na którym jest PIO i zresetuj system. Ten wpis z gmera też mnie zaniepokoił. Nie był jednak wyróżniony w wyniku na czerwono. Ponadto, przypominam sobie, że coś takiego mogło pozostać ze starej infekcji (jeszcze wówczas rozwiązywane na forum SE (mogę znaleźć link do tematu)) To wyjaśnia odczyt. Po leczeniu infekcji w MBR zostają nieczynne ślady w sektorach dysku. . Odnośnik do komentarza
eksploder Opublikowano 20 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2013 Witam ponownie po 2 tygodniach. Zdecydowałem się napisać, gdyż zależy mi na ewentualnej dalszej pomocy z Waszej strony, a nie miałem czasu ostatnio prowadzić wątku. Ze zmianą trybu z PIO poradziłem sobie wg wskazówki. Przeszło w tryb Ultra DMA, czyli ok. Nie poradziłem sobie z pozbyciem się starych szczątków Javy. Próbowałem posłużyć się progr. JavaRa, oto efekt (końcowy log po operacji Remove Java): Object reference not set to an instance of an object.User initialised redundant data purge.......................Removed registry subkey: {08B0E5C0-4FCB-11CF-AAA5-00401C608500}Removed registry subkey: 0357E4991DA5FF14F9615B3412062B04Removed registry subkey: 0357E4991DA5FF14F9615B3612062B04Removed registry subkey tree: JavaSoftRemoval routine completed successfully. 4 items have been deleted.User initialised redundant data purge.......................Removed registry subkey tree: JavaPlugin.160_37Removal routine completed successfully. 5 items have been deleted. Zrozumiałem z tego, że udało się pozbyć szczątków javy od Sun 6 update 37, natomiast pozostałości po starej wtyczce IBM Java Runtime 1.4.2 nadal nie zostały usunięte. Tak teraz wygląda sytuacja z Javą: próba uruchomienia apletu java na stronie internetowej kończy się informacją od przegląrki koniecznością zainstalowania plug-in'u (czyli tak jakby ta wtyczka Java od IBM nie była aktywna?). Na dysku pozostają pliki Javy IBM-owskiej w lokalizacjach: - c:\Program Files\IBM\Java142\ ---> tutaj pełne katalogi plików jre\ bin, javaws, lib; - c:\WINDOWS\IBM\Java\Deployment\ ---> pozostał wyłącznie niniejszy pusty katalog; - c:\Documents and Settings\admin\Dane aplikacji\IBM\Java\Deployment\ ---> wiele katalogów, większość pustych, pozostał m.in. plik deployment.properties (i kilka innych plików po kilka kB); oraz od javy Sun-owskiej: - c:\Documents and Settings\admin\Dane aplikacji\Sun\Java\ ---> w nim m.in. katalog Deployment i inne katalogi z plikami W panelu sterowania w dodaj/usuń programy nadal widnieje wpis "IBM 32-bit Runtime Environment for Java 2, v1.4.2". Próbowałem już wcześniej (zanim rozpocząłem wątek, ponad 2 tyg temu) odinstalować przez panel sterowania - uruchomił się (de)instalator, przeszedł pasek postępu, następnie info że deinstalacja przebiegła pomyślnie i... nic się nie zmieniło (wpis pozostał, pliki wtyczki w Program Files pozostały). Zastanawiam się czy mogę powyższe pousuwać ręcznie, skoro przeglądarki (Fx i Opera) już nie widzą javy. Ewentualnie mogę spróbować jeszcze coś takiego. W katalogach backupowych od IBM-a jest oryginalny plik instalacyjny javy 1.4.2 - zainstalować od nowa, aby nadpisać popsutą wtyczkę i spróbować ponownie odinstalować (ale czy to nie narobi za dużo zamieszania?). Trochę utknąłem na tym etapie, proszę o ewentualne wskazówki co do pozbycia się javy. Pozdrawiam! PS. W pozostałym czasie powoli zwalniam miejsce na dysku, aby móc wkrótce spokojnie dokonać uaktualnień. Odnośnik do komentarza
Anonim8 Opublikowano 21 Maja 2013 Zgłoś Udostępnij Opublikowano 21 Maja 2013 Zastanawiam się czy mogę powyższe pousuwać ręcznie, skoro przeglądarki (Fx i Opera) już nie widzą javy. Oczywiście że możesz. Potem instalacja najnowszego oprogramowania. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się