Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Podejrzenie trojana - dziwne zachowanie avasta i przeglądarki po odwiedzaniu stron wiadomej treści ;)

prtcl

Przez prtcl
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

prtcl

prtcl

Opublikowano
Opublikowano

Witam.

 

Włączyłem kompa i zauważyłem, że Avast się nie uruchomił. Z kompa ostatnio korzystał kochany kuzynek, który pod delikatną presją przyznał się, że wchodził na jakieś strony, ale nie chciał się przyznać na jakie, więc wiadomo o co chodzi ;) Na jednej z nich napotkał dziwne zachowanie firefoksa - po wklepaniu adresu i uderzeniu w enter w pasku adresu pojawiał się ponownie adres uprzednio odwiedzonej strony i ta poprzednia strona się jeszcze raz ładowała zamiast tej, na którą chciał wejść (tak jakby odświeżył stronę zamiast wejść na inną), oraz nie dało się nic więcej wpisać w pasku adresu (po wciśnięciu dowolnego klawisza znak pojawiał się na sekundkę i znikał), tak przynajmniej to opisuje młody. Chłopaczyna był uparty, zrestartował przeglądarkę i spróbował ponownie wejść na tą stronę, cały czas ten sam rezultat, próbował też wejść z chrome i dostał info, że strona zablokowała połączenie lub coś podobnego. Wtedy zorientował się, że antywirus (Avast) jest wyłączony. Włączył go, dostał info, że dziękują za aktualizację, wszedł na stronę ponownie z ff - zero zmian, wszedł z Chrome i dostał info, że zablokowało jakiegoś trojana. Tyle mi powiedział. Jak już pisałem po włączeniu kompa przeze mnie Avast się nie odpalił (była usługa w menadżerze, ale nie było ikonki w trayu). Pomyślałem, że to nawet lepiej, bo nie będzie się gryzł z narzędziami diagnostycznymi i czym prędzej przygotowałem logi. Już po wszystkim uruchomiłem ręcznie avasta i wygląda, jakby działał. Spojrzałem mu w ocz... w dzienniki skanowania i nic w nich nie ma (albo avast nie notuje informacji o zablokowanych trojanach, albo je trzyma w miejscu, którego nie widzę). No i to w zasadzie tyle. Proszę o zerknięcie w logi i z góry dziękuję za wszelkie wskazówki :)

 

 Results of screen317's Security Check version 0.99.64  
 Windows 7 Service Pack 1 x64 (UAC is disabled!)  
 Internet Explorer 10  
``````````````Antivirus/Firewall Check:``````````````
avast! Antivirus   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:`````````
 Java 6 Update 39  
 Java 7 Update 21  
 Adobe Flash Player 11.7.700.202  
 Mozilla Firefox (21.0)
 Google Chrome 27.0.1453.110  
 Google Chrome 27.0.1453.94  
````````Process Check: objlist.exe by Laurent````````  
 AVAST Software Avast AvastSvc.exe  
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
 

Tak jeszcze przy okazji - w Gmerze zobaczyłem 2 opcje, których nie było na screenach - 3rd party (zostawiłem odptaszkowane) i Quick scan (odptaszkowała się gdy zaptaszkowałem dysk C). Prosiłbym o info czy zaznaczać je na przyszłość. Ogólnie odniołem wrażenie, że gmer pracuje duuużo dłużej niż gdy go ostatnio używałem, czyli dobry rok temu. To samo się tyczy w zasadzie wszystkich innych narzędzi poza defoggerem.

Extras.Txt

gmer.txt

OTL.Txt

defogger_disable.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie notuję tu żadnych oznak infekcji. Na teraz można podejrzewać, że jednak osłona Web Avasta zatrzymała wykonanie czegoś na stronie. Twierdzisz, że Avast działa, więc chyba się upiekło... Z tym, że ja rzeczywiście nie widzę wpisu Avast w starcie, a być powinien. Proponuję przeinstalować komponenty Avast.

Drobna kosmetyczna sprawa, tzn. usuń wyszukiwarki Ask z obu przeglądarek:
- Internet Explorer: Opcje internetowe > Programy > Zarządzanie dodatkami > Dostawcy wyszukiwania > podświetl Ask i usuń.
- Firefox: rozwiń strzałkę przy pasku szukania > Zarządzaj wyszukiwarkami > usuń Ask.

 

 

Tak jeszcze przy okazji - w Gmerze zobaczyłem 2 opcje, których nie było na screenach - 3rd party (zostawiłem odptaszkowane) i Quick scan (odptaszkowała się gdy zaptaszkowałem dysk C). Prosiłbym o info czy zaznaczać je na przyszłość. Ogólnie odniołem wrażenie, że gmer pracuje duuużo dłużej niż gdy go ostatnio używałem, czyli dobry rok temu. To samo się tyczy w zasadzie wszystkich innych narzędzi poza defoggerem.

 

Tak, są dwie nowe opcje, a opis jest robiony na podstawie starszego GMERa. Te dwie opcje powinny być skonfigurowane tak jak domyślnie to proponuje program, a odznaczenie Quick Scan (nowa opcja powodująca skrócenie czasu skanu) powoduje pełny skan dysku C.

Co do znacznie dłuższej pracy narzędzi: programy mają nowe funkcje, stan systemu też nie jest identyczny jak wcześniej.



.
 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dlaczego wyszukiwarki Ask są szkodliwe? W sumie nie korzystam z nich, ale ciekaw jestem.

 

Nie chodzi o szkodliwość per se lecz sposób ich wchodzenia w system (instalacje wiązane / sponsorowane, adware). Dlatego też gdy je widzę, zalecam usunięcie.

 

 

Ciekaw też jestem zdublowania javy i chrome w raporcie z security check - czy to normalne?

 

1. Detekcja Java jak najbardziej prawidłowa. Definitywnie są tu zainstalowane dwie wersje Java (one się nie zastępują, to dwie różne linie rozwojowe) i starszą odinstaluj:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216039FF}" = Java™ 6 Update 39
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 21

 

2. Natomiast Google Chrome jest wykryte dwa razy, gdyż program prawdopodobnie ocenia foldery wersji w katalogu aplikacji:

 

C:\Program Files (x86)\Google\Chrome\Application\27.0.1453.110

 

Gdy Google Chrome się aktualizuje, tworzy nowy folder wersji, a stary pozostaje na dysku. Prawdopodobnie masz tam po prostu dwa foldery: 27.0.1453.110  + 27.0.1453.94.

 

 

 

.

Odnośnik do komentarza
prtcl

prtcl

Opublikowano
  • Autor
Opublikowano

Avast przeinstalowany. Podczas instalacji oferował mi instalację dysku google ;)

 

Ciekawostka: Teraz kojarzę, że kilka miesięcy temu zmieniałem rozmiary dysków i nie pamiętam jakiego programu ostatecznie użyłem, bo mam dość wyszukany podział na partycje (windows + ubuntu) i chciałem wprowadzić dość duże zmiany i szukałem czegoś, co mi to wszystko obsłuży, testowałem wtedy różne programy działające pod różnymi systemami, w każdym razie pamiętam, że po tej operacji system plików na partycji z windowsem był uszkodzony i chyba zwykły scandisk uruchamiający się przy starcie mu pomógł, ale wyczyścił się autostart. Był tam w sumie tylko jeden programik, którego nie potrzebowałem specjalnie, system w pełni działał, więc olałem to... ale teraz kojarzę, że był tam też Avast i że wtedy miałem wrażenie, że jeszcze czegoś brakuje mi w trayu, ale nie wiedziałem czego... Czyli pewnie od paru miesięcy nie uruchamiało mi się GUI, a ja dopiero teraz zauważyłem przeczulony po tym, jak kuzynek dobrał się do kompa ;) Ale usługa działała, więc skoro logi czyste, to się nie martwię.

 

Wyszukiwarki Ask skasowałem. Ciekaw jestem jak się dostały do przeglądarek, gdyż zawsze skrupulatnie odznaczam wszystkie dodatki podczas instalacji programów.

 

Starą javę również wykasowałem.

 

Co do Chrome, czy to oznacza, że tych katalogów będzie coraz więcej i trzeba je kasować ręcznie, czy starsze się jakoś czyszczą przy kolejnej aktualizacji?

 

. ;)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

ale teraz kojarzę, że był tam też Avast i że wtedy miałem wrażenie, że jeszcze czegoś brakuje mi w trayu, ale nie wiedziałem czego... Czyli pewnie od paru miesięcy nie uruchamiało mi się GUI, a ja dopiero teraz zauważyłem przeczulony po tym, jak kuzynek dobrał się do kompa ;) Ale usługa działała, więc skoro logi czyste, to się nie martwię.

 

Wpis Avast możesz przywrócić do startu importując odpowieni plik REG:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avast"="\"C:\\Program Files\\AVAST Software\\Avast\\avastUI.exe\" /nogui"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

2. Przejdź w Tryb awaryjny Windows (Avast nieczynny) i zaimportuj plik FIX.REG.

 

3. Przejdź w Tryb normalny Windows i potwierdź, że w obszarze powiadomień zgłosiła się ikonka, która otwiera GUI Avast.

 

 

Co do Chrome, czy to oznacza, że tych katalogów będzie coraz więcej i trzeba je kasować ręcznie, czy starsze się jakoś czyszczą przy kolejnej aktualizacji?

 

Nie jestem pewna czy Google Chrome ma jakiś system sprzątania starszych folderów przy aktualizacji. Jeżeli w folderze "Application" jest więcej folderów niż bieżąca wersja, można je ręcznie usunąć.

 

 

 

.

Edytowane przez picasso
9.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...