piwarium Opublikowano 19 Stycznia 2014 Zgłoś Udostępnij Opublikowano 19 Stycznia 2014 Mój problem jest dość złożony, więc z góry uprzedzam, że opis będzie nieco rozbudowany. Mam jednak nadzieję, że uda mi się w nim zawrzeć i precyzyjnie opisać wszystko co udało mi się zauważyć. Komputer: Fujitsu Siemens Amilo Pro 3505, Intel T2050 @ 1.60 GHz, 1 GB RAM, system Windows XP Professional, wersja 2002, SP3 Od pewnego czasu komputer zaczął chodzić coraz wolniej, co jak przypuszczam mogło być efektem dawno nie robionego defragmentowania dysku i nagromadzonych śmieci (cache, pliki tymczasowe). Przy przeglądaniu stron z filmikami, zaczął mi wyskakiwać błąd "Wtyczka Shockwave Flash uległa awarii". Obciążenie procesora przy pracy firefoxa dochodziło do kosmicznych rozmiarów, na tyle, że komputer potrzebował czasem kilku-kilkunastu minut, żeby to przetworzyć i się odciąć. Nigdy nie miałem na tym komputerze antywirusa - co kilka miesięcy, do roku, robiłem skan antywirusem online, który nigdy nie znajdował żadnych podejrzanych plików. Jakiś czas temu przytargałem wirusa, który według informatyka z mojej pracy jest możliwy do usunięcia jedynie przy pomocy antywirusa SmadAV. Wirus ten powoduje utworzenie na pamięciach przenośnych oraz partycjach innych niż systemowa plików "Recycler" oraz "System Volume Information", a do tego często uniemożliwia autoodtwarzanie i sporadycznie tworzy skróty do folderów znajdujących się na pamięciach przenośnych. Pobrałem zatem SmadAV 9.5, jednak nie wykrył on żadnego wirusa. Niestety nie mam logów z tego skanowania. Pobrałem i zainstalowałem także Malwarebytes, który to program po przeskanowaniu usunąłem - ten również nie znalazł niczego podejrzanego. Jakieś dwa dni później, po powyższych operacjach, z pulpitu zniknęło mi parę ikon (m.in. firefox). Dodatkowo w menu start zniknęły mi niemal wszystkie zainstalowane programy, mimo, że nadal istnieją one na komputerze. Z dwóch kolumn po rozwinięciu listy programów, zrobiło mi się raptem parę wierszy. Zauważyłem także, że jakimś cudem system "zaktualizował" się do wersji z SP2. Nie wiem czemu, skoro płyta instalacyjna zawiera SP3. Ta aktualizacja z pewnością wykonała się przed moimi ostatnimi manewrami na komputerze. Wczoraj pobrałem SP3 i zainstalowałem, więc już jest ok, choć ciężko mi ustalić przyczynę, dla której coś takiego się stało samoistnie. W "dodaj/usuń programy" mam mnóstwo rzeczy takich jak: microsoft .net framework, microsoft sql server, microsoft visual c++, msxml 4.0 SP2... po instalacji windowsa tego nie było... Do tego po rozwinięciu "pokaż aktualizacje" lista zainstalowanych programów wydłuża się kilkukrotnie. Nigdy nic z tego nie instalowałem, a wszystko musiało się instalować z automatu, choć nie wiem kiedy. Miałem wyłączone automatyczne aktualizacje. Przy okazji, po ostatnich zabiegach opisanych powyżej, zresetowały mi się niektóre ustawienia, takie jak właśnie automatyczne aktualizacje, czas po którym włącza się wygaszacz, czy pasek szybkiego uruchamiania, który miałem ukryty. W tle dzieją się jakieś procesy - nawet gdy nic nie robię, słychać, że dysk pracuje, a co jakiś czas na ułamek sekundy mignie mi okienko wyglądem przypominające cmd. Po uruchomieniu komputera w managerze zadań mam avguard.exe, który dość mocno obciąża mi procesor. Jedyny antywirus jaki teraz jest to Avira, z wyłączoną funkcją aktywnej ochrony (powinna działać tylko po ręcznym wywołaniu skanowania). Tuż przed założeniem tego wątku zrobiłem pełny skan Avirą, która wykryła 8 podejrzanych plików, lecz żaden z nich nie ma związku z wirusem, o którym wspomniałem wcześniej. Aha - tego avguard.exe nie da się wyłączyć - odmowa dostępu. Zresztą cała lista procesów jest dużo dłuższa niż była na początku, a większość z tych procesów jest mi nieznana i nie pochodzi od żadnych zainstalowanych przeze mnie programów. Na komputerze, od ostatniego formatu instalowałem raptem parę programów (AutoCAD, Filezilla, Unlocker, odtwarzacze multimediów - nic podejrzanego, co mogłoby zainstalować mi jakieś niechciane rzeczy), wszystko z zaufanych źródeł, czyli albo oryginalna płyta albo ze strony typu dobreprogramy.pl - żadnych torrentów czy czegoś takiego. A, i jeszcze ta wtyczka shockwave flash. Nie ma jej w dodaj/usuń programy, więc spodziewałem się, że jest dodatkiem do firefoxa i problem się rozwiąże po usunięciu i zainstalowaniu przeglądarki. Niestety problem się powtarza, a do tego ten sam efekt jest także w chrome, gdzie skoro to jest wtyczka do danej przeglądarki, problem nie powinien się przenosić. Załączam logi, które wykonałem oraz raport z Aviry (oryginalnie miał rozszerzenie .log, ale zmieniłem na txt, bo nie mogłem załączyć, a i tak chodzi tylko o jego treść). Mam nadzieję, że o niczym nie zapomniałem. Będę bardzo wdzięczny za pomoc edit: Nie mogę uruchomić programów, które zniknęły mi z listy. Co więcej, przykładowo chomikbox widnieje jako aktywny proces w managerze zadań, lecz nie ma go jako zadanie. Nie ma go też w pasku, ani nie można go uruchomić poprzez "nowe zadanie". Obawiam się, że to samo może być z pozostałymi programami, a przynajmniej nie wiem jak można je wywołać bez jakiegokolwiek odnośnika (bezpośrednio z program files nie ruszają) Addition.txt Extras.Txt FRST.txt OTL.Txt AVSCAN-20140119-120406-BBD2932A.txt Odnośnik do komentarza
picasso Opublikowano 20 Stycznia 2014 Zgłoś Udostępnij Opublikowano 20 Stycznia 2014 Na razie nie widzę tu żadnych śladów aktywnej infekcji, choć nie dodałeś obowiązkowego GMER (żaden z podanych raportów nie zastąpi tego skanu). Jest adware w stanie odpadkowych (szczątki po Mobogenie i Conduit), ale to nie ma znaczenia dla opisywanych problemów, tym się zajmę potem, o ile w ogóle, gdyż: Od pewnego czasu komputer zaczął chodzić coraz wolniej, co jak przypuszczam mogło być efektem dawno nie robionego defragmentowania dysku i nagromadzonych śmieci (cache, pliki tymczasowe). Przy przeglądaniu stron z filmikami, zaczął mi wyskakiwać błąd "Wtyczka Shockwave Flash uległa awarii". Tu się klaruje całkiem inny problem, czyli sprzętowy, gdyż Dziennik zdarzeń notuje błędy złych bloków dysku: [ System Events ] Error - 2014-01-19 07:11:34 | Computer Name = X-9F0456650C3E4 | Source = Disk | ID = 262151 Description = W urządzeniu \Device\Harddisk0\D wystąpił zły blok. Jest tu jeden dysk fizyczny podzielony na dwie partycje: ==================== Drives ================================ Drive c: () (Fixed) (Total:16.82 GB) (Free:1.31 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:39.07 GB) (Free:6.36 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 56 GB) (Disk ID: 6EC97CA4) Partition 1: (Active) - (Size=17 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=39 GB) - (Type=OF Extended) Temat przesuwam do działu Hardware. Dodaj materiały wymagane przez ten dział: KLIK. Zrzut ekranu z diskmgmt.msc możesz opuścić, gdyż układ dysku i partycji jest już zacytowany powyżej. Wyniki diagnostyki dysku zdecydują co dalej, czy jest tu w ogóle sens prowadzić te drobne działania czyszczenia śmieci. Jeśli dysk będzie w złym stanie, możliwe są agresywne działania, włącznie z wymianą dysku i stawianiem systemu na nowo. I już teraz kopiuj cenne rzeczy na inne nośniki, bo nie wiadomo czy nie nastąpi niespodziewana utrata danych. Po uruchomieniu komputera w managerze zadań mam avguard.exe, który dość mocno obciąża mi procesor. Jedyny antywirus jaki teraz jest to Avira, z wyłączoną funkcją aktywnej ochrony (powinna działać tylko po ręcznym wywołaniu skanowania). Tuż przed założeniem tego wątku zrobiłem pełny skan Avirą, która wykryła 8 podejrzanych plików, lecz żaden z nich nie ma związku z wirusem, o którym wspomniałem wcześniej. Aha - tego avguard.exe nie da się wyłączyć - odmowa dostępu. Zresztą cała lista procesów jest dużo dłuższa niż była na początku, a większość z tych procesów jest mi nieznana i nie pochodzi od żadnych zainstalowanych przeze mnie programów. - Proces avguard.exe jest od Avira, proces jest niezabijalny, gdyż antywirus ochrania swoje komponenty. Większość antywirusów stosuje taką blokadę, by się nie dało ubić antywirusa w banalny sposób. Obecność tego procesu wskazuje, że jednak jest czynny ten komponent. By się go pozbyć kompletnie, należy wejść w Dodaj/Usuń programy i zmodyfikować instalację Avira deinstalując komponent strażnika. - W procesach nie widzę nic podejrzanego, poprawne rzeczy, więc o które Ci konkretnie chodzi z tej listy: ==================== Processes (Whitelisted) =================== (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Sun Microsystems, Inc.) C:\Program Files\Java\jre6\bin\jqs.exe (Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe (Nero AG) C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nitro PDF Software) C:\Program Files\Nitro PDF\Reader\NitroPDFReaderDriverService.exe (Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe () C:\Program Files\Launch Manager\LaunchAp.exe (Wistron) C:\Program Files\Launch Manager\HotkeyApp.exe () C:\Program Files\Launch Manager\WButton.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe (Intel Corporation) C:\WINDOWS\system32\igfxtray.exe (Intel Corporation) C:\WINDOWS\system32\hkcmd.exe (Intel Corporation) C:\WINDOWS\system32\igfxpers.exe (Motorola Inc.) C:\WINDOWS\sm56hlpr.exe (Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe () C:\Program Files\Unlocker\UnlockerAssistant.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe ( ) C:\Program Files\ChomikBox\chomikbox.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe (Google Inc.) C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (OldTimer Tools) C:\Documents and Settings\x\Moje dokumenty\Downloads\OTL.exe (Google Inc.) C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe A, i jeszcze ta wtyczka shockwave flash. Nie ma jej w dodaj/usuń programy, więc spodziewałem się, że jest dodatkiem do firefoxa i problem się rozwiąże po usunięciu i zainstalowaniu przeglądarki. Niestety problem się powtarza, a do tego ten sam efekt jest także w chrome, gdzie skoro to jest wtyczka do danej przeglądarki, problem nie powinien się przenosić. Google Chrome ma wbudowane własne wtyczki, które są integralną częścią przeglądarki, nie można ich deinstalować / reinstalować tak jak to ma miejsce dla innych przeglądarek. Aktualizacja wtyczek zachodzi podczas instalacji całego Google Chrome. Jakiś czas temu przytargałem wirusa, który według informatyka z mojej pracy jest możliwy do usunięcia jedynie przy pomocy antywirusa SmadAV. Wirus ten powoduje utworzenie na pamięciach przenośnych oraz partycjach innych niż systemowa plików "Recycler" oraz "System Volume Information", a do tego często uniemożliwia autoodtwarzanie i sporadycznie tworzy skróty do folderów znajdujących się na pamięciach przenośnych. Polecenie indonezyjskiego Smadav, który jest jakimś podrzędnym niszowym rozwiązaniem, jest dziwne. Reputacja tego programu jest też kwestionowalna. Od takich mało znanych dziwactw trzymać się z daleka. - Ukryty folder "System Volume Information" należy do Przywracania systemu (KLIK) i jest tworzony na wszystkich dostępnych dyskach, nawet przenośne USB mogą być dotknięte tym procesem. - Ukryty folder RECYCLER to Kosz tworzony na wszystkich dostępnych dyskach na partycjach NTFS. Każdy dysk ma własny Kosz, a to co jest na Pulpicie to tylko wirtualny skrót. Owszem, ten folder może być wykorzystywany przez infekcję, ale to diagnozuje się sprawdzając zawartość folderu, a nie oceniając samą jego obecość (która jest normalna na systemie XP). Owszem, są tu ślady, że coś uruchamiało się z Koszy podpinanych urządzeń, gdyż historia mapowania urządzeń USB wykazuje autorun.exe: MountPoints2: {2a5f34e5-820a-11e0-9ebb-000ae4b7c32d} - I:\RECYCLER\autorun.exe MountPoints2: {97037d5a-a8c5-11e1-a152-000ae4b7c32d} - F:\RECYCLER\autorun.exe MountPoints2: {ac3f66a6-459d-11e1-a04e-0013024b18b0} - G:\RECYCLER\autorun.exe Co jest na urządzeniach USB jest na razie nie do stwierdzenia na podstawie podanych tu raportów, gdyż raporty dedykują tylko dysk systemowy. Jakieś dwa dni później, po powyższych operacjach, z pulpitu zniknęło mi parę ikon (m.in. firefox). Dodatkowo w menu start zniknęły mi niemal wszystkie zainstalowane programy, mimo, że nadal istnieją one na komputerze. Z dwóch kolumn po rozwinięciu listy programów, zrobiło mi się raptem parę wierszy. Wątpię by to było związane z infekcją. Ten efekt może pochodzić z następujących powodów: - Uszkodzenie konta. - Przekierowane ścieżek Desktop i Menu Start. - Rzeczywiste opróżnienie / uszkodzenie folderów. Jako że stan dysku jest tu mocno podejrzany, to może być pierwszy znak nadchodzących kłopotów grubszego kalibru. Na komputerze, od ostatniego formatu instalowałem raptem parę programów (AutoCAD, Filezilla, Unlocker, odtwarzacze multimediów - nic podejrzanego, co mogłoby zainstalować mi jakieś niechciane rzeczy), wszystko z zaufanych źródeł, czyli albo oryginalna płyta albo ze strony typu dobreprogramy.pl - żadnych torrentów czy czegoś takiego. Jeśli chodzi o dobreprogramy.pl, to przeczytaj wątek o "Asystencie pobierania": KLIK. Te szczątki Mobogenie w Twoim systemie wyglądają na skutki uruchomienia "Asystenta" (on ostatnio próbuje to szmuglować), o ile oczywiście Mobogenie nie instalowałeś celowo. Również przeczytaj co się aktualnie dzieje z FileZilla i skąd pobierać, by się nie nadziać na sponsorów w instalacji. Zauważyłem także, że jakimś cudem system "zaktualizował" się do wersji z SP2. Nie wiem czemu, skoro płyta instalacyjna zawiera SP3. Ta aktualizacja z pewnością wykonała się przed moimi ostatnimi manewrami na komputerze. Wczoraj pobrałem SP3 i zainstalowałem, więc już jest ok, choć ciężko mi ustalić przyczynę, dla której coś takiego się stało samoistnie. (...) Przy okazji, po ostatnich zabiegach opisanych powyżej, zresetowały mi się niektóre ustawienia, takie jak właśnie automatyczne aktualizacje, czas po którym włącza się wygaszacz, czy pasek szybkiego uruchamiania, który miałem ukryty. Czy była używana opcja Reperacja z płyty instalacyjnej XP i to innej płyty niż użyta do instalacji Windows? Mówisz, że Twoja płyta instalacyjna zawiera SP3, po czym to oceniasz, czy płyta była robiona ręcznie? W "dodaj/usuń programy" mam mnóstwo rzeczy takich jak: microsoft .net framework, microsoft sql server, microsoft visual c++, msxml 4.0 SP2... po instalacji windowsa tego nie było... Do tego po rozwinięciu "pokaż aktualizacje" lista zainstalowanych programów wydłuża się kilkukrotnie. Nigdy nic z tego nie instalowałem, a wszystko musiało się instalować z automatu, choć nie wiem kiedy. Miałem wyłączone automatyczne aktualizacje. Nie widzę tu nic dziwnego. Część rzeczy mogły wymusić inne programy, które do pracy wymagają .NET Framework czy Visual C++. A reszta aktualizacji musiała się jednak zainstalować w jakiś sposób i tu logiczniejszym jest przypuścić, że jednak na konkretnym etapie działania systemu Automatyczne aktualizacje były włączone. I nie wiem jaki jest cel unikania aktualizacji, skoro system musi być aktualizowany (antywirus w żaden sposób nie zastąpi tych zabezpieczeń), tym bardziej, że już tuż tuż nie będzie żadnych, XP zostanie na lodzie ze względu na zakończenie supportu dla tej platformy: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się