Skocz do zawartości

Ponowny problem/infekcja po reinstalacji


Rekomendowane odpowiedzi

Witam,

 

przeinstalowałem system xp, importowałem wszystkie dane m.in zakładki, poczte w oe6, baze danych do programu profesor henry  i  po około tygodniu zaczeło się od nowa, klawiatura na użytkowniku na którym pracuje wyłancza sie z dzwiekiem alarmowym, nie wiem co będzie dalej ale ostatnio jak to miałem to niektóre foldery zmieniały uprawnienia dostępu w programie profesor henry, chyba nawet niektóre 2, 3 foldery (z archiwum m.in zakładki, poczta, pliki excell które potem zgrywam na płyte) zmieniły nazwy, sam profesor henry po jakimś czasie walki z prawami dostępu przestał się uruchamiać tzn wyskakiwały jakieś błedy..

 

na innym użytkowniku i na uruchomieniu awaryjnym wszystko w tym momencie jak na razie działa bez zmian..

 

comodo, eset online, mbam free nic na razie nie wykryły..

 

adwcleaner pokazuje coś w zakładce foldery, i w zakładce chrome a jest to ścieżka do niedawno utowrzonego folderu extensions w chrome, najdziwniejsze to ten folder w chrome ma  w sobie pliki z datą modyfikacji mniej więcej tą samą kiedy to wszystko się zaczęło (14.04.2014) czyli jeszcze sprzed przeinstalowania systemu i zainstalowania przeglądarki na nowo- czy to może mieć jakiś związek? <dodaje że folder już usunął tak jak chciał adwarecleaner>

 

 

Jedyne co mogło być podejrzane to dziwny e-mail żadający potwierdzenia przez nadawce z załącznikiem kilka dni temu, ale nacisnąłem "nie" i zaraz go wykasowałem <tzn jest jeszcze na serwerze>... tak poza tym to otiwerałem poczte, pliki excella, program profesor henry, serfowałem z chrome nic szczególnego nie robiłem

 

Proszę o pomoc bo nie wiem co by tu począc..

 

Pozdrawiam,

Slawek

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Witam,
zapoznaj się prosze z zasadami działu:
1. https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
2. https://www.fixitpc.pl/forum-38/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/
3. https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/

Przeczytaj wszystko dokładnie by niczego nie popsuć.
Postepujac zgodnie z powyzszymi instrukcjami - dołącz 6 wymaganych logów.
Jak coś nie bedzie chciało sie uruchomić - to odpal system w trybie awaryjnym i wtedy zrób logi.
Jeśli z czymś bedzie problem - pisz w poście.
Po wrzuceniu logów nie dokonuj już żadnych zmian na kompie - logi muszą być aktualne.
Przeczytaj dokładnie info na temat GMERa - zwłaszcza jak masz windows XP - jak komp zwolni to pewnie przestawiło sie DMA na PIO (masz o tym info przy instrukcji GMER).
Jak coś zmieniasz w poście to używaj opcji EDYTUJ by był porządek.
Czekaj cierpliwie na pomoc.

Odnośnik do komentarza

jeszcze mam jedno małe pytanie, jeżeli problemy pojawiają się na ten moment na użytkowniku a na adminie jeszcze jest spokój to czy wystarczą logi z admina czy próbować wejść na użytkownika?

no taK zrobiłem logi ale podczas skanowania GMEREM wyskakuje błąd w trakcie skanowania device\cdrom0\ i pisze program uległ awarii i zostanie zamknięty, usługi stdp wyłaczyłem wcześniej za pomocą DEFOGGERa

ok doczytałem, jeszcze spróbuje w trybie awaryjnym

...jeszcze dodam jedną rzecz którą zauważyłem - mianowicie w zakładce zabezpieczenia, sporo/ale nie wszystkie pliki mają dodanego jakiegoś dodatkowego nieznanego użytkownika przy prawach dostępu, i mówie tu o plikach które utowrzyłem po reinstalacji <możliwe że zmieniłem 1 z adminów na użytkownika z ograniczeniami i tak się porobiło>,

... na upartego mogę przeinstalować system lub lepiej przywrócić do stanu sprzed kilku dni, tyle że to może nie rozwiązać nawrotów infekcji, = nie mam pojęcia które pliki mogą być zarażone (jeżeli wogóle to jest infekcja!) na poza systemowych partycjach czy w backapach

FRST.txt

Addition.txt

OTL.Txt

Extras.Txt

gmer.txt

gmerawaryjny.txt

Odnośnik do komentarza

dzięki, dodam jeszcze tylko że w tym momencie wszedłem na użytkownika - zaktualizowałem i uruchomiłem mbam dla całego dysku, odpiąłem od sieci, zrobiłem kilka operacji i ciach klawiatura wyłączyła się z pojedynczym bipem, gdzie na adminie chodziła bez problemowo, a jak próbowałem wejść do któegokolwiek dysku to mi po dwukliku wywalało właściwości tego dysku jedynie- teraz już jest normalnie, ale za to nie da się uruchomić na użytkowniku plików z poziomu administratora, pisze że brak dostępu...

Odnośnik do komentarza

W raportach brak oznak infekcji.

 

 

 

jeżeli problemy pojawiają się na ten moment na użytkowniku a na adminie jeszcze jest spokój to czy wystarczą logi z admina czy próbować wejść na użytkownika?

 

Wbrew temu co zasygnalizował Rucek logi zawsze muszą być robione z poziomu konta na którym jest problem. Będąc zalogowanym na koncie, gdzie problem nie występuje, może pewnych rzeczy nie być widać (m.in. są skanowane ustawienia przeglądarki tylko konkretnego konta). Toteż poproszę o nowe logi FRST zrobione z poziomu konta użytkownika. Jednakże podejrzewam, iż tam też nic ciekawego się nie pokaże.

 

 

adwcleaner pokazuje coś w zakładce foldery, i w zakładce chrome a jest to ścieżka do niedawno utowrzonego folderu extensions w chrome, najdziwniejsze to ten folder w chrome ma w sobie pliki z datą modyfikacji mniej więcej tą samą kiedy to wszystko się zaczęło (14.04.2014) czyli jeszcze sprzed przeinstalowania systemu i zainstalowania przeglądarki na nowo- czy to może mieć jakiś związek?

Zaprezentuj również log AdwCleaner, jest w katalogu C:\AdwCleaner. Brak danych co zostało wykryte, choć ja przypuszczam, iż był to komponent "AdTrustMedia":

 

 

HKLM\...\Run: [PrivDogService] => C:\Program Files\AdTrustMedia\PrivDog\2.1.0.23\trustedadssvc.exe [663208 2014-04-29] (AdTrustMedia)

 

... czyli część COMODO Internet Security: KLIK. Detekcja ta w AdwCleaner to fałszywy alarm.

 

 

 

ale za to nie da się uruchomić na użytkowniku plików z poziomu administratora, pisze że brak dostępu...

 

To normalne, separatywność kont oraz mniejszy zakres uprawnień konta z poziomu którego chcesz wejść do ścieżki konta o uprawnieniach administracyjnych.

 

 

 

importowałem wszystkie dane m.in zakładki, poczte w oe6, baze danych do programu profesor henry i po około tygodniu zaczeło się od nowa, klawiatura na użytkowniku na którym pracuje wyłancza sie z dzwiekiem alarmowym, nie wiem co będzie dalej ale ostatnio jak to miałem to niektóre foldery zmieniały uprawnienia dostępu w programie profesor henry, chyba nawet niektóre 2, 3 foldery (z archiwum m.in zakładki, poczta, pliki excell które potem zgrywam na płyte) zmieniły nazwy, sam profesor henry po jakimś czasie walki z prawami dostępu przestał się uruchamiać tzn wyskakiwały jakieś błedy..

 

Póki co, nie sądzę by tu w ogóle był problem infekcji. Nie wykluczam, iż część problemów tworezy COMODO Internet Security.

 

 

 

...jeszcze dodam jedną rzecz którą zauważyłem - mianowicie w zakładce zabezpieczenia, sporo/ale nie wszystkie pliki mają dodanego jakiegoś dodatkowego nieznanego użytkownika przy prawach dostępu, i mówie tu o plikach które utowrzyłem po reinstalacji ,

 

Czy te pliki były kopiowane z poprzedniego systemu? Jeśli tak, to to tajemnicze konto to poprzednie konto sprzed reinstalacji, martwe.

 

 

 

.

Odnośnik do komentarza

Witam Picasso, jestem pełen podziwu dla wiedzy i umiejętności :)

Coś z systemem a właściwie z kontem użytkownika było nie halo, lecz na ten moment ucichło - dziwne!

Domniemana *obecna* infekcja to przede wszystkim -na pewno wywaliło klawiature jak coś pisałem na Fejsie, a potem to już cały czas wywalało. Po przeinstalowaniu systemu chwile (jakieś 2 tygodnie) było ok i teraz znowu to samo od nowa  :( We *wcześniejszej* infekcji oprócz tej klawiatury były zmiany uprawnień i niektórych folderów tak że nie dało się uruchamiać niektórych programów (głównie prof henry). Potem zainstalowałem od nowa i odzyskałem kilka baz danych m.in elisoft, prof. hemry, genie back up=outlook express, i używałem plików xls, doc z archiwizacji wykonanej już po uprzedniej domniemanej infekcji.

Jeżeli chodzi o adware to sądzę że masz racje -nic specjalnego tam pewnie nie było.

Jeżeli chodzi o Comodo to faktycznie nieźle miesza i wrzuca pliki windowsa do piaskownicy jako nieznane i robi inne dziwne rzeczy, tak że masakra nieziemska -= jestem w stanie przypuścić że część objawów jest z jego winy, ale pewnie nie wszystkie. Największy problem będę miał z wywalającą się klawiaturą (klaiwatura usb podpięta przez złączke do zwykłego gniazda klawiatury) tylko i wyłącznie na tym konkretnym rzekomo zarażonym użytkowniku.

Pozdrawiam,

S.



Logi z adwcleanera zamieściłem z ostatniego skanu + kwarantanna wszystkich poprzednich poniżej.



 

AdwCleanerS3.txt

Quarantine.txt

Odnośnik do komentarza
  • 2 tygodnie później...

Ufffffff......

Problem jak na razie rozwiazany,

-klawiature wywalało bo najprawdopobniej padła złaczka usb>ps2, co dziwne na adminie jeszcze działała! I to spowodowało cały ambaras :///
-nie dało się uruchomić programów skanujących tybu frst jako admin z poziomu użytkownika bo było wyłączone logowanie pomocnicze -sam nie wiem kiedy i jak zostało wyłacozne, może to ja niechcący :/
- nazwe folderu sam zmieniłem ale w stresie zupełnie o tym zapomniałem,

- nie da się wyjaśnić tylko dlaczego niektóre foldery (konkretnie prof. henry)zmieniły prawa dostępu i dlaczeo się przestał uruchamiać,lub uruchamiał z błedami, a i odinstalować się całkowicie go nie dało bo zostawił jakieś pliki na dysku bez możliwości usunięcia,

- do tego nałożyły się inne niewyjaśnione problemy pozakomputerowe, ale o tym może się nie będę już rozpisywał :/

Sam comodo coś świruje, albo nie wiem o co biega że wywala pliki windowsa jako nierozpoznane do pisakownicy :/

Pozrawiam.

slawek

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...