vika6 Opublikowano 18 Grudnia 2010 Zgłoś Udostępnij Opublikowano 18 Grudnia 2010 Witam wszystkich! Jest to mój pierwszy post na FixitPC - więc chciałam skorzystać z okazji i podziękować Piccasso za wspaniałe - fachowe i wyczerpujące - tutoriale, które mnie w to miejsce kiedyś po raz pierwszy sprowadziły. Już wtedy zdecydowałam, ze jezeli będę potrzebować pomocy w czyszczeniu infekcji - poproszę o nią właśnie tu. No i taka okazja się właśnie zdarzyła. Podstawowa konfiguracja mojego kompa: Mam 2 HDD z zainstalowanymi na osobnych dyskach fizycznych - 2 OS-ami : * Windows XP x32 bit (ostatnio od 2.12.2010) ** Windows 7 x64 bit (od 06.2010) 1./ Mój główny system (Widows 7) przestał być dyspozycyjny (koszmarne spowolnienie - mimo rygorystycznej kontroli autostartu, problemy z eksplorerem i menu kontekstowym, wywoływanym prawoklikiem; wreszcie zawieszanie się i zamykanie się eksploprera po kilku zaledwie minutach pracy) {Na marginesie : w trybie awaryjnym wszystko działa mniej więcej OK}. Mam wiele zainstalowanych programów (system i programy to prawie 60GB), więc problem mogła oczywiście powodować ich narastająca wzajemna niekompatybilność. 2./ Ale... Od momentu kiedy dysfunkcja systemu stała się wyraźna - nic nowego na nim już nie insnstalowałam, a problemy się dalej pogłębiały. Dlatego PO RAZ PIERWSZY w życiu skorzystałam ze skanerów ON-LINE - bo moje rezydentne programy (Norton, Malwarebytes, SpyBlaster i ThreatFire , a na XP - Panda) nie dawały o sobie znać zbyt często. 3./ Skanowania skanerami online (A-SQUARED, BIT DEFENDER, HOUSECALL, MKS_VIR, PANDA ACTIVE SCAN oraz ESET) musiały być wykonywane z poziomu Windows XP, bo w W7 zawieszał się zaraz eksplorer, a w trybie awaryjnym W7 nie działała obsługa sieci. Ku mojemu osłupieniu - kolejne skanowania wykrywały mnóstwo różnych infekcji (wirusy, trojany, backdoory, keyloggery itd), które każdorazowo były usuwane. Mimo to każdy następny skaner, a nawet kolejne skanowanie tym samym skanerem wykrywało znowu coś nowego (m.in. skaner HouseCall wykrył 136 ukrytych plików (type: rootkits), które także usunął). Zachowałam wszystkie raporty z przeprowadzonych skanów wraz z wykazem znalezionych infekcji - więc w razie potrzeby mogę je udostępnic. Analiza wyników wykazała, że mój komputer był zainfekowany od bardzo, bardzo dawna ! ** Wiele zainfekowanych plików - były to przechowywane w moim archiwum, często od kilku już lat (i nigdy nie uruchomione) - pliki wykonywalne różnych programów. Przetrwały one 2 zmiany komputerów, wielokrotne reinstalacje OS-ów oraz skanowania zainstalowanymi w kolejnych latach kombajnami typu Internet Security !!! ** Było jednak też trochę zainfekowanych plików wśród programów w Program Files, zainstalowanych zarówno w W7 jak i XP. 4./ Obecnie,po bardzo wielu cyklach skanowania AV online i prostego usuwania zainfekownych plików (a co ze śladami w rejestrze ?) - większość tych skanerów nie wykrywa na moim komputerze już nic, lub prawie nic. Mimo to funkcjonowanie komputera się nie poprawiło: Windows 7 jest dalej nie do użytku (chciałabym uniknąć reinstalacji, bo mam tam kilka cennych programów z GOTD, gdzie warunki promocji nie przewidują reinstalacji); a XP - z terenu którego prowadzę tą beznadziejną (na razie) wojnę z malware - musiałam od października reinstalować już 2 razy: Zaledwie w 22 dni po reinstalacji z 10.11.2010 - po zalogowaniu się na konto w XP - pojawiła się tylko czysta tapeta pulpitu, bez ikon i paska zadan, traya i menu Start (warto zauważyć, że te wszystkie elementy znikają mi również w W7- po każdorazowym zawieszeniu się Eksplorera !!!). Nie miałam wyboru - nastapił ponowny format partycji C: i reinstalacja XP w dn.2.12.2010. 5./ Niestety już zaledwie kilka dni po postawieniu systemu od nowa przekonałam się, ze format partycji systemowej nie obronił jej przed malware. Skany antyrootkitowe (Sophos Anti-Rootkit, Root Repeal, RootkitRevealer z SysInternals i Gmer) wykazały obecność rootkitów i to również na C: (mogę dołączyć posiadane logi). Duzy ich procent ukrywał się pod sporządzonymi przeze mnie plikami pdf. Ponieważ nie mogłam otworzyć jednego z tych zablokowanych pdf-ów, którego własnie potrzebowałam - próbowałam sobie pomóc zmianą nazwy folderów wyżej (parent) oraz programem Unlocker (usunięcie lub przemianowanie). Ponieważ ten sposób okazał się skuteczny - probowałam się pozbyć pewnej ilości rootkitów w ten sposób oraz przez kopiowanie zablokowanych plików (umożliwia to któryś z programów antyrootkitowych) i usuwanie orginałów. Juz następnego dnia skanowanie wykazało, że zamiast 35 usuniętych plików (głównie pdf) - mam teraz sto kilkadziesiąt - tym razem w plikach exe z mojego archiwum (na innej partycji) oraz ... zakażone te kopie plików, które robiłam poprzedniego dnia - przed usunięciem zakażonych orginałów - i zachowałam w zupełnie innej lokalizacji ! 6./ W tym momencie uznałam, że czas na nowy temat na FixitPC. Przedstawiłam tu tylko zarys sytuacji, bez opisu róznych szczegółowych problemów spowodowanych prawdopodobnie przez malware. Zrobię to później, edytując ten post - jak wymaga tego admin. 7./ Załączam obowiązkowe i fakultatywne logi, które udało mi się zrobić - z OTL, RSIT oraz OTS. Security Check oraz Catchme się zawieszają !!! ** Z ostriożności chcę zaznaczyć, że logi wykonywane były z poziomu XP x32, na którym nie mam żadnych programów emulujących napędy. Mam natomiast Daemon Tools zainstalowane na niezbyt sprawnym W7 x64 (inny dysk fizyczny i w tym wypadku nie-systemowy i jeszcze x64). Mam nadzieję, że ten fakt nie przeszkadza w wykonaniu dobrej jakości logów. ** Logi z GMERA najpierw dwukrotnie stwierdzały modyfikację rejestru wskazującą na obecność rootkitów, a następne już nie - chociaż inne programy (np Sophos Anti-rootkit czy Rootkit Repeal) wywalają mi ciagle długą listę ukrytych plików (jak wcześniej wspomniałam - ich lokalizacja potrafi sie zmieniac). Załączone pliki : OTL.txt http://przeklej.net/...1243692612.html Extras.txt http://przeklej.net/...4d01b51fa3.html GMER skan dysku C http://przeklej.net/...162a7c8490.html GMER skan wszystkich dysków http://przeklej.net/...12e4379639.html RootRepeal drivers http://przeklej.net/...4ed65aafc2.html RootRepeal files http://przeklej.net/...8baaa6fe93.html RootRepeal hidden services http://przeklej.net/...7fdf1e7a78.html RootRepeal processes http://przeklej.net/...fd6640926c.html RootRepeal shadow SSDT http://przeklej.net/down/41486393413093252079097794342155548ce4cd7a494f504020e36a8.html RootRepeal SSDT http://przeklej.net/down/280427393105982296572957554221734152bc18eb9d2d18e18cecbb8.html RootRepeal stealth objects http://przeklej.net/down/820812436400717943512333714471316214f0f6a65db6a352de4e725.html Odnośnik do komentarza
Landuss Opublikowano 20 Grudnia 2010 Zgłoś Udostępnij Opublikowano 20 Grudnia 2010 Niepotrzebnie powielasz logi OTL, RSIT, OTS. To są podobne narzędzia, pokazują to samo właściwie i robisz log tylko z jednego a nie z każdego. Logi kompletnie infekcji nie wykazują więc można przypuszczać że tutaj nie chodzi o to. Choć jakieś wyniki ze skanerów przydałoby się pokazać żeby stwierdzić czy to jest coś poważnego czy nie ma się czym przejmować. Mówisz o problemach na Windows 7 więc z niego przydałyby się logi. Jeśli masz problem z ich wytworzeniem można skorzystać alternatywnie z płytki OTLPE Odnośnik do komentarza
vika6 Opublikowano 22 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 22 Grudnia 2010 Witam ! Kilka dni się nie odzywałam, bo nagle zmogła mnie bardzo wysoka gorączka. Ale juz jakoś dochodzę do siebie... Niepotrzebnie powielasz logi OTL, RSIT, OTS. Na logach się nie znam, więc wolę za dużo informacji niż za mało. Przecież nie musisz obowiązkowo wszystkich przeglądać. Jeśli są zbędne - to wywal, co uwazasz za stosowne i już. Mam teraz tylko chwilę czasu, więc na razie wyslę tylko to co mam pod ręką. Sa to logi z 2 skanowań Norman Malware Cleaner. To co znalazł ten skaner nie jest tu chyba najciekawsze. Ważniejsze, ze w obu skanowaniach Norman NIE MÓGŁ przeskanować blisko 14 tysięcy plików na dysku!!!! Czy to w połączeniu z faktem, ze np. antyrootkitowy skaner Sophos wykrył w pierwszym skanowaniu ok 880 ukrytych plików nie budzi podejrzenia, ze jednak infekcja jest??? Gmer zresztą w 2 pierwszych skanach również alarmował o obecności rootkita. W trzecim już nie, co też jest dla mnie zastanawiające.. Mówisz o problemach na Windows 7 więc z niego przydałyby się logi. Moje problemy nie dotyczą bynajmniej tylko Windows 7, ale CAŁEGO komputera. Wg tego co widzę - infekcja obejmuje wszystkie dyski logiczne, a nawet fizyczne. To dlatego dwukrotny ostatnio format partycji z XP nic nie pomógł. Kontrolne skanowania już w 4 dni po postawieniu XP od nowa wykazały na nim infekcję!! Ponieważ Windows 7 mam niesprawny, więc korzystam z lepiej - mimo wszystko - działajacego XP. Dlatego chciałabym się skupić najpierw na generalnym odkazeniu całości (ale z poziomu XP póki co, OTLPE oczywiście nie wykluczając), a dopiero potem zając sie postawieniem na nogi Windows 7, którego problemy wykraczają daleko poza samą infekcję. Stąd wydaje mi się, że nowa nazwa tego wątku (którą zmieniłeś) nie opisuje najlepiej istoty problemu. ...................................................................................................... Niestety jednak NIE DOŁĄCZĘ tych skanów tym razem, bo do bezpośredniego wklejenia są za duże (plik w formacie .txt ma 3,20MB!! -> to ze względu na ten milion nieprzeskanowanych plików). A próba wklejenia na wklej.org 2-krotnie zawiesiła mi przeglądarkę. Proszę mnie poinstruować gdzie mogłabym jeszcze spróbować umieścic te pliki, by ktoś mógł do nich zajrzeć i je ocenić. Odnośnik do komentarza
Landuss Opublikowano 22 Grudnia 2010 Zgłoś Udostępnij Opublikowano 22 Grudnia 2010 Czy to w połączeniu z faktem, ze np. antyrootkitowy skaner Sophos wykrył w pierwszym skanowaniu ok 880 ukrytych plików nie budzi podejrzenia, ze jednak infekcja jest??? Tak jak mówie bez pokazania jakie to pliki i w jakiej lokalizacji trudno coś powiedzieć na ten temat. Ukryte nie znaczy jeszcze szkodliwe. System zawiera wiele ukrytych plików i nawet zwykły użytkownik o tym nie wie. Czy te wykrycia nie były aby wykrywane w folderze System Volume Information? To folder przywracania systemu i na wszelki wypadek opróżnij go według instrukcji: KLIK Gmer zresztą w 2 pierwszych skanach również alarmował o obecności rootkita. W trzecim już nie, co też jest dla mnie zastanawiające.. Żadnego prawdziwego rootkita Gmer w logu nie wykazuje. Krycie rootkit stosuje wiele pożytecznych programów np. zabezpieczających. Niestety jednak NIE DOŁĄCZĘ tych skanów tym razem, bo do bezpośredniego wklejenia są za duże (plik w formacie .txt ma 3,20MB!! -> to ze względu na ten milion nieprzeskanowanych plików). Nie wklejaj całego tylko kawałek w celu pokazania jak to wygląda i to powinno wystarczyć. ******************************* Generalnie jeśli nie widać infekcji w logach a z systemem jest problem na pierwszy strzał idzie oprogramowanie zabezpieczające czyli u ciebie Panda Internet Security. Prosze odinstalować cały pakiet i zobaczyć jak to wpłynie na zachowanie systemu. Kolejne złe połączenie WinPatrol + ThreatFire. Programy o podobnym przeznaczeniu i też któregoś proszę usunąć bo to jest niezdrowe powielenie i może powodować problemy dla systemu. Odnośnik do komentarza
vika6 Opublikowano 22 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 22 Grudnia 2010 Prosze odinstalować cały pakiet i zobaczyć jak to wpłynie na zachowanie systemu Mogę oczywiście odinstalować Pandę czy ThreatFire, ale nie bardzo rozumiem, co mam obserwować w zachowaniu systemu. Poza tym co mam zrobić dalej: czy mam zainstalować cos innego??? Bo chyba mnie nie namawiasz do uzytkowania internetu kompletnie bez zabezpieczenia (AV) ??? ................................................................................................... Hurra ! Logi Norman Malware Cleaner udało mi się załadować na wklej.org. Oto linki : (1 skan Norman Malware Cleaner) NFix_2010-12-10_09-57-36.txt http://www.wklej.org/id/443140/ (2 skan Norman Malware Cleaner) NFix_2010-12-10_17-25-43.txt http://www.wklej.org/id/443096/ wyciąg (3 skan Norman Malware Cleaner) NFix_2010-12-18.txt http://www.wklej.org/id/443288/ wyciąg (4 skan - SAVE MODE Norman M.C.) NFix_2010-12-23.txt http://www.wklej.org/id/443464/ Dwa pierwsze skany sa z tego samego dnia. Przesłałam jednak oba, bo pierwszy został przerwany tuż przed końcem (przerwa w zasilaniu) i nie zawiera ważnego podsumowania z ilością nieprzeskanowanych plików. Drugi natomiast nie zawiera wykrytych i usuniętych w pierwszym skanowaniu infekcji. Mam pytanie dotyczące tych logów: Wśród plików, których nie można było przeskanować jest tam mnóstwo plików z "dodatkami" do znanych mi nazw ; np.I:\multimedia\dodatki do Windows Media Player\dfxInstall-WMP.exe/noname.nsis/file0/file407 . Czy nie są to właśnie ukryte pliki, "podczepione" pod "jawne" ??? Poza tym z logów jasno wynika, że Norman nie mógł sobie poradzić (nawet w TRYBIE AWARYJNYM) z usunięciem 3 właśnie takich plików. Jak się ich pozbyć ? .................................................................................................... A tu logi z HouseCall online : skanowanie z 15.11.2010 http://www.wklej.org/id/443507/ skanowanie z 18.11.2010 http://www.wklej.org/id/443510/ W pierwszym z tych skanów skaner wykrył i usunął aż 136 ukrytych plików typu rootkit (oprócz 4 trojanów)! ... z MKS_vir online : skanowanie z 14.11.2010 http://www.wklej.org/id/443624/ Program Files na F:, to mój Windows 7 (po reinstalacji XP system inaczej przydziela litery partycji i obecnie Windows 7 ma litere D:) Skaner twierdzi, ze usunął te wszystkie infekcje, ze ZLOBem włącznie. Niezmiernie łatwo to poszło (czy skaner usuwa też slady w rejestrze?), bo wiem ze inni miewają z tym problemy... Trojan Zlob był wykryty w samym systemie (Windows7),ale także w obu koszach na partycji z moimi danymi. Niestety muszę się przyznać do 2 kardynalnych błędów, którymi pomogłam infekcji rozlać się na wszystkie dyski : 1./ umieściłam moje archiwum softu na partycji z innymi swoimi danymi. 2./ zostawiłam na partycji z prywatnymi danymi starą kopię systemu (o zgrozo !) w nadziei, że później uda mi się odtworzyć (wyciągnąć) z niej różne ustawienia programów. Nie wiedziałam wtedy, że są tam wirusy (lokalny AV ich nie wykrywał). Skutek - jak wyżej.... ... oraz z Pandy online ActiveScan z 13.11.2010.txt http://www.wklej.org/id/443810/ ActiveScan z 17.11.2010.txt http://www.wklej.org/id/443813/ ... i Emsisoft Web Malware Scan skanowanie z 15.11.2010 http://www.wklej.org/id/444613/ skanowanie z 20.11.2010 http://www.wklej.org/id/444680/ skanowanie z 05.12.2010 http://www.wklej.org/id/444683/ .................................................................................................... A teraz jeszcze jedno bardzo ważne dla mnie pytanie : wiele logów mam w plikach PDF. Jak mam je Wam udostępnić, bo na wklej.org ani imageshack.us nie jest to chyba możliwe. Bezpośrednio na forum też chyba nie.... Koniecznie proszę o odpowiedź na to pytanie ! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się