Jak wykryć infekcję?

[komputer89pc]

Przed rozpakowaniem plików rar, a także po rozpokawaniu, przed instalacją przeskanowałem pliki za pomocą Malwarebytes Anti-Malware i Microsoft Security Essentials i nie wykryły one zagrożeń. Jednak po próbie instalacji aplikacji w C:\ProgramData pojawiły się ukryte puste foldery. Ich nazwy były długie, zawierały liczby, nazwy były w niebieskim kolorze. Foldery usunąłem. Wykonałem pełneskanowanie w Malwarebytes Anti-Malware, jednak nic nie wykrył. Windows 7.

 

Gdy skopiowałem te nazwy do Google, było tam coś o trojanach.

[Bonifacy]

Przeskanuj komputer z bootowalnej płyty Kaspersky Rescue Disk lub Avira Rescue System - https://www.fixitpc.pl/topic/102-p%C5%82yty-startowe-ze-skanerami/
W razie wykrycia infekcji zanotuj je  a następnie zgłoś się z wymaganymi logami działu pomocy doraźnej.

PS. Że pliki trefne to wiedziałeś (tak wynika z kontekstu postu). Takie  kwiatki sprawdza się na https://www.virustotal.com/pl , http://www.virscan.org , http://virusscan.jotti.org/pl

[komputer89pc]

Dzięki za te linki.

 

W sumie to nie wiedziałem, że w pliku coś może być, komentarze były pozytywne, ale zawsze jest ryzyko.

 

Przeskanowałem kilka adreów pobieranyh plików, w skróconych url wykrywa ctery zagrożenia, ale w docelowym url nie wykrya nic.

 

Jak mam uruchomić botowanie skoro po wciśnięciu F11 pokazuje się kilka opcji SATA1 (...), SATA2 (....) i jakieś CRDD (...)?

[Bonifacy]

Ja mam wiedzieć co to jest u Ciebie CRDD? Próbowałeś zbootować z tegoż CRDD? Może to jest właśnie napęd DVD.

O bootowaniu poprzez ustawienie w BIOS słyszałeś - http://www.hotfix.pl/ustawienie-kolejnosci-bootowania-w-bios-ie-zmiana-i-wybor-urzadzenia-bootujacego-a131.htm ?

[komputer89pc]

Przy SATA3 jest TSSTCorp CDDVD SH-jakiś kod. Może to to? Z tego co rozumiem, nie wystarczy po prostu tego otworzyć? Wg poradnika trzeba zmienić kolejność na stałe, a później wrócić do poprzedniej?

 

Bootowałem kiedyś tylko Win 7 recovery i skanowanie avasta, jeżeli tak to można nazwać...

 

To może ja spróbuję avastem z poziomu menu, i później sam to ustawi?

[Bonifacy]

Przy SATA3 jest TSSTCorp CDDVD SH-jakiś kod. Może to to? Z tego co rozumiem, nie wystarczy po prostu tego otworzyć?

Jeśli Ty chcesz korzystać z funkcji szybkiego wybory bootowania F11 i masz jeden napęd DVD to pewnie jest to TO. Nad czym się zastanawiasz? Dajesz ENTER i bootowanie powinno ruszyć...

 

Wg poradnika trzeba zmienić kolejność na stałe, a później wrócić do poprzedniej?

Tak. Wrócić należy do tych samych ustawień z przed zmiany.

 

To może ja spróbuję avastem z poziomu menu, i później sam to ustawi?

Ale co ten avast ma sam ustawić?

[komputer89pc]

Ale co ten avast ma sam ustawić?

Skanowanie przed startem systemu.

 

Tak. Wrócić należy do tych samych ustawień z przed zmiany.

Ale z poniższego...

 

Dajesz ENTER i bootowanie powinno ruszyć...

wynika, że będzie to aktywowane po kliknięciu? Więc rozumiem, że jest jednorazowe, opcja i po ponownym uruchomieniu powinno być jak przed? Tzn. nie muszę zmieniać kolejności/kolejność się nie zmieni?

[Bonifacy]

Skanowanie przed startem systemu.

No ale ja Ci rekomendowałem Kaspersky lub Avirę . Jak ostatecznie obraz iso pobrałeś i wypaliłeś z niego płytę?

 

Więc rozumiem, że jest jednorazowe, opcja i po ponownym uruchomieniu powinno być jak przed? Tzn. nie muszę zmieniać kolejności/kolejność się nie zmieni?

Jeśli przez F11 - tak jednorazowe. Po restarcie nic nie musisz robić. Uruchomi się system. Wymyjesz wtedy płytę z napędu.

[komputer89pc]

No ale ja Ci rekomendowałem Kaspersky lub Avirę . Jak ostatecznie obraz iso pobrałeś i wypaliłeś z niego płytę?

Oczywiście, użyłem Kaspersky Rescue Disk. Zaktualizowałem (gdzie się te update'y zapisują?) i zrobiłem scan all objects. Poszło bardzo szybko, ale nie widziałem żadnych wyników, może o to chodzi gdy nic nie wykryje. Później zrobiłem restart, i wszystkie myślniki były na zielono, jednak był też czerwony z treścią "failed".

[Bonifacy]

 

 

Poszło bardzo szybko

To powinno trooochę dłużej trwać. Tak ustawiłeś - http://billmullins.files.wordpress.com/2011/06/image52.png ?
Kaspersky z tego co pamiętam zrzut aktalizacji robi na root C.

[komputer89pc]

Użyłem tekstowego, http://support.kaspersky.com/pl/images/support_new_krd_8097_03_en52-170437.png

 

W tym tekstowym:

- o czym już wspominałem, wybrałem scan all objects

- skanowanie się rozpoczęło, skanowało z tego co zdążyłem zauważyć najpierw dysk C, później D. Procenty po lewej stronie szybko wzrastały, te znajdowały się w linii z nazwą skanowanego w danym momencie pliku. Nad tym, linijkę wyżej było chyba "processing", i chyba przez cały czas było 1%. Gdy skan się skończył przeniosło mnie z powrotem do menu.

[Bonifacy]

Rano ubrałeś się sam?
Na ekranie startowym masz wybrać tryb graficzny - http://zapodaj.net/b42461a8d7a10.png.html

[komputer89pc]

Zrobiłem skan, zapisałem jak txt. ale teraz jest fomat plik. Powinienem otworzyć w notatniku?

[Bonifacy]

Wypowiedz się czy w czasie skanowania Kaspersky wykrywał infekcje.

 

Powinienem otworzyć w notatniku?

Tak - pliki .txt otwiera się w notatniku. Ale co tam jest zapisane: wykryte infekcje, czy cały przebieg skanowania wszystkich plików na dysku?

[komputer89pc]

 Packed, Processing error, Password protected, - chyba wszystkie, ale... log ma 7mb. Wiesz może gdzie znajdę rodzaje zagrożeń, tak abym mógł użyć Ctrl+F?

[Bonifacy]

Wiesz może gdzie znajdę rodzaje zagrożeń, tak abym mógł użyć Ctrl+F?

Nie nadążam za Tobą już.  Zgaduję: w logu co ma 7 MB? Do czego zmierzasz?

[komputer89pc]

Nie nadążam za Tobą już.  Zgaduję: w logu co ma 7 MB? Do czego zmierzasz?

Przewijanie tego jest koszmarne, dużo prościej było by po prostu sprawdzić odgórnie nazwy zagrożeń, chyba, że ich też jest wiele.

[ichito]

Przewijanie tego jest koszmarne, dużo prościej było by po prostu sprawdzić odgórnie nazwy zagrożeń, chyba, że ich też jest wiele.

Przepraszam...nie powinienem, ale nie mogłem powstrzymać się od śmiechu ...chcesz Ctrl+F szukać zagrożeń po nazwach, ale czy wiesz że dziennie powstaje ich wg szacunków ok. 80 tysięcy? Jak sobie wyobrażasz, że jest ktoś kto mógłby spamiętać nazy szkodników i ich odmiany i gdzie w ten sposób trzeba by ich szukać? Programy AV ich nie opisują i nie znają nawet, bo to niemożliwe...poza tym one ewoluują...zmieniają mechanizmy, używają innych rodzajów plików, mają nadawne inne nowe nazwy 

[komputer89pc]

Nie chodzi mi o konkretne nazwy, a coś w rodzaju gatunków, malware, trojan itp. To pozwoli mi pominąć zbędne rzeczy w tym logu.

[komputer89pc]

Co dalej z tym zrobić? Mam wielki kilku megabajtowy log.

[spawciu]

Wróć do podstaw, poczytaj temat podwieszony jak założyć temat i jakie logi dołączyć. Poczekaj na picasso, powyższa dyskusja zaśmieca tylko wątek

[picasso]

Przed rozpakowaniem plików rar, a także po rozpokawaniu, przed instalacją przeskanowałem pliki za pomocą Malwarebytes Anti-Malware i Microsoft Security Essentials i nie wykryły one zagrożeń. Jednak po próbie instalacji aplikacji w C:\ProgramData pojawiły się ukryte puste foldery. Ich nazwy były długie, zawierały liczby, nazwy były w niebieskim kolorze. Foldery usunąłem.

Brak danych na temat paczki i co ona właściwie zawierała, brak także danych jak dokładnie wyglądały te foldery w C:\ProgramData, bo na razie opis nic szczególnego nie mówi:

- Niebieski kolor oznacza kompresję NTFS.

- W C:\ProgramData różne typy programów (czyli nawet i poprawne) mogą tworzyć foldery zawierające liczby. Istotna jest sekwencja:

 

 

Gdy skopiowałem te nazwy do Google, było tam coś o trojanach.

Więc podaj co to były konkretnie za nazwy. I dostarcz raporty z FRST.

 

 

Packed, Processing error, Password protected, - chyba wszystkie, ale... log ma 7mb. Wiesz może gdzie znajdę rodzaje zagrożeń, tak abym mógł użyć Ctrl+F?

(...)

Co dalej z tym zrobić? Mam wielki kilku megabajtowy log.

Te typy wyników mnie nie interesują. Istotne są tylko wyniki o oznaczniu "Detected" / "Infected" lub coś brzmiącego podobnie. CTRL+F i szukaj rekordów tak oznaczonych, a jeśli takowych brak, to i brak wykrytych infekcji i log zbędny.

 

A jeśli zupełnie nie umiesz sobie poradzić z tym, spakuj log do ZIP, na hosting i podaj link do tego.

 

 

 

 

.

[komputer89pc]

Te typy wyników mnie nie interesują. Istotne są tylko wyniki o oznaczniu "Detected" / "Infected" lub coś brzmiącego podobnie. CTRL+F i szukaj rekordów tak oznaczonych, a jeśli takowych brak, to i brak wykrytych infekcji i log zbędny.

Nie odnalazłem w logu "Detected" / "Infected".

 

Brak danych na temat paczki i co ona właściwie zawierała, brak także danych jak dokładnie wyglądały te foldery w C:\ProgramData, bo na razie opis nic szczególnego nie mówi:

W archiwum znajdowała się instalka + chyba "file_id.diz" i "Tracer", niepamiętam już czy to było to archiwum. Sekewncji liczb nie pamiętam, foldery usunąłem, teoretcznie mogę powtórzyć proces i one znów sę pojawią, ale to ryzykowne.

 

Więc podaj co to były konkretnie za nazwy. I dostarcz raporty z FRST.

Dodam, że w historii przeglądania w przeglądarce równiez nie udało mi się ich odnaleść. FRST użyję jutro i zaktualizuję post.

[picasso]

Brak danych na temat tej paczki, skanery nie wykrywają już nic, więc nic nie jestem w stanie na jej temat powiedzieć. Wg raportów FRST również nie ma podstaw podejrzewać infekcję. To co się natomiast rzuca w oczy to błąd wynikający z niezdrowej sytuacji (wyłączona usługa Dziennik zdarzeń) i nie wiem czy to nadal aktualne (będę sprawdzać w skrypcie):

 

System errors:

=============

Error: (09/26/2014 00:40:01 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Usługa Harmonogram zadań zależy od usługi Dziennik zdarzeń systemu Windows, której nie można uruchomić z powodu następującego błędu:

%%1058

 

Wykonaj tylko kosmetykę:

 

1. Usunięcie pustych wpisów i wyczyszczenie Tempów. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
SearchScopes: HKU\S-1-5-21-2840704495-71358653-682946808-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Eventlog
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go.

 

2. O ile Dziennik zdarzeń jest nadal aktualny, napraw błąd WMI numer 10 narzędziem Fix-it: KLIK.

 

 

 

.

[komputer89pc]

Zrobione. Po restarcie skanowanie nie wyświetlają mi się miniatury w zakładkach, ale po wejściu na stronę się one odnawiają, czy da się je jakoś odświeżyć?
 
Wydaje mi się, że dziennik zdarzeń jest aktywny, są tam zdarzenia.
 
picasso - a znasz może rozwiązanie na ten problem https://www.fixitpc.pl/topic/24124-powolne-ładowanie-pasków-narzędzi/#entry153077 ?