Skocz do zawartości

Czy za tą niechcianą ikonką kryje się zagrożenie?


Rekomendowane odpowiedzi

Witam serdecznie

 

Gnębi mnie, czy złapałem jakiegoś szkodnika, czy też przytrafiło się coś uciążliwego, lecz niegroźnego, i co z tym fantem zrobić.

 

Zdarzenie miało miejsce wczoraj. Potrzebowałem pobrać ISO UBCD 5.3.3 programem FDM. Występowały problemy z linkami pobierania na stronie domowej UBCD, lecz przy moim łączu netowym (radiówka) to nic rzucającego się w oczy. Po bardzo wolnym pobieraniu (592 MB szło ponad 2 godziny) skopiowałem pobrany plik do zewnętrznego dysku, wyłączyłem PC, odłączyłem dysk, włączyłem PC i zauważyłem dziwną ikonkę (załączona miniaturka "ikona_bez podpisu.png" jest fragmentem zrzutu ekaranu) przy zegarku. Można ją przesuwać, nie ma podpisu (inne na Pulpicie mają), jest typu "zawsze na wierzchu", klikanie na niej lewym i prawym nie daje żadnych efektów. Podczas całego zdarzenia nie było żadnego alertu Comodo Internet Security, nie robiłem instalacji ani aktualizacji. Po restartach ikonka pojawia się z oþóźnieniem kilku minut. Mam wrażenie, że po restarcie po pojawieniu się Pulpitu dużo dłużej pracuje dysk, lecz możliwa jest autosugestia.

 

System: XP (oryginał) SP3 PL + wszystkie poprawki, kilka lat od instalacji bez awarii

Przeglądarki: FF 35.0, Opera 12.17

Co zrobiłem:

- pełny skan dysku systemowego CIS

- pełne skanowanie MBAM

i zero wykrytych zagrożeń.

 

Przeglądanie procesów w Process Explorer czy listy zainstalowanych programów nie ujawniło niczego nowego.

 

Wyszukiwanie w Google nic nie dało, więc pomaszerowałem na Fixitpc.pl, przeczytałem instrukcję tworzenia tematów, zrobiłem skany GMER-em i FRST, a następnie przesiadłem się na PuppyLinux, założyłem konto i zawracam głowę.

 

Przepraszam, jeśli nazwa tematu i lokalizacja na forum nie są właściwe, ale nie udało mi się wymyśleć lepszych.

 

Pozdrawiam ciepło

post-14962-0-34990000-1422040455.png

gmer_full.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Brak jakichkolwiek oznak infekcji. Do korekty będą tylko odpadkowe wpisy, ale to potem. Na początek chcę się upewnić co widzisz:

 

 

zauważyłem dziwną ikonkę (załączona miniaturka "ikona_bez podpisu.png" jest fragmentem zrzutu ekaranu) przy zegarku. Można ją przesuwać, nie ma podpisu (inne na Pulpicie mają), jest typu "zawsze na wierzchu", klikanie na niej lewym i prawym nie daje żadnych efektów. Podczas całego zdarzenia nie było żadnego alertu Comodo Internet Security, nie robiłem instalacji ani aktualizacji. Po restartach ikonka pojawia się z oþóźnieniem kilku minut. Mam wrażenie, że po restarcie po pojawieniu się Pulpitu dużo dłużej pracuje dysk, lecz możliwa jest autosugestia.

Czy to na pewno dobry zrzut ekranu pokazujący ową "ikonkę"? Ten szary obiekt tu pokazany:

 

post-14962-0-34990000-1422040455.png

 

....wygląda jak fragment okna COMODO, a konkretnie "przycięta" pierwsza litera "C" nazwy: KLIK.

 

cis_sys_tray_icon1.png

 

Jeśli to ikona COMODO, jej pojawianie się z kilkuminutowym opóżnieniem również byłoby wyjaśnione = długie ładowanie COMODO. I ogólnie COMODO może być przyczyną obciążenia zasobów.

Odnośnik do komentarza

Teraz możesz zająć się działaniami kosmetycznymi:

 

1. Odinstaluj starą dziurawą wersję Java™ 6 Update 45 oraz prawdopodobnie zbędny Adobe Shockwave Player 12.1.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKU\S-1-5-21-1644491937-606747145-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
URLSearchHook: [s-1-5-21-1644491937-606747145-839522115-500] ATTENTION ==> Default URLSearchHook is missing.
Toolbar: HKU\S-1-5-21-1644491937-606747145-839522115-1003 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 massfilter; system32\DRIVERS\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
C:\Program Files\Mozilla Firefox\extensions
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Witaj

 

Punkt 2 wykonany dokładnie. Podczas restartu XP zawiesił się na ekranie wylogowywania, po kliku minutach bezczynności dysku zrobiłem "twardy reset" bez widocznych ujemnych skutków.

"Punkt przywracania" nie został przez FRST utworzony, ponieważ ta usługa jest wyłączona. Cały dysk z tym systemem ma 80 GB, w tym partycja systemowa 16 GB,  i w razie potrzeby robię kopię 1:1 na drugi identyczny dysk.

 

Co do punktu 1.

 

Java™ 6 Update 45 jest niezbędna dla OpenOffice 3.4.4-1 z 25.1.2012 używanego do dzisiaj. To taka odmiana pakietu przygotowana w Polsce przez firmę Ux Systems z Gliwic. Po tej wersji nie wypuścili następnych, próby z Javą 7 i Javą 8 dawały same kłopoty. Java do niczego innego nie jest w tym komputerze potrzebna. Sam OO do tej pory działa nienagannie, zaś podział OO na LO i AO  wywołuje u mnie jedynie smutek, ponieważ nawet najnowsze wydania nie są tak niezawodne, jak ten stary.

 

Adobe Shockwave Player jest potrzebny do pewnych materiałów z archiwum, zatem przez jakiś czas jeszcze musi zostać, podobnie jak sam XP, a potem to już chyba na stałe zagości Linux.

 

"Ikonka" nadal się pojawia i zastanawiam się nad całkowitym odinstalowaniem Comodo i instalacją po wysprzątaniu pozostałości po obecnie zainstalowanym.

 

Serdecznie dziękuję za poświęcony mi czas!

 

Pozdrawiam ciepło

FRST.txt

Fixlog.txt

Odnośnik do komentarza

"Punkt przywracania" nie został przez FRST utworzony, ponieważ ta usługa jest wyłączona.

Przepraszam, omyłkowo komendę wkleiłam, choć w Addition jest informacja o wyłączonym Przywracaniu. Widziałam ją, ale coś mnie zaćmiło.

 

 

"Ikonka" nadal się pojawia i zastanawiam się nad całkowitym odinstalowaniem Comodo i instalacją po wysprzątaniu pozostałości po obecnie zainstalowanym.

Działania podane we wcześniejszym poście nie miały związku z tą ikonką. To może być jakiś artefakt / bug bieżącej wersji COMODO. Nie jesteś odosobnionym przypadkiem, tu identyczny problem zgłoszony wczoraj: KLIK. Niestety nie miałam czasu wertować oryginalnego forum COMODO w poszukiwaniu informacji.

 

 

Java™ 6 Update 45 jest niezbędna dla OpenOffice 3.4.4-1 z 25.1.2012 używanego do dzisiaj. To taka odmiana pakietu przygotowana w Polsce przez firmę Ux Systems z Gliwic. Po tej wersji nie wypuścili następnych, próby z Javą 7 i Javą 8 dawały same kłopoty. Java do niczego innego nie jest w tym komputerze potrzebna. Sam OO do tej pory działa nienagannie, zaś podział OO na LO i AO wywołuje u mnie jedynie smutek, ponieważ nawet najnowsze wydania nie są tak niezawodne, jak ten stary.

W związku z tym doraźnie dla bezpieczeństwa wyłącz / zlikwiduj Java w przeglądarkach:

 

1. Firefox: upewnij się, że we wtyczkach Java jest wyłączona. A dodatkowe zbędne rozszerzenie pomocnicze ręcznie usuń, tzn. otwórz Notatnik i wklej w nim:

 

FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2013-06-12]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz tymczasowo COMODO. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. Internet Explorer: Opcje internetowe > Dodatki > Zarządzaj dodatkami > wyłącz obiekty związane z Java. To jednak nie jest deaktywacja całkowita. Więcej na temat Java w tym temacie: KLIK.

 

Wyłączenie wtyczki w konkretnej przeglądarce:

(...)

- Internet explorer: oficjalnie pełna deaktywacja tylko poprzez wyżej opisaną opcję, nieoficjalnie należy wykonać dodatkowe skomplikowane tweaki rejestru.

- Pozostałe przeglądarki udostępniają prostą deaktywację via własne opcje.

Wszystko wyłożone w artykule Sophos:

 

Odnośnik do komentarza

Droga picasso

 

Pytanie poboczne przed kolejną porcją "przedwiosennych porządków".

Na stronie http://www.adobe.com/pl/products/flashplayer/distribution3.html jest dostępna, z opisu wielce obiecująca, wersja "Extended Support Release", w momencie pisania Flash Player 13.0.0.264.

Czy nie lepiej ją wykorzystać, zamiast standardowo instalowanych?

 

Pozdrawiam cieplutko

Odnośnik do komentarza

Posiadasz nowoczesny Adobe Flash Player 16. Jeśli on działa bez zarzutu, nie widzę podstaw, by go zastępować starszą wersją typu "Extended", która zwróć uwagę jest pozbawiona tego:

 

"Adobe makes available a version of Flash Player called the "Extended Support Release" (ESR) to organizations that prefer Flash Player stability over new functionality. We have created a branch of the Flash Player code that we keep up to date with all of the latest security updates, but none of the new features or bug fixes available in our current release branch."

 

A jeśli chodzi o ten nieszczęsny artefakt COMODO, to prawdopodobnie jest to obcięte okno widżetu desktopowego COMODO: KLIK. Jeśli jeszcze nie odinstalowałeś programu, sprawdź czy wyłączenie opcji pokazywania widżetu zlikwiduje ten kwiatek. Wstępnie przeleciałam na szybko forum COMODO, wprawdzie nie udało mi się znaleźć nic identycznego jak Twój problem, ale widżet jest problematyczny (inne kłopoty renderingowe z nim zgłaszane).

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...