AMFAST Opublikowano 29 Stycznia 2011 Zgłoś Udostępnij Opublikowano 29 Stycznia 2011 Witam; Od dłuższego czasu borykam się z problemem, jak się na początku wydawało banalnym - a jak teraz się okazuje skomplikowanym i niewyjaśnionym. Pomimo iż z zamiłowania jestem zapalonym informatykiem i mimo posiadania jakiejś wiedzy na ten temat po raz pierwszy w żaden sposób nie jestem w stanie rozwiązać problemu jaki zaczął mnie prześladować ponad 5 miesięcy temu. Na dziś dzień stan strat opiewa przynajmniej na 11-ście komputerów, które w żaden sposób nie były ze sobą powiązane ani nie miały żadnej fizycznej styczności ze sobą - jedyne co je łączy to fakt, że wszystkie uległy tajemniczemu padnięciu... Nie jestem wstanie określić dokładnego terminu kiedy się zaczęło. Objawy są różne ale podobne do siebie i przebiegają analogicznie na każdym z kolejnych komputerów wedle poniższego opisu. Na każdym komputerze, do którego miałem dostęp w celu normalnego użytkowania (komputer w domu, potem laptop domowy, kolejne komputery w pracy, a nawet jak się zorientowałem stanowiska w kafejkach internetowych z których korzystałem przynajmneij raz - WSZYSTKIE PADŁY!!! Wystarczy że obojętnie skąd i kiedy skorzystam z sieci, wówczas w ciemno mogę określić że ten komputer w przeciągu miesiąca najdalej padnie. Jedyne rzeczy jakie wykonywałem wspólne dla nich wszystkich to logowanie do skrzynek pocztowych, korzystanie z tego samego nr gg i konta tlenu... Jeśli już się zaloguje na poczte np wp lub google zaczynają się problemy - dziwnie zaczyna pracować dysk, na początku nie zauważalnie oprócz charakterystycznego prykania dla keyloggerów potem zaczynają się już dziwne instalacje nowych komponentów hardweru, znajdowanie nowego sprzętu pomimo żadnych zmian w konfiguracji, potem coraz bardziej uciązliwe występowanie błędów, nie wspomnę o nadmiernuym zagrzewaniu się dysku, proca i kolejno padaniu wiatraków i kończywszy na przegrzaniu płyty proca, a niekiedy dysku twardego... Wykluczam wstępne założenia, że gdzieś na koncie pocztowym lub gg etc. coś się zagnieździło co automatycznie się uruchamia i w następstwie niszczy kompa. Odnajduje owszem rózne spyware adware rootkity wirusy itp ale to w normalnym stopniu jak zawsze od zaraznia dziejów każdy... Nie pomagają formaty dysku, nawet zmiana pamięci ram nie pomogła (zakładałem nawet że coś siedziało na pamięci) - zakładamy że kupuję nowy komputer po czym instaluje system i łączę się netem - KONIEC - a raczej początek końca kompa!!! Próbowałem wszystkiego, nic nie skutkuje, żaden antywir itp... jedynym programem jaki coś pokazuje (ale tylko poakzuje i na tym się kończy) jest ESET SYSINSPEKTOR - który wskazuje w najwyższym 9-tym poziomie jeden proces na czerwono z opisem very risky, ale nie ma już nazwy i po próbie wyszukania w sieci nic nie znajduje... Jedna - jedyna rzecz jaka jest nie sprawdzona przeze mnie a jaka w większości przypadków była wspólna to modem dostępu do PLAY ONLINE zakupiony w salonie... ale czy to może mieć znaczenie... wątpię chodź teoretycznie możliwe... (huaweii e156g) Dopisane: Modem jest wyeliminowany już z podejrzeń. Dodatkwo od momentu napisania tematu poczynionych zostało kilka czynności które z miernym efektem końcowym przyniosły jakieś wymierne korzyści. Poniżej w punktach krótko co jeszce zrobiłem od czasu napisania powyższego tekstu oraz wyciągnięte jakieś wnioski i ewntualne następstwa: (czynności wypisane w przypadkowej kolejności) 1. Raczej odpada rezydowania w RAmie - wirus nie przetrewałby restaru komputera. 2. Podejrzenie o egzystencje w BIOSIE - reset BIOSU i cmos 3. Programowanie kości w programatorze w celu ostatecznego usunięcia. 4. Sporządzane logi w OTL 5. Użyty COMBO fix 6. Uzyto programu Avenger (logi jak w opisie) 7. Formatowanie i zerowanie dysku 8 instalacja linux mint (-menedżer partycji partycje: 1. z systemem plików Linux SWAP. przeznaczone na nią z 1 gb. Drug, z systemem plików EXT 4 Punkt montowania "/" cały dysk) 9. Uruchomienie skryptu w avengerze /Cytat: "Drivers to disable:a4oya9m9.SYSFiles to move:%SystemRoot%\System32\Drivers\a4oya9m9.SYS | C:\" 9a. Skanowanie pliku C:\a4oya9m9.SYS na Virustotal 10. Zastosowanie StFIx 11. Logi TDSSKiller + MBR.exe 12. Uruchomienie STDP Sprawdzone Win 7, Vista, WIN MX RGB, WIN XP SP3, WIN XP SP2, WIN 98, WIN 98 SE, QBS, LINUX MINT. Najszybciej padła winda 7 potem w koljności Vista, SP3 98 SP2, ... Co do Linuxa po scislym zerowaniu hdd, to nie jestem w stanie dokładnie określić ale dwukrotnie po instalacji Minta w przeciągu ok. godz. Padł Hdd hardwareowo. Do momntu kiedy jeszce działał - było normalnie. Nie można mu było nic zażucic. Jeszcze cytat ostatnich efektów z jako rezultat combofixa i poozstałych - wymierne efekty: Cyt."A co tematu - w procesach systemowych jest kilka takich których nie widać na raportach użytych programów a i w nich samych podczas pracy tee nie zostają wyświetlone. Dla przykładu nazwy kilku "wultdr" "rstdl" "stmodver" "hungapp" "wuresregre" dumpreg". Wyskakują mi z tym związane nieraz komunikaty z takimi oto raportami: "szAppName : IEXPLORE.EXE szAppVer : 6.0.2900.2180 szModName : hungapp szModVer : 0.0.0.0 offset : 00000000" w menadżerze urządzeń czy w menadżerze zadań wszystkie procesy itp nie posiadają już ikon jak wcześniej tylko widnieją białe - puste ikony. Dla przykładu "uruchomiony zostaje outlook express albo opera. w W pasku normalnie nic nie widać, znaczek opery i outlooka z tematu - bez zmian ale w momencie włączenia menadżera zadań ów aplikacje nie posiadją już swoich domy ślnych ikon i są pustymi białymi "oikienkami" identycznymi jak wcześniej zauważyłem z czymś co się nazywam dumpreg i newru" I na koniec jeszcze jedno. Wchodząć do menadzera zadań klikając na np operę, internet explora czy podobne i próbując przełączyć się poprzez opcję do procesu to w przypadku opery nie wskazywany jest proces opery tylko proces explorer, w przypadku outlooka jest tak samo - ten sam proces i nadmienię ze jest to ten sam proces. Nie mam kilku procesow explorer, jest jeden i w dodatku uzyta przez niego pamiec njie jest wcale duza bo w granicach 4 -5 mb. Co do zuzywania paięci to rekordy bija przegldarki internetowe a w szczegolności do tą najlepiej się sprawująca opera jest praktycznie bezuyteczna i zachowuje się najbardziej "arogancko" nie zwazajac na to co ja robie tylko ewidentnie w tle robi swoje a jej zuzycie pamieci dochodzi nawet do 270 mb !!! Wydaje mi się ze tak wczesniej nie bylo. W systemie mam niecale 400mb w chwili obecej bo to juz komp z odzysku a pamiec obsadzona na jeszce starych kosciach dimm. Ale opisane powyżej sytuacje miały miejsce już na poprzednich komputerach a także na jeszce działajćym laptopoie o któym mowa wczesniej w postach. Z początku nie zwracałem na to szczególnie uwagi, ale teraz wydaje mi się to co raz bardziej dziwne, tymbardziej ze uzytew zostaly tak zaawansowane programy i tak szeroko uwazane za skuteczne. Te jednak wogole nic z tym nie zrobily. Jeszcze jedna sprawa. jakiś czas temu zrobiłem taką rzecz. nie wiedząc co do kl=ładnie dziej się w systemie "laptopa rodziców" (tak będe go teraz nzywał) uruchomiłem keylogera vsk 3.0 wskazując mu przesyłanie logów do mnie na inny komputer i meila z pracy. Te z poczatku nie dochodzily a teraz jak zaczeły są troche dziwne i nie wiem czy to jst spowodowane. Z wiadomych względów ich nie opublike, no chyba ze ktos nalega to wytnę po po prostu część z nich ale sprawa dotyczy samego nagłówka. W systemie zainstalowany (na laptopie) jest procesor 2000 mhz a w logach początkowo informacja o systemie jest prawdziwa natomiast z biegiem czasu uilega zmianie mimo braku zmiany faktycznej konfiguracji "laptopa rodzicow" Z czasem logi wyglądają kolejno po sobie "1600 mhz 1368 mhz 966mhz a ostatnio 960 i 800 mhz" !!! Nie wiem czy to jest spowodowane opisanym problemem czy tez jest to jakias luka samego programu vsk ale chcialem m na to rowniez zwrocic uwage. Przepraszam, za długość opisu i że trochę chaotyczny ale tworzyłem go jakiś czas temu a potem tylko uaktualniałem w miarę poczynionych kroków. Nie bardzo mam czas przepisywać za każdym razem cały tekst i opisywać sytuację na potrzeby odpowiednio nowych zakładanych tematów. Wszelkie logi umieszczone są chomikuj.pl/amfast w katalu logi otl screeny z błędów w katalogu screeny etc NIE MOGĘ INACZEJ załączyć LOGÓW - spadło mi łączę do max 64 kb/s co uneimożliwia już nawet korzystanie z internetu Jeśli pominąłem coś istotnego to uzupełnię Z góry dziękuję za pomoc Piotr Odnośnik do komentarza
Anonim3 Opublikowano 29 Stycznia 2011 Zgłoś Udostępnij Opublikowano 29 Stycznia 2011 (edytowane) Ja zabiorę głos tylko w jednej sprawie, mianowicie to: Z czasem logi wyglądają kolejno po sobie "1600 mhz 1368 mhz 966mhz a ostatnio 960 i 800 mhz" !!! to jest normalna sytuacja w przypadku laptopów i stacjonarek w dzisiejszych czasach, o ile lapek wyposażony jest w "pełny procesor" (i nie jest to lapek ze staruszkiem celeronem, duronem, athlonem xp, sempronem) to jest to zupełnie normalne. Edytowane 1 Marca 2011 przez picasso 1.03.2011 - Temat zostaje zamknięty. Wygasła jego żywotność ustalona zasadami. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi