dstjr Opublikowano 15 Lipca 2018 Zgłoś Udostępnij Opublikowano 15 Lipca 2018 Witam,Od jakiegoś czasu zaobserwowałem, że komputer przymula, a najbardziej jest to odczuwalne na przeglądaniu stron internetowych. Posiadam stałe łącze, światłowód i nie miałem nigdy problemu z internetem. Korzystam z przeglądarki Opera 53, na nowszej było to samo. Nie przypominam sobie, żeby coś takiego miało kiedykolwiek miejsce, nawet jak miałem dużo zajętego miejsca na partycjach. Proszę Was o sprawdzenie, czy może jakieś dziadostwo siedzi w systemie lub coś co obciąża sprzęt i przez to dzieje się coś takiego. Da się w ogóle sprawdzić to, czy ktoś czasem wykorzystuje mój sprzęt do kopania walut? Może warto przeskanować komputer, którymś z tych programów? Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool, Kaspersky TDSSKiller. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 15 Lipca 2018 Zgłoś Udostępnij Opublikowano 15 Lipca 2018 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Task: {AD82E90F-E248-465D-B1C3-27F4B5D2D5F2} - Brak ścieżki do plikuUnlock: HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4DeleteKey: HKLM\System\CurrentControlSet\Services\45834C64C3A8D1E4"A4688A50C" => serwis nie został odblokowany. <==== UWAGAHKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4 <==== UWAGA (Rootkit!)C:\ZDYQTUnlock: C:\Windows\system32\drivers\A4688A50C.sysC:\Windows\system32\drivers\A4688A50C.sysEmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. Zrób log z TDSSKiller. jessi Odnośnik do komentarza
dstjr Opublikowano 15 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2018 Zrobione, pliki w załączniku. Fixlog.txt Addition.txt FRST.txt Shortcut.txt TDSSKiller.3.1.0.17_15.07.2018_20.33.00_log.txt Odnośnik do komentarza
jessica Opublikowano 15 Lipca 2018 Zgłoś Udostępnij Opublikowano 15 Lipca 2018 "HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4" => nie znaleziono "C:\Windows\system32\drivers\A4688A50C.sys" => nie znaleziono Hmm, sama nie wiem, co o tym myśleć: w poprzednich logach to było, a teraz w nowych logach tego nie ma, TDSSKiller też tego nie znalazł. Samo wyparowało? Ale najważniejsze, że w nowych logach nie widzę już niczego podejrzanego. jessi Odnośnik do komentarza
Miszel03 Opublikowano 15 Lipca 2018 Zgłoś Udostępnij Opublikowano 15 Lipca 2018 dstjr: Słowem komentarza: Cytat Korzystam z przeglądarki Opera 53, na nowszej było to samo. Należy zawsze korzystać z najnowszej wersji oprogramowania, zwłaszcza przeglądarek (są obszarem krytycznym). Cytat Da się w ogóle sprawdzić to, czy ktoś czasem wykorzystuje mój sprzęt do kopania walut? Tak. Koparki kryptowalut (ładowane metodą PUP) są zazwyczaj widoczne w raportach i wykrywalne przez programy zabezpieczające. Cytat Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool, Kaspersky TDSSKiller. TDSSKiller to narzędzie do wykrywania i neutralizacji rootkit / bootkit. Tu nie mamy z nimi do czynienia, więc narzędzie zbędne. Przeskanować oczywiście można. W raportach brak oznak infekcji. Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc. Muszę pomyśleć jakie informację będą mi potrzebne do diagnostyki. Jessica: Poniższe wpisy to fałszywe alarmy detekcji robionej pod kątem Rootkit SmartService. Pojawią się gdy zachodzi dysonans między rejestrem a obiektami załadowanymi w pamięci, tzn. FRST w rejestrze nie wykrył obiektu (ukryty techniką rootkit lub brak rzeczywisty), ale jest on uruchomiony w pamięci. Jako skutek uboczny pojawiają się różne fałszywe alarmy, np. jeśli odinstalowano antywirusa, ale nie zrestartowano systemu (z rejestru usunięte sterowniki, ale są nadal w pamięci). Wystarczy zrestartować system, by pozbyć się tych odczytów "rootkit". HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4 "A4688A50C" => serwis nie został odblokowany. U5 A4688A50C; C:\Windows\System32\Drivers\A4688A50C.sys [138256 2018-07-15] () C:\Windows\system32\drivers\A4688A50C.sys -> Odmowa dostępu Odnośnik do komentarza
dstjr Opublikowano 15 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2018 Hmm, sama nie wiem, co o tym myśleć: w poprzednich logach to było, a teraz w nowych logach tego nie ma, TDSSKiller też tego nie znalazł. Samo wyparowało? Ale najważniejsze, że w nowych logach nie widzę już niczego podejrzanego. jessi Może jeszcze raz zrobię to skanowanie, hmm? Należy zawsze korzystać z najnowszej wersji oprogramowania, zwłaszcza przeglądarek (są obszarem krytycznym). Wiem to, po prostu wróciłem do poprzedniej wersji, którą pamiętam, że działała dobrze np. 2 tygodnie temu. Wrócę do najnowszej wersji. Tak. Koparki kryptowalut (ładowane metodą PUP) są zazwyczaj widoczne w raportach i wykrywalne przez programy zabezpieczające. W tych raportach, które dostarczyłem byłoby to zawarte, gdyby ktoś podczepił się z koparką do mojego komputera? Jest jakiś ogólny program do przeskanowania pod obecność kopania? Odnośnik do komentarza
Miszel03 Opublikowano 16 Lipca 2018 Zgłoś Udostępnij Opublikowano 16 Lipca 2018 Może jeszcze raz zrobię to skanowanie, hmm? Proszę przeczytać moją wcześniejszą adnotację dla postów Jessi. W tych raportach, które dostarczyłem byłoby to zawarte, gdyby ktoś podczepił się z koparką do mojego komputera? Raporty FRST to jedynie ułomny obraz systemu. Niemniej jednak pozwalają nierzadko bardzo precyzyjnie usunąć infekcje i zdiagnozować problem. Nie wykluczone, że jest to koparka zintegrowana ze stroną internetową (proces obciążania rozpoczyna się po wejściu na taką stronę). Korzystasz z Opera, więc spróbuj włączyć wbudowaną blokadę tego typu zagrożeń: Uruchom Opera > klawisz ALT + P > zakładka Podstawowe: koniecznie zaptaszkuj NoCoin, reszta pod ocenę indywidualną, czy ich potrzebujesz. Poobserwuj i daj znać czy to pomogło. Jest jakiś ogólny program do przeskanowania pod obecność kopania? Nie znam dedykowanego skanera (i wątpię, że taki jest). Marką, która chyba rok temu przedstawiała raporty z ostrzeżeniami, że rok 2018 będzie pełny zagrożeń tworzących kryptowaluty jest Kaspersky Lab. Znowu się nie pomylili. Możesz skorzystać z ich darmowego skaner Kaspersky Virus Removal Tool. Odnośnik do komentarza
dstjr Opublikowano 16 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2018 Rozumiem, ale czy normalne jest to, że przeglądarka Opera ma tyle aktywnych procesów? KlikA tutaj wszystko wydaje się być w porządku?Klik Klik Klik Klik Odnośnik do komentarza
Miszel03 Opublikowano 16 Lipca 2018 Zgłoś Udostępnij Opublikowano 16 Lipca 2018 Wydaję mi się, że Opera ma wieloprocesowy system kart. To znaczy jedna otwarta karta = jeden aktywny proces. Ma to na celu zapobiec sytuacji, w której zawieszenie jeden karty spowoduje zawieszenie całej przeglądarki. A tutaj wszystko wydaje się być w porządku? Raporty częściowo pokazują mi tą sekcję, ja nie widzę tutaj niczego niepokojącego. Proszę wykonaj całościowy skan za pomocą Zemana Anti-Malware, dla "świętego spokoju", choć ja nie sądzę, że to problem infekcji po stronie systemu (a być może przeglądarki). Odnośnik do komentarza
dstjr Opublikowano 17 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2018 Więc to musi być jakaś inna przyczyna... ten program też nic nie wykrył. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się