Komputer zwalnia, błąd albo infekcja

[ivy]

ostatnio komputer trochę muli - dziś po starcie nie dało się na nim prawie nic zrobić, strasznie długo trwało zanim komputer zaczął reagować na komendy. taskmenager nie działał, avira została zastopowana po starcie systemu. potrzebny był restart, po którym włączył się niebieski ekran sprawdzający stan plików, rozpoczął skan i odzyskał kilka klasterów. w ciągu ostatnich 2-3 tyg to chyba 3 raz z kolei komputer wywala mi ten ekran sprawdzający. tydzień temu przy otwieraniu worda z dysku pojawił się niebieski ekran z jakimś błędem krytycznym i komputer sam się zrestartował - niestety nie jestem w stanie podać jaki był to błąd. zeskanowałam komputer mks i haxfixem, ale nic nie wykryło.

wczoraj ashampoo nie zezwolił na łączenie się z internetem pliku setup.exe z folderu C:\WINDOWS\Temp\aayj. znalazłam w necie informację, że może to być resztka po trojanie, więc wywaliłam killboxem. skanowałam dysk mks i ten konkretny folder pandą online, nic nie wykazało.

dosyć regularnie czyszczę dysk ccleanerem, kilka razy użyłam też tfc.

nie wiem czy to jakaś infekcja czy po prostu błąd systemu.

proszę o sprawdzenie logów

 

log z security chech:

Results of screen317's Security Check version 0.99.9

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira AntiVir Personal - Free Antivirus

Ashampoo FireWall FREE 1.20

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Spybot - Search & Destroy

HijackThis 2.0.2

CCleaner

Java 6 Update 24

Adobe Flash Player 10.2.152.32

Adobe Reader 9.4.2

Out of date Adobe Reader installed!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

Ashampoo Ashampoo FireWall FREE FireWall.exe

``````````End of Log````````````

gmer.txt

OTL.Txt

Extras.Txt

[picasso]

Nie widzę podstaw do szukania infekcji w stanie czynnym. Na wszelki wypadek jeszcze pokaż raporty z MBRCheck + Kaspersky TDSSKiller. Jeśli nic tam się nie ukaże, temat idzie do działu Windows XP.

 

 

podaję dodatkowo log z hijacka:

 

Niepotrzebnie. My nie bierzemy tego pod uwagę i z wszystkich postów usuwamy (a ogłoszenia moich działów zakazują podawania tego raportu). I tak też tu czynię.

 

 

niestety nie jestem w stanie podać jaki był to błąd. zeskanowałam komputer mks i haxfixem, ale nic nie wykryło.

 

MKS to upadły skaner, a HaxFix jest specjalizowany tylko i wyłącznie w jednej gałęzi infekcji. Aktualnie w obiegu całkiem inne proporcje infekcji i tymi narzędziami niestety nie zdziałasz nic ciekawego.

 

 

ostatnio komputer trochę muli - dziś po starcie nie dało się na nim prawie nic zrobić, strasznie długo trwało zanim komputer zaczął reagować na komendy. taskmenager nie działał, avira została zastopowana po starcie systemu. potrzebny był restart, po którym włączył się niebieski ekran sprawdzający stan plików, rozpoczął skan i odzyskał kilka klasterów. w ciągu ostatnich 2-3 tyg to chyba 3 raz z kolei komputer wywala mi ten ekran sprawdzający.

 

W Dzienniku zdarzeń są takie zdekompletowane błędy (urwane najważniejsze ścieżki o który numer urządzenia chodzi):

 

Error - 2011-03-19 05:13:38 | Computer Name = BLUSZCZ | Source = Disk | ID = 262155
Description = Sterownik wykrył błąd kontrolera na .

Wejdź w Dziennik zdarzeń i przeklej formułę.

 

 

tydzień temu przy otwieraniu worda z dysku pojawił się niebieski ekran z jakimś błędem krytycznym i komputer sam się zrestartował - niestety nie jestem w stanie podać jaki był to błąd.

 

Do wykonania punkt nr 5 z ogłoszenia: KLIK. Folder ze zrzutami był jakiś czas temu odświeżany, to i powinien w nim być jakiś materiał do analizy:

 

[2011-02-26 18:53:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump

 

O ile to nie wyjdzie w praniu, że to problem sprzętowy, proponuję również rozpocząć od podstaw - redukcji oprogramowania zabezpieczającego (to zawsze oprogramowanie pierwszej uwagi gdy coś się wiesza). Tu, w mojej opinii, dość zdezelowanego.

 

1. Deinstalacja starego Ashampoo FireWall (4 letni ogniomurek).

 

2. Deinstalacja archaicznego Spybot - Search & Destroy (od dwóch lat zastój silnika bazowego, nierównomierne i stosunkowo rzadkie dostarczanie aktualizacji, brak odpornej techniki montażowej, słaba skuteczność). A skoro przy Spybocie jesteśmy:

 

3. Przywrócenie pliku HOSTS do formy domyślnej, bo jest ogromny:

 

O1 HOSTS File: ([2011-01-07 10:02:50 | 000,380,712 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
(...)
O1 - Hosts: 13116 more lines...

Tak duży plik może kolidować z usługą Klient DNS. Reset pliku można wykonać na wiele sposobów, ale zacznij od opcji Spybot = odwróć stan pliku w ustępie immunizacji statycznej. Jeśli będzie jakiś problem, podsuwam alternatywnie narzędzie Fix-it z artykułu KB972034.

 

4. Jeśli punkty 1 do 3 nie spowodują polepszenia sytuacji, testowo odinstaluj Avirę. Wyłączenie to za mało na test, nie zdeaktywujesz wszystkich mechanizmów tłowych.

 

A co w zamian (instalacje dopiero po ukończeniu diagnostyki) i za darmo:

- Ashampoo: PrivateFirewall, Online Armor Free, COMODO Personal Firewall

- Spybot: nowoczesny antywirus jest multifunkcyjny i już adresuje spyware. Wystarczy skaner na żądanie Malwarebytes' Anti-Malware.

 

 

 

---

1. Pierdułki, skrypt kosmetyczny usuwający "not found", nie będzie to mieć żadnego wybitnego znaczenia. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (Nero BackItUp Scheduler 4.0)
SRV - File not found [Auto | Stopped] --  -- (FlexService)
O2 - BHO: (no name) - {26CF1FCC-6D56-33C9-48A0-3AA9066009F1} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\Temp\aayj\setup.exe"=-

Klik w Wykonaj skrypt. Koniec.

 

2. I zaktualizuj Adobe Reader 9.4.2 > Adobe Reader X.

 

 

 

.

[ivy]

dzięki, zrobiłam co napisałaś.

w folderze ze zrzutami nie ma żadnego pliku.

przesyłam logi z MBR i Kaspersky'ego.

MBRCheck_03.19.11_13.42.20.txt

TDSSKiller.2.4.21.0_19.03.2011_13.44.38_log.txt

[picasso]

A jednak, rootkit w MBR dysku:

 

2011/03/19 13:45:29.0187 3812	================================================================================
2011/03/19 13:45:29.0187 3812	Scan finished
2011/03/19 13:45:29.0187 3812	================================================================================
2011/03/19 13:45:29.0218 2892	Detected object count: 1
2011/03/19 13:45:58.0828 2892	\HardDisk0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
2011/03/19 13:45:58.0828 2892	\HardDisk0 - ok
2011/03/19 13:45:58.0828 2892	Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure 

To stąd te BSODy. Wybrałaś już akcję Cure (leczenia ze szkodliwego kodu), czyli teraz po restarcie komputera wytwórz ponowny odczyt z TDSSKiller, dla potwierdzenia usunięcia infekcji.

 

 

 

.

[ivy]

mam nadzieję, że teraz będzie już ok.

dziękuję za pomoc

TDSSKiller.2.4.21.0_19.03.2011_17.07.34_log.txt

[picasso]

W porządku, rootkit w MBR z głowy. To nie jest koniec zadań. Usuwanie starego oprogramowania zabezpieczającego (Ashampoo i Spybot), reset pliku HOSTS do poziomu domyślnego i ten drobny skrypt do OTL nadal aktualne. Wykonaj te działania, zaprezentuj nowy zestaw logów z OTL. Jeśli ocenię, że nie ma już co korygować, zadam finalne kroki związane ze sprzątaniem po infekcji. A na koniec dobierzesz sobie nowoczesne programy zamienne na Ashampoo i Spybot.

[ivy]

odinstalowałam Ashampoo i Spybota, plik HOSTS zresetowany a skrypt wklejony już po Twoim pierwszym poście. odinstalowałam też Avirę i zainstalowałam Comodo.

 

Results of screen317's Security Check version 0.99.9

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

```````````````````````````````

Anti-malware/Other Utilities Check:

HijackThis 2.0.2

CCleaner

Java 6 Update 24

Adobe Flash Player 10.2.152.32

Adobe Reader X (10.0.1)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Comodo Firewall cmdagent.exe

Comodo Firewall cfp.exe

``````````End of Log````````````

OTL.Txt

[picasso]

Wykonaj końcowe kroki:

 

1. Zmień wszystkie hasła logowań w serwisach. Rootkity MBR parają się przechwytywaniem tych danych.

 

2. Możesz skasować te foldery z dysku, odpadki po instalacjach oraz odpadki po operacjach checkdiska (wszystkie FOUND.00X):

 

[2011-03-19 15:16:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dariusz\Ustawienia lokalne\Dane aplikacji\Privatefirewall
[2011-03-19 15:01:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Privacyware
[2011-03-19 10:28:50 | 000,000,000 | -HSD | C] -- C:\FOUND.003
[2011-03-13 11:03:18 | 000,000,000 | -HSD | C] -- C:\FOUND.002
[2011-02-23 09:18:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee

3. Z plikiem HOSTS jest coś tu nie tak, OTL nie listuje żadnej zawartości tego pliku:

 

O1 HOSTS File: ([2011-03-19 14:59:26 | 000,000,000 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

Otwórz ten plik w Notatniku i wstaw w nim domyślną dla Windows XP linię: 127.0.0.1 localhost.

 

4. W OTL wywołaj funkcję Sprzątanie. To sprzątnie nie tylko kwarantannę i OTL, ale także i odpadki HaxFix i KillBox.

 

5. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

6. Wyczyść foldery Przywracania systemu (INSTRUKCJE).

 

 

 

PS. Do Spika jesteś bardzo przywiązana? Aktualnie ma bardzo słabą obsługę Gadu (i niestety nie jest rozwijany) .... Alternatywy dobrze opisane w temacie: Darmowe komunikatory.

 

 

.

[ivy]

wszystkie punkty odfajkowane mam nadzieję, że póki co to koniec problemu.

co do spika - nie jestem z niego zbyt zadowolona od jakiegoś czasu - serwer się wiesza i czasem trudno się zalogować. plus jest taki, że nie ma reklam, co w gg jest bardzo irytujące. ale jako że mało z niego ost korzystam, to nie jest to palący problem. mimo to, przemyślę zmianę komunikatora, dziękuję za radę

ogólnie bardzo dziękuję za pomoc, zwłaszcza że to weekend

[picasso]

co do spika - nie jestem z niego zbyt zadowolona od jakiegoś czasu - serwer się wiesza i czasem trudno się zalogować. plus jest taki, że nie ma reklam, co w gg jest bardzo irytujące. ale jako że mało z niego ost korzystam, to nie jest to palący problem. mimo to, przemyślę zmianę komunikatora, dziękuję za radę

 

W temacie, do którego kieruję, patrz na: WTW, Mirandę, ewentualnie Kadu dla Windows lub beta Tlen 7 ("ewentualnie", gdyż pierwszy to port i ma to niestety pewne "uroki", ale program spokojnie da się używać, zaś drugi to niedopracowana beta). Skok ze Spika na WTW nie wydaje mi się trudny, kwestia wizualizacji innego rozstawienia opcji. Miranda to owszem może być zbyt duży "cios" konfiguracyjny, możliwe że do tego należy podejść dwa razy a nie jeden (w razie czego służę pomocą z wtyczkowaniem i konfiguracją). Programy cechuje: brak reklam, tryb przenośny, rozległa obsługa nowego protokołu GG8/10 (czego nie można powiedzieć o Spiku) = patrz na tabelki w temacie.

Jedna rzecz w WTW odpada: obsługa konta macierzystego Spika (czyli jabber.wp.pl). Serwer Spika to dinozaur, WTW nie obsługuje pewnych archaicznych elementów niezbędnych do zalogowania owego serwera, w WTW można logować tylko serwery XMPP zgodne z aktualną specyfikacją protokołu.

 

Obejrzyj sobie te opisy i rozważ co bardziej odpowiada Twoim gustom.

 

 

.

Edytowane 19 Kwietnia 2011 przez picasso
19.04.2011 - Temat rozwiązany, PW na temat Mirandy wysłane, zamykam. //picasso