Fre4ky Opublikowano 21 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2011 Zacznę od początku - ojciec przyszedł do mnie z pendrivem, co oczywiście skończyło się źle, czyli dostałem jakiegoś syfa który zablokował mi menadżera, oraz edycję rejestru. Poradziłem sobie z blokadą rejestru i pomyszkowałem w nim znajdując dwa wpisy blokujące mi rejestr i menadżera. Usunąłem je, ale one pojawiały się co jakieś 10 sekund na nowo. Również co jakiś czas zmieniały mi się opcje w systemie np. wyświetlanie ukrytych plików i folderów. Nigdy nie używałem żadnych anty-virusów (jestem na tyle ostrożny w sieci, że przez parę lat mogę nie złapać żadnego syfa), ale postanowiłem zainstalować avasta. Niestety instalator się "sam" wyłączał po jakichś 10 sekundach. Wtedy przywróciłem system do sytuacji sprzed około tygodnia. I problem teoretycznie zniknął (tak, mnie też to zdziwiło). Odpaliłem menadżera, a tam dwa procesy MOM.exe (jednego miałem od zawsze, szczerze nie wiem od czego on jest), jednego nie da się wyłączyć (nigdy się nie dało), a ten drugi skacze po liście jak szalony i nie da się go nawet zaznaczyć, a co dopiero wyłączyć <lol>. Przy świeżo włączonym komputerze zużycie procka waha się od 50-55%, a zawsze było max 2%. W dodatku obok kursora jest wkurzająca klepsydra która nie znika. Komputer był skanowany Hijackthisem, który nie znalazł nic podejrzanego (właściwie to nigdy mi nic nie znalazł), czyściłem rejestr EasyCleanerem, kasowałem nim również niepotrzebne pliki i niektóre programy z autostartu. No i użyłem ComboFixa (nie wieszajcie na mnie psów, tylko dzięki temu programowi trafiłem na to forum, a wtedy już było za późno. Jestem tylko przeciętnym graczem, nie mam żadnych wartościowych rzeczy na kompie ;] Zależy mi tylko na tym żeby komp tak nie zamulał. Posiadam system XP 32-bit, resztę zobaczycie z logów. PS. Nienawidzę Avasta, zainstalowałem go jako ostateczność. Lecz jest on już przeszłością. Miałem program do emulacji Daemon Tools Lite, usunąłem go i wydaje mi się, że on sam automatycznie usunął ten sterownik SP~ ponieważ program z forum go nie wykrył, ani nie ma wpisu w rejestrze z tym sterownikiem. Log z GMERa wkleję jak skończy skanować. Aczkolwiek już zauważyłem, że znalazł i podkreślił na czerwono tego MOM.exe. Edit. Niestety GMER się zwiesił, a razem z nim cały komputer, po czym nastąpił reset ;/ Edit2. Po drugiej próbie również. Edit3. Poczekam na pomoc jeszcze 30 minut i robię formata. ComboFix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2011 Edit3. Poczekam na pomoc jeszcze 30 minut i robię formata. Rozumiem, że zadanie wykonane i moje komentarze będą mieć charakter poziomu "teoretycznego". Cóż, ComboFix usunął folder związany z infekcją z przenośnych. W przedstawionych logach nie ma śladów aktywnej infekcji, ale po pierwsze robiłeś przywracanie systemu (fałszujące sprawę), po drugie OTL nie pracuje na poziomie mogącym wykryć komponenty rootkit, a mówiłeś: Log z GMERa wkleję jak skończy skanować. Aczkolwiek już zauważyłem, że znalazł i podkreślił na czerwono tego MOM.exe. Z tym, że to nic nie oznacza. Na czerwono mogą być także obiekty które się zawiesiły i są mylnie ocenione jako "rootkit". Log z rootkit detekcji był tu niezbędny, gdybym pisała wcześniej, dostałbyś instrukcje jak dostarczyć dane przy stawiającym opór GMER. Odpaliłem menadżera, a tam dwa procesy MOM.exe (jednego miałem od zawsze, szczerze nie wiem od czego on jest), jednego nie da się wyłączyć (nigdy się nie dało), a ten drugi skacze po liście jak szalony i nie da się go nawet zaznaczyć, a co dopiero wyłączyć . Ważna ścieżka dostępu, a danych tych nie uzyskasz w półsprawnym menedżerze zadań Windows, ale w alternatywnym programie typu Process Explorer tak. Tego procesu nie widać tu w OTL, co może sugerować jedno z dwóch: że proces jest prawidłowy i działa biała lista filtrowania lub proces jest ukryty techniką rootkit. Istnieje w przyrodzie prawidłowy obiekt o nazwie mom.exe = to może być ATI Catalyst Center (C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe). ATI tu niewątpliwie jest. Komputer był skanowany Hijackthisem, który nie znalazł nic podejrzanego (właściwie to nigdy mi nic nie znalazł) Nie chwytam co rozumiesz przez "nie znalazł nic podejrzanego", skoro to nie jest skaner tylko narzędzie analityczne, które należy samemu rozpracować. Ponadto, HijackThis jest bezużyteczny w analityce w czasach obecnych, narzędzie nie przedstawia połowy wymaganych danych, które są z kolei przedstawione w OTL. . Odnośnik do komentarza
Fre4ky Opublikowano 22 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 22 Kwietnia 2011 Tak, już po fakcie Uznałem, że za dużo czasu straciłem próbując naprawić to samemu, w tym czasie zdąrzyłbym zrobić ze trzy formaty... Dla mnie było szkoda zachodu. Dodam, że menedżer urządzeń wykrywał mi 4 (słownie: cztery) procesory, a avast nic nie znalazł przy gruntownym skanowaniu C:\ i skanowaniu przed uruchomieniem systemu. Już nigdy nie wsadze cudzego pendrive'a do swojej maszyny bez poprzedniego zainstalowania jakiejś ochrony. Dziękuję za odpowiedź. Edit. Nie chwytam co rozumiesz przez "nie znalazł nic podejrzanego", skoro to nie jest skaner tylko narzędzie analityczne, które należy samemu rozpracować. Ponadto, HijackThis jest bezużyteczny w analityce w czasach obecnych, narzędzie nie przedstawia połowy wymaganych danych, które są z kolei przedstawione w OTL. Wkleiłem loga na stronke: http://www.hijackthis.de tam automatycznie sprawdza loga i wyświetla informacje. Odnośnik do komentarza
picasso Opublikowano 22 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 22 Kwietnia 2011 Wkleiłem loga na stronke: http://www.hijackthis.de tam automatycznie sprawdza loga i wyświetla informacje. Na tym daleko nie zajedziesz. Przestrzegam przed używaniem analizerów tego rodzaju, należy jeszcze "poprawić" po automacie i ocenić czy ma rację. Format nastąpił. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi