Użyłam ComboFix bez nadzoru

[KlauuuduS1920]

Program avast wykrywał mi ciągle wirusy autorun oraz kavos. Niby je przerzucał do kwarantanny, ale to nic nie dawało. Gdzieś przeczytałam, żeby użyć COMBOFIX.

Wszystko ładnie działa. Ale gdy robie skanowanie avastem znowu wykrywa mi wirusy kavos oraz malware (jak coś nie tak to przepraszam bo się na tym nie znam). Nie wiem co mam robić. Proszę o pomoc. Wykryto mi ich ponad 800

[picasso]

Proszę dostarczyć:

 

1. Szczegółowy raport z Avast.

 

2. Log wygenerowany przy tamtym uruchomieniu ComboFix (nie uruchamiaj narzędzia ponownie!). Powinien być tu: C:\ComboFix.txt.

 

3. Obowiązkowe w tym dziale logi z OTL + GMER: KLIK.

 

 

 

.

[KlauuuduS1920]

Do tego komp mi się strasznie tnie... Niiby działa, ale jak się zatnie to nic nie można z nim zrobić. Najgorzej jak się włączy. Wtedy muszę czekać parę minut nawet jak nacisnę pasek startu. Niewiem czemu usunał mi się dziennik skanowania, a nie idzie na nowo zeskanować ;/

OTL.Txt

Extras.Txt

ComboFix.txt

[picasso]

Zabrakło loga z GMER, a system nie przygotowany do jego uruchomienia (KLIK), działa sterownik DAEMON Tools:

 

DRV - [2011-05-21 14:49:12 | 000,431,672 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Hmmmm, problem w tym, że w logu nie widać opisywanych objawów. Tzn. log z OTL (robiony po ComboFix usuwającym szkodniki) nie pokazuje żadnego składnika infekcji, jest tylko (na teraz nieistotny) drobny śmietek adware DAEMON Tools Toolbar i to nie może generować tak obszernych problemów. Niepokojące jest to co mówisz: "Wykryto mi ich ponad 800". Tak kuriozalna ilość detekcji pasuje do ... wirusa w wykonywalnych atakującego wszystkie pliki wykonywalne.

 

Pobierz narzędzie Kaspersky Virus Removal Tool, zastartuj do Trybu awaryjnego Windows (by go "odmulić" i ubić aktywność Avast) i uruchom to narzędzie konfigurując do skanu wszystko. Ewentualne wykryte infekcje zaprezentuj, przeklejając z raportu narzędzia. Interesują mnie tylko wyniki infekcyjne.

 

 

 

.

[KlauuuduS1920]

Właśnie log z GMER jest w trakcie roboty więc zaraz powinnam dostarczyć.

GMER już mi się robi chyba z 15 min, a zrobiłam wszystko według instrukcji.

Zawsze to trwa tak długo ?

[picasso]

GMER już mi się robi chyba z 15 min, a zrobiłam wszystko według instrukcji.

Zawsze to trwa tak długo ?

 

Tak, GMER może się w wielkim mozole produkować. Nawet kilka godzin. Dopóki wykazuje oznaki życia, nie przerywaj mu. System musi być zdiagnozowany pod kątem infekcji typu rootkit.

[KlauuuduS1920]

Oto log z GMER.

GMER.txt

[picasso]

A mówiłam: sterownik SPTD od DAEMON Tools miał być wyłączony (podany link z instrukcjami), GMER stworzony w złym środowisku zaciemnionym działaniem tego sterownika. Ale zostaw to już i przejdź do skanowania za pomocą Kasperskiego.

[KlauuuduS1920]

Programu użyłam w normalnym trybie, gdyż jak uruchamiałam system to nie mogłam poruszać strzałkami z klawiatury żeby najechać na tryb awaryjny.

kaspersky.txt jest robiony w trybie "Automatic scan raport" a kaspesky2.txt w "manual disinfection scan"

Edytowane 21 Lipca 2011 przez picasso
Załączniki usunięte. //picasso

[picasso]

Programu użyłam w normalnym trybie, gdyż jak uruchamiałam system to nie mogłam poruszać strzałkami z klawiatury żeby najechać na tryb awaryjny.

 

To jest kwestia braku ładowania sterowników USB w Trybie awaryjnym. Rozwiązanie to: w BIOS włączyć opcję brzmiącą podobnie do "Enable USB Legacy Support", bądź też tymczasowe podpięcie klawiatury typu PS/2.

 

Te raporty nie służą mi do niczego. Mówiłam: "Ewentualne wykryte infekcje zaprezentuj, przeklejając z raportu narzędzia. Interesują mnie tylko wyniki infekcyjne.". Pierwszy log to same wyniki "OK" i "Packer" = bezużyteczne. Drugi raport to w ogóle nie miało być prowadzone. Załączniki usuwam.

 

Owych tajemniczych "800 wirusów" (dopuszczam tu jeszcze jakieś przejęzyczenie...) nie mogę w ogóle ocenić, bo nie ma tu żadnych danych na ten temat, raporty Avast niedostępne. Skoro w logach nie widać śladu infekcji, Kaspersky jej nie potwierdza a system strasznie muli = na próbę odinstaluj Avast z systemu i sprawdź co to da.

 

 

.

[KlauuuduS1920]

Ok, a mogłaby pani polecić jakiś inny antywirus, który "nie obciąża" systemu?

[picasso]

KlauuuduS1920 na razie żadnego "polecania", ponieważ nie jest wiadome czy Avast jest tu czemuś winny. Na razie sprawdzam koncepcję, gdyż nie widzę elementów infekcji i wybieram do testu program najbardziej rzucający się w oczy. Czyli: odinstaluj + restart systemu i zdaj relację z wyników, a wtedy pogadamy o ew. zamiennikach, jeśli w ogóle będzie o czym gadać.

[KlauuuduS1920]

Tak po odinstalowaniu komputer działa tak jak należy jednak nadal zastanawia mnie fakt, dlaczego avast wykrył dokładnie 804 zainfekowane pliki jeżeli nic nie wykazało.

[picasso]

Ja też jestem skonfundowana. Dostarczony materiał tego nie potwierdza, a raporty Avast zaginione w akcji i nie można nawet zweryfikować o co mu chodziło.... Ja tu bym jeszcze spróbowała co się stanie po podjęciu się instalacji Avast na nowo = czy system wykaże te same złe zachowania. Może zaistniały jakieś specyficzne okoliczności ogłupiające Avast. Czy objawy bardzo spowolnionego systemu występowały od razu po instalacji Avast?

 

 

Zamknięcie pobocznych spraw, 3x deinstalacja:

 

1. Odinstaluj śmiecia DAEMON Tools Toolbar (W Dodaj / Usuń programu + menedżerze rozszerzeń Firefox, a także zresetuj stronę startową IE).

 

2. Odinstaluj Kaspersky Virus Removal Tool.

 

3. Odinstaluj w prawidłowy sposób ComboFix w Start > Uruchom > wklejając komendę:

 

"c:\documents and settings\Daniel\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall

 

 

 

.

[KlauuuduS1920]

Avast działał poprawnie do momentu ponownego uruchomienia komputera.

[picasso]

Rozumiem, że mowa o ponownej instalacji (?). Restart "zatwierdza" ładowanie sterowników Avast, toteż efekt silnie widoczny po restarcie. Skoro Avast tworzy takie problemy, to zamiennie wypróbuj darmowy program antywirusowy Panda Cloud Antivirus. Antywirus działa w odmiennej technice tzw. "chmurze", czyli wymaga aktywnego połączenia z internetem (aczkolwiek przy jego braku potrafi się przełączyć tymczasowo na lokalne cache).

[KlauuuduS1920]

Chodziło mi o to, że za pierwszym razem avast działał dobrze do czasu ponownego uruchomienia się komputera.

Po ponownym zainstalowaniu programu jest wszystko ok (trochę wolniej działa komputer, ale da się przeżyć )

[picasso]

Czy wykonałaś pozostałe instrukcje? Dodatkowo dorzucam jeszcze zabezpieczenie przed wykonaniem infekcji via autorun.inf na urządzeniach przenośnych: opcja Computer Vaccination w Panda USB Vaccine.

[KlauuuduS1920]

Tak wykonałam wszystko tak jak Pani napisała.

Dla lepszego komfortu przerzuciłam się z avasta na pandę. Komputer działa o niebo lepiej.

 

Bardzo dziękuję za pomoc.

[picasso]

Na finał zawsze przeznaczam aktualizacje oprogramowania (istotne pod kątem łatania luk). Spis z Twojego systemu:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ALLPlayer V2.2" = ALLPlayer V2.2
"Cool's_Codec_pack_4.12" = Codec Pack - All In 1 6.0.3.0
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)

• Podstawy aktualizacyjne: INSTRUKCJE. Bardzo zdezelowany IE, który należy zaktualizować. Do aktualizacji także Firefox, Flash (w wersjach IE i Firefox) oraz Adobe Reader.
  
• Są tu mocno przestarzałe kodeki (mogą tworzyć problemy w systemie) i archaiczny AllPlayer. Sugeruję pozbyć się wszystkiego na korzyść odtwarzacza, który jest niezależny i jedzie na własnych kodekach bez wymogu instalacji dodatkowych (bądź też wykazuje dużą niezależność). Do takich odtwarzaczy można zaliczyć darmowe: VLC Player, Kantaris MediaPlayer, MPLayer for Windows, SMPlayer, PotPlayer, Media Player Classic (ten ostatni tylko częściowo niezależny).
  
• Polecam także wymianę ciężkiego GG10 pływającego w soku reklam programem alternatywnym z obsługą Gadu. W temacie Darmowe komunikatory są przedstawione alternatywy liczące się na dzień dzisiejszy: AQQ, Kadu, WTW, Miranda. Pogrubiony to moje szczere polecenia. WTW nie ma żadnych reklam, jest lekki, portable, dobrze obsługuje wszystkie ważne cechy GG10 i potrafi zaimportować archiwum GG10. Przy okazji: instalacja IE8 to w zasadzie wymóg dla prawidłowego renderowania okien rozmowy.
  

 

 

.

[KlauuuduS1920]

Dziękuję bardzo za pomoc.

Zrobiłam wszystko co Pani poleciła.