part Opublikowano 3 Września 2011 Zgłoś Udostępnij Opublikowano 3 Września 2011 Witam. To co tu napiszę może być niezwiązane z problemem, ale wychodzę z założenia, że lepiej za dużo, niż za mało Od kilku dni przestał się wczytywać Gmail w Operze, ale tylko jedno konto nie działało. Nie pomagało czyszczenie cache ni reinstalacja Opery. Za namową znajomego użyłem opcji przywracania systemu do stanu z dnia, w którym wszystko działało. Nie pomogło, a zniknęło trochę softu zainstalowanego w międzyczasie, więc chciałem cofnąć przywracanie i zaczęły się jaja - po przywróceniu system się nie uruchamiał, odpalało się tylko narzędzie do naprawy systemu przy starcie, które żeby było śmieszniej było po angielsku, mimo, że zaznaczyłem tam język polski. Narzędzie początkowo mimo długiego mielenia dyskiem nie mogło naprawić problemu, ale po 2 albo nawet 3 użyciach, kiedy już w sumie straciłem nadzieję, nagle system się uruchomił i wszystko było OK (sądząc po zainstalowanych aplikacjach przywracanie systemu zostało cofnięte). Potem wykonałem standardowe czyszczenie dysku ze śmieci (używam do tego CCleanera) i defragmentację "boot time" ze sprawdzeniem dysków programem Puran Defrag. Nie byłem pewien, czy ma ona zastosowanie do wszystkich plików, czy tylko do systemowych, więc odpaliłem jeszcze "normalną" defragmentację tym samym programem, podczas której Avast wywalił komunikat o rootkicie wrzucony w załączniku. Kliknąłem OK, zawiesił się Puran Defrag, a Avast wyrzucił drugie takie samo okienko. Mlasnąłem ponownie OK, Avast poinformował mnie, że chciałby zrestartować kompa, coby poskanować sobie pliki przy boocie, a poprosił mnie o to tak grzecznie, że poczułem się oczarowany i pozwoliłem. Nie znalazł nic. No i w zasadzie tyle. Niby już czysto, ale chcę się upewnić, więc wykonałem logi. Plik, o który Avast się rzucał nadal istnieje, ale już się o niego nie rzuca, ręczne skanowanie też nic nie znajduje. Z uwag technicznych: Defoggera użyłem już po wykonaniu loga z OTL, ale nic chyba nie zablokował i nawet nie chciał restartować kompa, więc myślę, że to nie zaszkodziło. Nie mam pojęcia skąd mógłbym mieć rootkita, gdyż nic podejrzanego nie było odpalane/ściągane, a komputer moim zdaniem jest wystarczająco zabezpieczony, choć oczywiście jeżeli się mylę proszę o wskazanie mi ewentualnych kroków, które warto podjąć. A może to był fałszywy alarm? PS: Przy okazji - staram się uważać na to co instaluję, ale jeżeli w systemie są jakieś zbędniki, to proszę o ich wskazanie, chętnie się pozbędę Results of screen317's Security Check version 0.99.18 Windows 7 Service Pack 1 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: avast! Free Antivirus WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: CCleaner Java 6 Update 26 Adobe Flash Player 10.3.183.5 Mozilla Firefox (x86 pl..) ```````````````````````````````` Process Check: objlist.exe by Laurent AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe ``````````End of Log```````````` skan1.txt skan2.txt OTL.Txt Extras.Txt defogger_disable.txt Odnośnik do komentarza
Flavius Opublikowano 4 Września 2011 Zgłoś Udostępnij Opublikowano 4 Września 2011 Plik, o który Avast się rzucał nadal istnieje, ale już się o niego nie rzuca, ręczne skanowanie też nic nie znajduje. + Nie mam pojęcia skąd mógłbym mieć rootkita, gdyż nic podejrzanego nie było odpalane/ściągane, a komputer moim zdaniem jest wystarczająco zabezpieczony, choć oczywiście jeżeli się mylę proszę o wskazanie mi ewentualnych kroków, które warto podjąć. A może to był fałszywy alarm? Plik usbcir.sys to systemowy standartowy sterownik a nie żaden rootkit! Cały alarm avasta to bullshit.Zresztą nie pierwszy raz widzę jak ten soft atakuje systemowe pliki, były także przypadki uszkodzenia systemu przez ten soft. Odnośnik do komentarza
part Opublikowano 4 Września 2011 Autor Zgłoś Udostępnij Opublikowano 4 Września 2011 Znaczy się rootkity nigdy nie atakują systemowych sterowników? Odnośnik do komentarza
MatiK Opublikowano 4 Września 2011 Zgłoś Udostępnij Opublikowano 4 Września 2011 Atakują ale Avast jest trochę nadgorliwy - zdarza mu się niepotrzebnie zdenerwować. Po przeczytaniu twoich logów mnie osobiście martwi to Error - 2011-08-19 04:07:43 | Computer Name = BlackRaven | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Proszę dostarcz logi z MHDD https://www.fixitpc.pl/topic/141-mhdd-podstawowa-instrukcja-obslugi/ i jeżeli nie będzie infekcji to temat chyba przeniesie się do działu Hardware. Tak jeszcze na marginesie - z ochrony komputera brakuje Ci firwalla z HIPS-em ale o tym później po wyjaśnieniu problemów z dyskiem. Odnośnik do komentarza
picasso Opublikowano 4 Września 2011 Zgłoś Udostępnij Opublikowano 4 Września 2011 W tym przypadku aplikację "wspomożono", by ją wprowadzić w błąd. Avast działał w warunkach: Potem wykonałem standardowe czyszczenie dysku ze śmieci (używam do tego CCleanera) i defragmentację "boot time" ze sprawdzeniem dysków programem Puran Defrag. Nie byłem pewien, czy ma ona zastosowanie do wszystkich plików, czy tylko do systemowych, więc odpaliłem jeszcze "normalną" defragmentację tym samym programem, podczas której Avast wywalił komunikat o rootkicie wrzucony w załączniku. Kliknąłem OK, zawiesił się Puran Defrag, a Avast wyrzucił drugie takie samo okienko. Podstawowa sprawa: podczas defragmentacji wyłącza się programy antywirusowe, wszystkie osłony rezydentne z aktywnością skanowania plików podczas dostępu muszą być zdeaktywowane. System plików jest "w ruchu". To może powodować zamieszanie z odczytem widzialności plików (aka odczyt "rootkit"). Problem nie jest ekskluzywny dla Avast. Znaczy się rootkity nigdy nie atakują systemowych sterowników? Atakują, na dzień dzisiejszy jest to wręcz podstawa zainteresowań rootkitów. Tu na forum naprzemiennie infekcje TDL i ZeroAccess (infekują losowo sterowniki systemowe). Jeśli program antywirusowy określa sterownik jako zainfekowany, jest tu prowadzona dodatkowa diagnostyka, a nawet wymiana na wyrost przy braku pewności. Nie w Twoim przypadku (defragmentacja robiona przy czynnym Avast). . Odnośnik do komentarza
Flavius Opublikowano 4 Września 2011 Zgłoś Udostępnij Opublikowano 4 Września 2011 Atakują ale Avast jest trochę nadgorliwy - zdarza mu się niepotrzebnie zdenerwować. Po przeczytaniu twoich logów mnie osobiście martwi to Error - 2011-08-19 04:07:43 | Computer Name = BlackRaven | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Proszę dostarcz logi z MHDD https://www.fixitpc.pl/topic/141-mhdd-podstawowa-instrukcja-obslugi/ i jeżeli nie będzie infekcji to temat chyba przeniesie się do działu Hardware. Tak jeszcze na marginesie - z ochrony komputera brakuje Ci firwalla z HIPS-em ale o tym później po wyjaśnieniu problemów z dyskiem. A czy wogóle orientujesz o jaki nośnik jest raportowany błąd? - bardzo wątpię by chodziło o dysk systemowy.Gość może mieć kilka pendrivów,czytników pamięci czy dyski przenośne.Jeśli np chodzi o dysk przenośny to raczej MHDD mu się nie przyda bo ten nie potrafi obsługiwać dysków na USB,skanowania powierzchni urządzeń na USB też raczej sobie nie poradzi z tego co ja wiem. Pierwszy dysk zwykle jest oznaczony jako \Device\Harddisk0\DR0 a ten jest oznaczony jako Device\Harddisk1\DR1 - więc tu raczej chodzi albo o dysk na USB,pendrive lub kartę pamięci.Jest takie narzędzie "dd for Windows" http://www.chrysocome.net/dd które potrafi identyfikować te magiczne oznaczenia.Ażeby dostać pełny raport trzeba uruchomić konsolę w trybie administratora i wklepać plecenie dd --list Ażeby narzedzie działało w dowolnej lokalizacji (bez przemieszczania się do folderu gdzie znujduje się narzędzie) to należy dodać ścieżkę do narzędzia w zmiennych środowiskowych. Nie zawsze ten błąd oznacza fizyczne uszkodzenie nośnika,jeśli sprawa dotyczy pendriva to na ogół chodzi o drobne uszkodzenie systemu plików czy informacji o wolnym miejscu na nim. Odnośnik do komentarza
part Opublikowano 5 Września 2011 Autor Zgłoś Udostępnij Opublikowano 5 Września 2011 Pytanie o to czy rootkity atakują sterowniki było raczej retoryczne @up - raczej chodzi o dysk systemowy, bo podczas tworzenia logów nic nie było podpięte. Dzięki za odzew, spodziewałem się, że to fałszywy alarm, ale wolałem się upewnić. Program dd wypluł coś takiego: rawwrite dd for windows version 0.6beta3.Written by John Newbigin <jn@it.swin.edu.au> This program is covered by terms of the GPL Version 2. Win32 Available Volume Information \\.\Volume{be09e2a5-c9fb-11e0-87f3-806e6f6e6963}\ link to \\?\Device\HarddiskVolume1 fixed media Mounted on \\.\c: \\.\Volume{be09e2a6-c9fb-11e0-87f3-806e6f6e6963}\ link to \\?\Device\HarddiskVolume3 fixed media Mounted on \\.\d: \\.\Volume{e1c56a87-cc0c-11e0-8842-14dae91571fc}\ link to \\?\Device\SftVol fixed media Mounted on \\.\q: NT Block Device Objects \\?\Device\Harddisk0\Partition0 link to \\?\Device\Harddisk0\DR0 Fixed hard disk media. Block size = 512 size is 250059350016 bytes \\?\Device\Harddisk0\Partition1 link to \\?\Device\HarddiskVolume1 \\?\Device\Harddisk0\Partition2 link to \\?\Device\HarddiskVolume2 Fixed hard disk media. Block size = 512 size is 16106127360 bytes \\?\Device\Harddisk0\Partition3 link to \\?\Device\HarddiskVolume3 Fixed hard disk media. Block size = 512 size is 126559977472 bytes \\?\Device\Harddisk0\Partition4 link to \\?\Device\HarddiskVolume4 Fixed hard disk media. Block size = 512 size is 16777216 bytes Virtual input devices /dev/zero (null data) /dev/random (pseudo-random data) - (standard input) Virtual output devices - (standard output) /dev/null (discard the data) Nie mam pojęcia czym jest dysk Q, chyba jakiś program mi go już pokazywał, system nie widzi. Strzelam, że to partycja recovery? Z uruchomieniem MHDD bedzie problem ze względu na brak napędu optycznego (netbook). Spróbuję z USB jeżeli uznacie po powyższym logu, że jest to potrzebne. Ale to już nie dziś. Dodam jeszcze, że to nowy komputerek - używany raptem 2 tygodnie, niezbyt intensywnie, oczywiście na gwarancji, ale wolałbym się z nim nie rozstawać nawet na 1 dzień, bo jest potrzebny, więc mam nadzieję, że dysk jest sprawny. Poza opisywanymi przypadkami nie sprawia póki co żadnych problemów, trochę czasem muli, ale to może być tylko takie wrażenie, bo na co dzień używam dużo mocniejszego sprzętu. Edit: Doczytałem datę i godzinę - jest to noc po dniu, w którym kupiłem kompa, używa go moja dziewczyna i nie ma pewności, ale wydaje jej się, że o 4 rano tej nocy już spała, a komp był wyłączony. Nie przypomina sobie żadnych problemów z działaniem. Kojarzę, że świeżo po instalacji systemu była lekko przestawiona data, nie pamiętam o ile, ale niewiele (1 dzień brzmi prawdopodobnie) - być może zatem błąd wystąpił zanim otrzymałem kompa? Odnośnik do komentarza
picasso Opublikowano 6 Września 2011 Zgłoś Udostępnij Opublikowano 6 Września 2011 Z uruchomieniem MHDD bedzie problem ze względu na brak napędu optycznego (netbook). Spróbuję z USB jeżeli uznacie po powyższym logu, że jest to potrzebne. Ale to już nie dziś. Ja natomiast się waham czy to ma jakiekolwiek znaczenie, jest błędem trwałym świadczącym o usterce. Chodzi o daty błędów w logu (i jeszcze poniżej twierdzisz, że to zaraz po zakupie). Błędy te wystąpiły dnia 19 sierpnia i nie widać, by były odnotowane w późniejszym czasie (czyli brak powtarzalności). Poza tym, nie ten dysk: @up - raczej chodzi o dysk systemowy, bo podczas tworzenia logów nic nie było podpięte. Podczas tworzenia logów nie musiało być nic dodatkowego podpięte, przecież to są błędy sprzed wielu dni wyciągnięte z Dziennika i zostaną wyciągnięte niezależnie od tego jaki jest aktualny stan ilości urządzeń. Numeracja nie potwierdza, że chodzi o dysk systemowy. W spisie występują tylko odnośniki Harddisk0. W błędach jest Harddisk1. Tu prędzej zaistniało coś w tym rodzaju: KLIK. Zresztą ... już w pierwszym poście w GMER było widać, co jest dyskiem systemowym: Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.ESBO Edit: Doczytałem datę i godzinę - jest to noc po dniu, w którym kupiłem kompa, używa go moja dziewczyna i nie ma pewności, ale wydaje jej się, że o 4 rano tej nocy już spała, a komp był wyłączony. Nie przypomina sobie żadnych problemów z działaniem. Kojarzę, że świeżo po instalacji systemu była lekko przestawiona data, nie pamiętam o ile, ale niewiele (1 dzień brzmi prawdopodobnie) - być może zatem błąd wystąpił zanim otrzymałem kompa? To raczej przekłamania OTL (wyciąga błędy z przesunięciem czasowym). Mówiłam o tym w tym temacie: KLIK. Niepodważalny odczyt kiedy konkretnie wystąpiły te błędy pozyskasz tylko w oryginalnym Dzienniku. Nie mam pojęcia czym jest dysk Q, chyba jakiś program mi go już pokazywał, system nie widzi. Strzelam, że to partycja recovery? \\.\Volume{e1c56a87-cc0c-11e0-8842-14dae91571fc}\ link to \\?\Device\SftVol fixed media Mounted on \\.\q: SRV - [2010-04-24 01:10:54 | 000,209,768 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)SRV - [2010-04-24 01:10:44 | 000,483,688 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)DRV - [2010-04-24 01:10:54 | 000,019,304 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftvollh.sys -- (Sftvol)DRV - [2010-04-24 01:10:52 | 000,021,864 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\Sftredirlh.sys -- (Sftredir)DRV - [2010-04-24 01:10:50 | 000,195,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftplaylh.sys -- (Sftplay)DRV - [2010-04-24 01:10:44 | 000,550,760 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Sftfslh.sys -- (Sftfs) To dysk wirtualny App-V (u Ciebie prawdopodobnie skutek montowania Office 2010). Omawiany np. w tym temacie na forum: KLIK. PS. I zaktualizuj aplikacje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox 6.0 (x86 pl)" = Mozilla Firefox 6.0 (x86 pl) Firefox 6.0.2, Java SE 7 (JRE), Adobe Flash Player 10.3.183.7 (stronę należy otworzyć po kolei w IE i Firefox, są podawane inne instalatory Adobe) . Odnośnik do komentarza
Flavius Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 @up - raczej chodzi o dysk systemowy, bo podczas tworzenia logów nic nie było podpięte. vs: NT Block Device Objects \\?\Device\Harddisk0\Partition0 link to \\?\Device\Harddisk0\DR0 Fixed hard disk media. Block size = 512 size is 250059350016 bytes \\?\Device\Harddisk0\Partition1 link to \\?\Device\HarddiskVolume1 \\?\Device\Harddisk0\Partition2 link to \\?\Device\HarddiskVolume2 Fixed hard disk media. Block size = 512 size is 16106127360 bytes \\?\Device\Harddisk0\Partition3 link to \\?\Device\HarddiskVolume3 Fixed hard disk media. Block size = 512 size is 126559977472 bytes \\?\Device\Harddisk0\Partition4 link to \\?\Device\HarddiskVolume4 Fixed hard disk media. Block size = 512 size is 16777216 bytes Z całą pewnością nie jest to dysk systemowy.Ten jest oznaczony tak jak pisałem \\?\Device\Harddisk0\DR0 brak informacji o innych nośnikach czyli nosnik do którego odnosił się ten błąd nie był od dawna używany gdyż zwykle dd pokazuje ślady używanych urządzeń (także odłączonych).Chodzi tu niewątpliwie o jakiś nośnik wymienny (pendrive,karta pamięci) -na wszelki wypadek możesz zweryfikować swoje przenośne nośniki choć nie sądzę aby to było coś poważnego - błąd ten często się pojawia w dzienniku zdarzeń dla urządzeń przenośnych i tak jak pisałem wczesniej na ogół to nie jest powazny problem. Odnośnik do komentarza
part Opublikowano 7 Września 2011 Autor Zgłoś Udostępnij Opublikowano 7 Września 2011 Dzięki wszystkim za odzew. Podczas tworzenia logów nie musiało być nic dodatkowego podpięte' date=' przecież to są błędy sprzed wielu dni wyciągnięte z Dziennika i zostaną wyciągnięte niezależnie od tego jaki jest aktualny stan ilości urządzeń.[/quote']Oczywista sprawa. Datę doczytałem już po tamtym odkrywczym stwierdzeniu i zapomniałem to wyedytować To dysk wirtualny App-V (u Ciebie prawdopodobnie skutek montowania Office 2010). Office 2010 już raz odinstalowywałem' date=' a później jakimś cudem znów widziałem w "programach i funkcjach". Da się tego jakoś łatwo pozbyć raz na zawsze? PS. I zaktualizuj aplikacje: Przerażające, że 2 tygodnie po instalacji systemu połowa oprogramowania jest do wymiany Ale akurat wymienione rzeczy powinny się zaktualizować same. FX nawet już to zrobił Ciekawi mnie, że nie przyczepiłaś się do IE8. A jeszcze bardziej to, że dziewiątka nie spłynęła sama z WU. Myślę, że możemy przejść do tego: Tak jeszcze na marginesie - z ochrony komputera brakuje Ci firwalla z HIPS-em ale o tym później po wyjaśnieniu problemów z dyskiem. Polecacie coś? Odnośnik do komentarza
picasso Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 (edytowane) Ale akurat wymienione rzeczy powinny się zaktualizować same. Przypuszczalnie Java nie, ze względu na różnice, i ewentualna najwyższa wersja to będzie podane Java 6 Update 27 a nie Java 7. Tu na forum nawet było takie zdarzenie, że Java 6 Update 26 zwróciła brak aktualizacji, mimo oczywistej dostępności 7. Ciekawi mnie, że nie przyczepiłaś się do IE8. A jeszcze bardziej to, że dziewiątka nie spłynęła sama z WU. Patrz w log z OTL, co program pokazuje jako bieżącą wersję: Starter Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstationInternet Explorer (Version = 9.0.8112.16421) OTL jest bardziej wiarygodny niż SecurityCheck apropos wyciągania tych danych. Office 2010 już raz odinstalowywałem, a później jakimś cudem znów widziałem w "programach i funkcjach". Da się tego jakoś łatwo pozbyć raz na zawsze? Na Twojej liście zainstalowanych nie widzę pakietu Office 2010 w pełnej krasie, ale pod postacią: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Office14.Click2Run" = Moduł Szybka instalacja pakietu Microsoft Office 2010 Jeśli instalowano Office metodą Click-to-Run (co tutaj widać w ciągu nazwy), wtedy jest montowany ten Application Virtualization Desktop Client i całkiem możliwe, że nie posiada odrębnego zapisu deinstalacji. Spróbuj odinstalować wskazaną pozycję Office i zweryfikuj czy to usunęło także fragmenty App-V. Polecacie coś? Np. darmowe PrivateFirewall. Tylko, że w Avast należy zredukować liczbę osłon (Monitor zachowań i Osłonę sieci), by nie stworzyć niejakiego dubla funkcji. . Edytowane 7 Października 2011 przez picasso 7.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi