babij121 Opublikowano 27 Października 2011 Zgłoś Udostępnij Opublikowano 27 Października 2011 Ostatnio ściągnąłem program Combofix, oczywiście wcześniej nic o nim nie przeczytałem i teraz mam tego konsekwence... A więc to było tak: Jeszcze dzisiaj chciałem przeskanować komputer i kolega poradził mi ten program. Ściągam, uruchamiam, program skanuje. I tutaj pojawia się pierwszy błąd... przy etapie 50, pojawia się informacja "Usuwanie plików" i pojawia się blue screen "BAD_POOL_HEADER". Przy włączeniu komputera i pojawieniu się pulpitu słychać 3 bardzo szybkie piknięcia. No nic myślałem, że to zbieg okoliczności odpalam combofixa jeszcze raz. To samo. Tym razem jak włączyłem komputer pojawił się komunikat: "System odzyskał sprawność po poważnym błędzie" i gdy go zamykałem, po chwili pojawiał się znowu, zostawiłem go i po chyba pół godzinie go zamknąłem i już się nie pojawił. Jakaś godzinka spokoju, zrobiłem skan programem "Malwarebytes Anti-Malware" I nagle pisk, temperatura komputera wynosiła ponad 65stopni, gdzie normalnie była tak 41-43, a alarm się włączał przy 60stopniach... Wyłączyłem komputer, po 15 minutach sprawdziłem, sytuacja wydaje się być opanowana, temperatura w normie, zostały tylko te 3 piknięcia... Logi z OTL w załączniku. PS. Logów z GMER'a nie mogę załączyć ponieważ po uruchomieniu programu (po jakiejś sekundzie od zobaczenia programu) pojawia się BSoD "BAD_POOL_HEADER" OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2011 Zgłoś Udostępnij Opublikowano 27 Października 2011 Póki co, nie widzę tu żadnych oznak infekcji (tylko szajs adware w postaci pasków w przeglądarkach, ale tym zajmiemy się potem). Jednakże brak odczytu pod kątem obecności rootkit: Logów z GMER'a nie mogę załączyć ponieważ po uruchomieniu programu (po jakiejś sekundzie od zobaczenia programu) pojawia się BSoD "BAD_POOL_HEADER" Nie przygotowałeś wcale systemu do jego uruchomienia, w tle działa ofensywny sterownik SPTD od Alcohola (KLIK): DRV - [2011-09-19 09:15:33 | 000,443,448 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Jeszcze dzisiaj chciałem przeskanować komputer i kolega poradził mi ten program. Jaki był powód skanowania, tzn. czy miałeś konkretne podejrzenia, że w systemie rezyduje infekcja? Ściągam, uruchamiam, program skanuje. I tutaj pojawia się pierwszy błąd...przy etapie 50, pojawia się informacja "Usuwanie plików" i pojawia się blue screen Sprawdź czy jest nagrany jakikolwiek odczyt co ComboFix usuwał, bo jest to nie do odgadnięcia na podstawie opisu. Czyli czy masz plik C:\ComboFix.txt lub w katalogu C:\Qoobox plik tekstowy z wyciągiem usuniętych. Przy włączeniu komputera i pojawieniu się pulpitu słychać 3 bardzo szybkie piknięcia. (...) Jakaś godzinka spokoju (...)I nagle pisk, temperatura komputera wynosiła ponad 65stopni, gdzie normalnie była tak 41-43, a alarm się włączał przy 60stopniach... (...) sytuacja wydaje się być opanowana, temperatura w normie, zostały tylko te 3 piknięcia... Problem wzrostu temperatury wygląda na przypadek, a jeśli to będzie powtarzalne, załóż pod tym kątem nowy temat w dziale Hardware. A te trzy piknięcia to nie pochodzą przypadkiem od tweakera VDOTool? Przeprowadź test: Start > uruchom > msconfig > w karcie Uruchamianie odptaszkuj pozycję Gainward i zresetuj system. Nadal sekwencja pisków? Nawiasem mówiąc, ogólnie polecam deinstalację tej staroci VDOTool 5.9. Po tej akcji znikną te starawe sterowniki narzędzia: DRV - [2007-03-16 10:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)DRV - [2007-03-16 10:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex) . Odnośnik do komentarza
babij121 Opublikowano 27 Października 2011 Autor Zgłoś Udostępnij Opublikowano 27 Października 2011 Nie przygotowałeś wcale systemu do jego uruchomienia, w tle działa ofensywny sterownik SPTD od Alcohola (KLIK): Teraz to zrobiłem, BSoD dalej się pojawia podczas próby włączenia programu. Jaki był powód skanowania, tzn. czy miałeś konkretne podejrzenia, że w systemie rezyduje infekcja? Miałem ping około 1000 podczas gdy nic nie ściągałem ani nie miałem włączonej aplikacji która mogłaby coś ściągać. Znajomi, którzy mieli internet od tego samego dostawcy nie mieli tego problemu. Sprawdź czy jest nagrany jakikolwiek odczyt co ComboFix usuwał, bo jest to nie do odgadnięcia na podstawie opisu. Czyli czy masz plik C:\ComboFix.txt lub w katalogu C:\Qoobox plik tekstowy z wyciągiem usuniętych. Nic takiego nie widzę, jest folder Combofix, który ma ikonkę "Mój Komputer" i gdy go użyje dwuklikiem, otworzy się Mój Komputer Problem wzrostu temperatury wygląda na przypadek, a jeśli to będzie powtarzalne, załóż pod tym kątem nowy temat w dziale Hardware. A te trzy piknięcia to nie pochodzą przypadkiem od tweakera VDOTool? Przeprowadź test: Start > uruchom > msconfig > w karcie Uruchamianie odptaszkuj pozycję Gainward i zresetuj system. Nadal sekwencja pisków? Nawiasem mówiąc, ogólnie polecam deinstalację tej staroci VDOTool 5.9. Po tej akcji znikną te starawe sterowniki narzędzia: w karcie Uruchamianie, nie było pozycji Gainward. Odinstalowałem VDOTool 5.9 i już nie słychać pikania. Dziwne, bo program ten miałem zainstalowany już wcześniej a pikania nie było. Dopiero po użyciu Combofixa Odnośnik do komentarza
picasso Opublikowano 27 Października 2011 Zgłoś Udostępnij Opublikowano 27 Października 2011 Teraz to zrobiłem, BSoD dalej się pojawia podczas próby włączenia programu. Rozumiem, że nie ograniczyłeś się do deinstalacji Alcohola (to nie usuwa sterownika SPTD) tylko zająłeś się SPTD jako takim? Jeśli tak, to już zostaw tego GMERa. Nic takiego nie widzę, jest folder Combofix, który ma ikonkę "Mój Komputer" i gdy go użyje dwuklikiem, otworzy się Mój Komputer Otwieranie "Mój komputer" to przykrywka, ten folder ma całkiem inną zawartość ukrytą przed wzrokiem i tam logów nie ma. Czy na pewno w folderze C:\Qoobox (w logu z OTL go widzę na dysku) nie ma żadnego tekstowego pliku z usuwanymi? Miałem ping około 1000 podczas gdy nic nie ściągałem ani nie miałem włączonej aplikacji która mogłaby coś ściągać. Znajomi, którzy mieli internet od tego samego dostawcy nie mieli tego problemu. Czy ten problem nadal jest lub od którego momentu ustąpił? Tak patrząc na Twój log to mam conajmniej dwóch podejrzanych: 1. Proxifier (biblioteka wszczepiona w łańcuch Winsock). O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\PrxerNsp.dll ()O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\system32\PrxerDrv.dll (Initex)O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\system32\PrxerDrv.dll (Initex)O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINDOWS\system32\PrxerDrv.dll (Initex) 2. HotspotShield (wstawia się do używanych przez połączenie sieciowe komponentów). SRV - [2011-08-09 22:04:38 | 000,741,224 | ---- | M] (Tunngle.net GmbH) [Auto | Running] -- F:\Tunngle\TnglCtrl.exe -- (TunngleService)SRV - [2011-07-01 20:40:36 | 000,063,976 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files\Hotspot Shield\bin\HssTrayService.exe -- (HssTrayService)SRV - [2011-07-01 20:38:58 | 000,298,824 | ---- | M] () [Auto | Running] -- C:\Program Files\Hotspot Shield\bin\openvpnas.exe -- (hshld)SRV - [2011-05-25 02:54:54 | 000,329,544 | ---- | M] () [Auto | Running] -- C:\Program Files\Hotspot Shield\bin\hsswd.exe -- (HssWd)SRV - [2011-05-25 01:40:12 | 000,363,336 | ---- | M] (AnchorFree Inc.) [Auto | Running] -- C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe -- (HssSrv)DRV - [2011-05-25 01:40:12 | 000,037,376 | ---- | M] (AnchorFree Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HssDrv.sys -- (HssDrv)DRV - [2011-05-25 01:40:10 | 000,032,768 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\taphss.sys -- (taphss)DRV - [2009-09-16 08:02:40 | 000,027,136 | ---- | M] (Tunngle.net) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tap0901t.sys -- (tap0901t) TAP-Win32 Adapter V9 (Tunngle) w karcie Uruchamianie, nie było pozycji Gainward. A to dziwne, wg OTL był taki wpis: O4 - HKLM..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe (Palit Microsystems, Inc.) Dziwne, bo program ten miałem zainstalowany już wcześniej a pikania nie było. Dopiero po użyciu Combofixa Trochę powątpiewam w bezpośredni wpływ ComboFix, może ten brutalny BSOD, który wystąpił podczas pracy narzędzia, rozkalibrował VDOTool w jakiś sposób. To teraz możemy się zająć tymi śmieciami. 1. Przejdź do Dodaj / Usuń programy i odinstaluj: Babylon toolbar on IE, BitTorrentBar Toolbar, DVDVideoSoftTB Toolbar, free-downloads.net Toolbar, Winamp Toolbar. Opcjonalnie można wyrzucić też Bing Bar i Yahoo! Companion. 2. Otwórz Google Chrome i w Opcjach zresetuj domyślną wuszukiwarkę z Conduit na powiedzmy np. Google, a w rozszerzeniach odinstaluj BitTorrentBar i DVDVideoSoftTB. 3. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj (ale tylko Rejestr ustaw na Użyj filtrowania, resztę ustaw na Brak) + AD-Remover z opcji Scan. . Odnośnik do komentarza
babij121 Opublikowano 27 Października 2011 Autor Zgłoś Udostępnij Opublikowano 27 Października 2011 Otwieranie "Mój komputer" to przykrywka, ten folder ma całkiem inną zawartość ukrytą przed wzrokiem i tam logów nie ma. Czy na pewno w folderze C:\Qoobox (w logu z OTL go widzę na dysku) nie ma żadnego tekstowego pliku z usuwanymi? Z plików tekstowych jest tylko 1: C:\Qoobox\Quarantine\catchme.log I jego zawartość: -------- 2011-10-27 - 16:27:51 ------------- -------- 2011-10-27 - 16:43:02 ------------- -------- 2011-10-27 - 17:46:48 ------------- -------- 2011-10-27 - 17:47:16 ------------- Czy ten problem nadal jest lub od którego momentu ustąpił? Nie, problem w dalszym ciągu trwa. W każdej chwili ping może opaśc jak i się podnieść. W Start > Uruchom > cmd wpisałem ping www.google.pl i wynik był taki: Odpowied« z 74.125.39.99: bajt˘w=32 czas=38ms TTL=51 Odpowied« z 74.125.39.99: bajt˘w=32 czas=38ms TTL=51 Odpowied« z 74.125.39.99: bajt˘w=32 czas=389ms TTL=49 Odpowied« z 74.125.39.99: bajt˘w=32 czas=492ms TTL=51 W programie Ventrillo również jest napisany ping i gdy rozmawiam ze znajomymi to ten ping potrafi skakac od 40 do 1000+ w karcie Uruchamianie, nie było pozycji Gainward. Co do tego, była jedna pusta pozycja, zresztą dalej jest. rubryka "Element startowy" jak i "Polecenie" są puste więc wolałem tego nie ruszać. jest tylko "Lokalizacja": HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2011 Zgłoś Udostępnij Opublikowano 27 Października 2011 Z plików tekstowych jest tylko 1 Pozamiatane. Niestety nie jestem w stanie pobrać wiedzy co uczynił ComboFix. I to nauczka na przyszłość. Nie, problem w dalszym ciągu trwa. Przetestuj Proxifier i HotspotShield. Czytaj: testowa deinstalacja. Po deinstalacji Hotspota upewnij się, że połączenia sieciowe zostały z tego uwolnione, czyli w Panel sterowania > Połączenia sieciowe > prawoklik na każde z używanych i Właściwości > w karcie Ogólne odinstaluj Hotspot, o ile będzie taka pozycja. Co do tego, była jedna pusta pozycja, zresztą dalej jest.rubryka "Element startowy" jak i "Polecenie" są puste więc wolałem tego nie ruszać. jest tylko "Lokalizacja": HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run To nie to. Zaś w OTL nie widac nic pasującego do tego, tzn. nie ma żadnych wpisów bez nazwy. Są dwa klasyfikowane jako puste, ale mają wyasygnowaną nazwę. Pokaż na obrazku co widzisz w msconfig. Dalsze czyszczenie wtrętów adware (przy okazji usunę też martwe rozszerzenia Kasperskiego w Firefox): 1. Uruchom AD-Remover w trybie Clean, co przeczyści wykryte przez narzędzie wpisy. Firefox musi być zamknięty podczas tej operacji, gdyż AD-Remover będzie operował "na otwartym sercu" (prefs.js). 2. Drobna poprawka na wpisy, których powyższy proces nie ruszy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\1511a586-d6fc-42a2-bd12-ff47e573bdf3] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] [HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions] "virtualKeyboard@kaspersky.ru"=- "linkfilter@kaspersky.ru"=- :OTL CHR - Extension: BitTorrentBar = C:\Documents and Settings\qwe\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\mhfdcmehmjcclgopdodkjdicohagipid\2.3.0.15_0\ CHR - Extension: DVDVideoSoftTB = C:\Documents and Settings\qwe\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\plmlpkfpkijnlijgalnjaacllnjmoamo\2.0.1.4_0\ [2011-10-11 17:34:28 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\qwe\Dane aplikacji\Mozilla\Firefox\Profiles\aq8k07fl.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zresetowany. 3. Do oceny wystarczy tylko log z AD-Remover z opcji Scan. . Odnośnik do komentarza
babij121 Opublikowano 27 Października 2011 Autor Zgłoś Udostępnij Opublikowano 27 Października 2011 Przetestuj Proxifier i HotspotShield. Czytaj: testowa deinstalacja. Po deinstalacji Hotspota upewnij się, że połączenia sieciowe zostały z tego uwolnione, czyli w Panel sterowania > Połączenia sieciowe > prawoklik na każde z używanych i Właściwości > w karcie Ogólne odinstaluj Hotspot, o ile będzie taka pozycja. Zrobione. przez jakiś czas nie zauważyłem wzrostu pingu, dopiero teraz zobaczyłem, że podszedł bardzo mocno. Mogła to być jednak wina brata, który właśnie włączył laptopa (mamy podzielony internet routerem) ping www.google.pl : Odpowied« z 209.85.148.104: bajt˘w=32 czas=893ms TTL=53 Odpowied« z 209.85.148.104: bajt˘w=32 czas=1892ms TTL=53 Odpowied« z 209.85.148.104: bajt˘w=32 czas=1432ms TTL=53 Odpowied« z 209.85.148.104: bajt˘w=32 czas=1178ms TTL=53 I maksimum 2 minuty później: Odpowied« z 209.85.148.104: bajt˘w=32 czas=86ms TTL=51 Odpowied« z 209.85.148.104: bajt˘w=32 czas=35ms TTL=53 Odpowied« z 209.85.148.104: bajt˘w=32 czas=34ms TTL=53 Odpowied« z 209.85.148.104: bajt˘w=32 czas=35ms TTL=53 Gdy wchodzę na stronę http://www.speedtest.pl/ to ciągle pokazuje mi w miarę normalny ping. Pokaż na obrazku co widzisz w msconfig. 3. Do oceny wystarczy tylko log z AD-Remover z opcji Scan. Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2011 Zgłoś Udostępnij Opublikowano 27 Października 2011 1. Sieć: czyli konkluzje finałowe? 2. Pusty obiekt w msconfig: Start > Uruchom > regedit i wejdź do klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, a tam szukaj wartości bez nazwy do usuwania. 3. Operacje z usuwaniem śmieci: ukończone. Jako zamknięcie czyszczenia porządki po narzędziach, czyli deinstalacja AD-Remover + deinstalacja ComboFix poprzez wklejenie w Start > Uruchom > "pełna ścieżka do ComboFix.exe" /uninstall + na koniec Sprzątanie w OTL. I zaktualizuj Adobe Flash w IE (to inna wersja niż w Firefox) oraz Thunderbird. . Odnośnik do komentarza
babij121 Opublikowano 27 Października 2011 Autor Zgłoś Udostępnij Opublikowano 27 Października 2011 1. Sieć: czyli konkluzje finałowe? Nie mam zielonego pojęcia, brat niby nic nie ściąga i teoretycznie nie powinno być takiego pingu 2. Pusty obiekt w msconfig: Start > Uruchom > regedit i wejdź do klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, a tam szukaj wartości bez nazwy do usuwania. Zrobione. deinstalacja AD-Remover Po deinstalacji zostały 2 foldery: Backup i Quarantine. Wolę się upewnić, czy je też usunąć? ComboFix - odinstalowany OTL - posprzątany Odnośnik do komentarza
picasso Opublikowano 27 Października 2011 Zgłoś Udostępnij Opublikowano 27 Października 2011 Nie mam zielonego pojęcia, brat niby nic nie ściąga i teoretycznie nie powinno być takiego pingu Mnie chodziło o to, że w ostatnim poście nie było dla mnie jasne jaki jest końcowy stan na teraz, bo mówiłeś o skokach. W każdym razie, jeśli problem jest nadal, załóż nowy temat w dziale Sieci (krótko podsumuj, że Proxifier + HotSpot już były testowane), dostarczając tam raport z Net-Log. Tu temat będziemy zamykać, dedykowałeś go innemu zagadnieniu pierwotnie, co zostało rozwiązane. A skoro śladów infekcji tu nie wykryłam, temat być może przeniosę do działu Windows XP. Po deinstalacji zostały 2 foldery: Backup i Quarantine. Wolę się upewnić, czy je też usunąć? Tak. . Odnośnik do komentarza
Rekomendowane odpowiedzi