pkolasa Opublikowano 6 Stycznia 2012 Zgłoś Udostępnij Opublikowano 6 Stycznia 2012 Witam Was serdecznie, znajoma poprosiła mnie o pomoc z laptopem, ponieważ "w ogóle jej nie słucha". Po pierwsze - gdy pracuje na nim, np. pisze na czacie w Firefox, lub robi cokolwiek innego, system nagle, w pewnym momencie zaczyna w miejsce wpisywanych znaków wrzucać jej losowe inne, np. źćńżźł albo jakieś znaczki euro itp. Po drugie - gdy próbuje uruchomić niektóre aplikacje, przykładowo Mozillę, to efekt po dwukliku jest taki, jakby kliknęła prawym i wybrała Właściwości. Po trzecie - gdy czasem zminimalizuje okno, choćby Firefoxa, to nie da się go odtworzyć, po prostu nie chce się przywrócić. Na te trzy dolegliwości, które jednak totalnie blokują pracę, działa kilkukrotne wciśnięcie Ctrl + Alt + Delete, co go, według słów znajomej, "odblokowuje". Po czwarte - nagle Avast IS zaczął wyświetlać komunikat o braku ochrony, ponieważ jego stan jest "niespójny". Osłon nie da się aktywować. Po piąte - próbowałem poprzez TeamViewer wykonać logi, jednak przy module przesyłania plików, w kliencie wiekuiście widać informację o pobieraniu zawartości, chociaż równolegle sama zdalna kontrola śmiga. OTL w dwóch wariantach zawiesza się już na starcie, gdy w pasku statusu widać informację o pobieraniu przez niego informacji o dyskach. Zadziałał DDS i takie też logi dołączam. Na komputerze był Daemon Tools Lite oraz SPTD, które odinstalowałem, ale tak przed deinstalacją, jak i po niej, GMER zawiesza się, gdy skanowanie wywołane przez Szukaj dochodzi (chyba) do sekcji Urządzenia (skończywszy IAT/EAT). Niestety, pełnego loga nie dam na razie - znajoma w przypływie nadgorliwości kliknęła, jak GMER skończył po dwóch godzinach pracę w OK. Po szóste - przypadkiem zauważyłem, że w folderze C:\Users\ znajdują się dwie dziwne wersje profilu znajomej (Ole<krzaczek>ka i Oleńka - załączam screen, jak to wygląda). Dołączam też pełne dzienniki logów - w LogMeIn zauważyłem w sekcji Overview (tam jest podgląd najnowszych Dzienników zdarzeń Windows), kilka interesujących błędów, więc pomyślałem, że może się przydać. Po siódme - sprawdziłem system TDSSKillerem - i poza niepodpisanymi sterownikami znalazł ślady rootkita TDSS - dlatego zdecydowałem się na wybór Działu pomocy doraźnej. Szczególnie, iż znajoma prosiła mnie zawsze o pomoc z komputerem, a nie kojarzę usuwania na nim tego rootkita, ani żeby cokolwiek się tam działo - co potwierdza ostatni znaleziony raport, poza dzisiejszym - nie ma tam nic o żadnych niepodpisanych sterownikach (ani już tym bardziej o TDSS). Znajoma twierdzi, że skanowała co jakiś tam czas komputer Avastem (ostatni raport TDSS Killer jest z sierpnia), więc od sierpnia na pewno miało to miejsce, ale niestety - pakiet kasuje co 30 dni dzienniki, więc przepadło i nie wiem, czy tam coś wykrywał - znajoma tego nie pamięta. Po ósme - system czasem ma, według znajomej, kłopoty ze startem (np. wczoraj resetowała go trzy razy, żeby wystartował i dopiero za 4-tym zaskoczył) i jakieś dziwne reakcje np. na zamknięcie pokrywy (po otwarciu widać tylko tapetę). Dołączam więc (dla podsumowania): logi z DDS, przedskanowy z Gmer, raport z Autoruns (jak w przyklejonym w dziale Windows Vista dla błędów aplikacji) i raport z UserProfilesView (sid.vbs się nie uruchamia, Windows wyświetla TAKI komunikat) TUTAJ - ze względu na to dziwne nazewnictwo w C:\Users, a także log najnowszy z TDSS Killer (w starym, tym z sierpnia, wykryty tylko zablokowany SPTD). Natomiast spakowane dzienniki zdarzeń są dostępne TUTAJ. Cała nasza nadzieja w Was - co zrobić, żeby system działał normalnie? Czeka nas format, czy też poradzimy sobie inaczej? P.S. Zastanawia mnie tylko inna rzecz. Wiecie może, tak z ciekawości - jak wygląda kwestia dat w plikach rootkita TDSS? Udało mi się wyciągnąć pliki z kwarantanny TDSS Killer (skopiowałem tam dane z tego ukrytego systemu plików) i podejrzeć pliki konfiguracyjne w Notatniku. To, co tam zawarte, a także TDSS Killer, datują te pliki na stworzone 25 marca 2010. A w sierpniu 2011 TDSS Killer nie wykrywał tego na dysku. Dziwne trochę, albo ja coś niewłaściwie rozumiem. Pliki na pewno należą do rootkita, bo mój ESET po pobraniu alarmował o wykryciu trojana Alureon w pliku dll wyjętym z kwarantanny. (ale to takie teoretyczne rozważanie tylko)</krzaczek> DDS.txt Attach.txt GMER_preskan.txt AutoRuns.txt TDSSKiller.2.6.25.0_06.01.2012_00.17.54_log.txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2012 Zgłoś Udostępnij Opublikowano 6 Stycznia 2012 (edytowane) Temat zapewne przeniosę. Brak znaków infekcji w stanie czynnym. Autoruns wykazuje lekkie rozbieżności od DDS, tzn. widzi puste wpisy po infekcji w obszarze startowym. Usuwałeś już coś nim przed tworzeniem logów z DDS? Czy one są czy ich nie ma już = bez znaczenia, gdyż wpisy puste. W związku z rozbieżnością logów w dalszym wątku wypunktuję to co widzę w Autoruns, mimo że być może już to zlikwidowałeś. Po siódme - sprawdziłem system TDSSKillerem - i poza niepodpisanymi sterownikami znalazł ślady rootkita TDSS - dlatego zdecydowałem się na wybór Działu pomocy doraźnej. Szczególnie, iż znajoma prosiła mnie zawsze o pomoc z komputerem, a nie kojarzę usuwania na nim tego rootkita, ani żeby cokolwiek się tam działo - co potwierdza ostatni znaleziony raport, poza dzisiejszym - nie ma tam nic o żadnych niepodpisanych sterownikach (ani już tym bardziej o TDSS). Znajoma twierdzi, że skanowała co jakiś tam czas komputer Avastem (ostatni raport TDSS Killer jest z sierpnia), więc od sierpnia na pewno miało to miejsce, ale niestety - pakiet kasuje co 30 dni dzienniki, więc przepadło i nie wiem, czy tam coś wykrywał - znajoma tego nie pamięta. Wykryty przez TDSSKiller system plików TDLFS wygląda raczej na pozostałość, jest prawdopodobne że to stara niedoczyszczona sprawa, choćby patrząc na zawartość systemu plików (to starszy wariant). Nie pamiętam już od kiedy TDSSKiller ma funkcję wykrywania systemu plików i sprawdzania podpisów cyfrowych, ale jest możliwe że w owym czasie operowano na wersji, która nie miała tych opcji (bądź też poprzednio w skanowaniu ich nie zaznaczono), toteż system plików rootkita po prostu został ominięty. Po pierwsze - gdy pracuje na nim, np. pisze na czacie w Firefox, lub robi cokolwiek innego, system nagle, w pewnym momencie zaczyna w miejsce wpisywanych znaków wrzucać jej losowe inne, np. źćńżźł albo jakieś znaczki euro itp.Po drugie - gdy próbuje uruchomić niektóre aplikacje, przykładowo Mozillę, to efekt po dwukliku jest taki, jakby kliknęła prawym i wybrała Właściwości. Po trzecie - gdy czasem zminimalizuje okno, choćby Firefoxa, to nie da się go odtworzyć, po prostu nie chce się przywrócić. Na te trzy dolegliwości, które jednak totalnie blokują pracę, działa kilkukrotne wciśnięcie Ctrl + Alt + Delete, co go, według słów znajomej, "odblokowuje". Hmmm, jeden + dwa = mysz / klawiatura? Procesy? Po czwarte - nagle Avast IS zaczął wyświetlać komunikat o braku ochrony, ponieważ jego stan jest "niespójny". Osłon nie da się aktywować. Próbowałeś prostej reinstalacji? Po szóste - przypadkiem zauważyłem, że w folderze C:\Users\ znajdują się dwie dziwne wersje profilu znajomej (Oleka i Oleńka - załączam screen, jak to wygląda). Wygląda to na uszkodzony katalog. Po ósme - system czasem ma, według znajomej, kłopoty ze startem (np. wczoraj resetowała go trzy razy, żeby wystartował i dopiero za 4-tym zaskoczył) i jakieś dziwne reakcje np. na zamknięcie pokrywy (po otwarciu widać tylko tapetę). Na czym polegały te "kłopoty ze startem" (zawieszenia / błędy / "czarny ekran" / ...), i na którym ekranie startowym (BIOS / logo Windows / ekran logowania / ...)? avast! Internet Security nie jest tu wykluczony jako potencjalny sprawca. Natomiast spakowane dzienniki zdarzeń są dostępne TUTAJ. W przeglądanym Dzienniku zdarzeń są np. takie błędy: System Zdarzenie 7044 Service Control Manager Uruchamianie następującej usługi trwa ponad 4 min, co może oznaczać, że usługa przestała odpowiadać: avast! Antivirus Zdarzenie 7022 Service Control Manager Usługa avast! Antivirus zawiesiła się podczas uruchamiania. Trudno powiedzieć czy to przypadkowe, czy Avast tu rzeczywiście tworzy problem, ale to pasuje do problemów ze startem. Zdarzenie 9, iaStor Nie można odnaleźć opisu dla identyfikatora zdarzenia 9 ze źródła iaStor. (...) Do zdarzenia dołączono następujące informacje: \Device\Ide\iaStor0 Ten błąd iaStor dręczy w kółko. Niestety brak opisu, być może formuła to: "... did not respond within the timeout period", a do tego można przypasować ten artykuł w bazie Intel (KLIK): Description The following issues may occur on Windows Vista* with a supported Intel® RAID controller hub: Unable to install Windows Vista (system halts during installation) Performance degradation Timeout errors reported by iastor or iastor(v) in Microsoft Event Viewer* Solution Install Intel® Matrix Storage Manager version 7.5 or later. Nie jest znana dokładna wersja / data sterowników Intel (uroki raportu DDS), ale patrząc po wyciągniętej przez DDS nazwie na liście zainstalowanych, czyli "Intel® Matrix Storage Manager", jest wiadome, że jest to stara postać. Aktualnie sterowniki Intel to "Intel Rapid Storage Technology". Zdarzenie 13, ACPI : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. To się pojawiło ledwie kilka razy, ale sugeruje obszar sprzętowy i potrzebę aktualizacji (BIOS / sterowniki). Application Tu różne losowe błędy nie wyróżniające lidera. Są pewne incydentalne odnośniki do błędów związanych z plikami kodeków oraz "explorer.exe zatrzymał interakcję" (co też można podciągnąć pod kodeki na oko). Plus powtarzalny błąd WMI o identyfikatorze 10, znaczenie jednak nikłe i łatwo to skorygować (KLIK). Proponuję wstępnie: 1. Usunąć (przynajmniej tymczasowo) Avasta, by go definitywnie wykluczyć. Plus odciążyć start systemu, w Autoruns wyłącz: Logon "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "" "" ""+ "Adobe ARM" "Adobe Reader and Acrobat Manager" "Adobe Systems Incorporated" "c:\program files\common files\adobe\arm\1.0\adobearm.exe"X "Adobe Reader Speed Launcher" "Adobe Acrobat SpeedLauncher" "Adobe Systems Incorporated" "c:\program files\adobe\reader 10.0\reader\reader_sl.exe"+ "APSDaemon" "Apple Push" "Apple Inc." "c:\program files\common files\apple\apple application support\apsdaemon.exe"X "AutoKMS" "" "" "File not found: C:\Windows\AutoKMS.exe"X "Camera Assistant Software" "traybar" "Chicony" "c:\program files\camera assistant software for toshiba\traybar.exe"X "Google Desktop Search" "Google Desktop" "Google" "c:\program files\google\google desktop search\googledesktop.exe"X "Google EULA Launcher" " " " " "c:\program files\google\google eula\googleeulalauncher.exe"X "jswtrayutil" "" "" "File not found: C:\Program Files\Jumpstart\jswtrayutil.exe"+ "Malwarebytes' Anti-Malware (reboot)" "" "" "File not found: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"+ "ORAHSSSessionManager" "" "" "File not found: C:\Program Files\Livebox\SessionManager\SessionManager.exe"+ "SunJavaUpdateSched" "Java Update Scheduler" "Sun Microsystems, Inc." "c:\program files\common files\java\java update\jusched.exe"+ "topi" "TOSHIBA Online Product Information" "TOSHIBA" "c:\program files\toshiba\toshiba online product information\topi.exe"X "Toshiba Registration" "Vista Registration" "Toshiba" "c:\program files\toshiba\registration\toshibaregistration.exe"X "WinampAgent" "Winamp Agent" "Nullsoft, Inc." "c:\program files\winamp\winampa.exe"+ "Windows Defender" "Windows Defender User Interface" "Microsoft Corporation" "c:\program files\windows defender\msascui.exe" "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" "" "" ""X "TOSHIBA Face Recognition Watcher.lnk" "" "" "c:\program files\toshiba\smartfacev\smartfacevwatcher.exe" "C:\Users\Oleńka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" "" "" ""X "Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk" "Microsoft OneNote Quick Launcher" "Microsoft Corporation" "c:\program files\microsoft office\office14\onenotem.exe" "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" "" "" ""+ "ALLUpdate" "" "" "c:\program files\allplayer\allupdate.exe"X "cdoosoft" "" "" "File not found: C:\Users\OLEKA~1\AppData\Local\Temp\herss.exe"+ "ChomikBox" "" "" "File not found: C:\Program Files\ChomikBox\ChomikBox.exe"X "DAEMON Tools Lite" "" "" "File not found: C:\Program Files\DAEMON Tools Lite\daemon.exe"X "EA Core" "" "" "File not found: C:\Program Files\Electronic Arts\EADM\Core.exe"X "Expressivo" "" "" "File not found: C:\Program Files\ivo\Expressivo\expressivo.exe"+ "Facebook Update" "Facebook Installer" "Facebook Inc." "c:\users\oleńka\appdata\local\facebook\update\facebookupdate.exe"X "IPLA!" "ipla" "Redefine Sp z o.o." "c:\program files\ipla\ipla.exe"X "NVIDIA driver monitor" "" "" "File not found: c:\users\public\nvsvc32.exe" (not found do kasacji) Services "HKLM\System\CurrentControlSet\Services" "" "" ""+ "AdobeARMservice" "Narzedzie Adobe Acrobat Updater zapewnia aktualnosc oprogramowania firmy Adobe." "Adobe Systems Incorporated" "c:\program files\common files\adobe\arm\1.0\armsvc.exe"+ "GoogleDesktopManager-051210-111108" "Aktualizuje Google Desktop o najnowsze poprawki bezpieczeństwa, ulepszenia i funkcje. Usługa działa okresowo, więc nie obciąża komputera. Zatrzymanie lub wyłączenie usługi może spowodować nieprawidłowe działanie Google Desktop." "Google" "c:\program files\google\google desktop search\googledesktop.exe"+ "gupdate" "Zapewnia aktualizację Twojego oprogramowania Google. Jeśli ta usługa zostanie wyłączona lub zatrzymana, oprogramowanie Google nie będzie aktualizowane, co oznacza, że zauważone luki w zabezpieczeniach nie mogą być naprawiane, a funkcje mogą nie działać. Ta usługa odinstalowuje się samoczynnie, gdy nie ma żadnego oprogramowania Google, które z niej korzysta." "Google Inc." "c:\program files\google\update\googleupdate.exe"+ "gupdatem" "Zapewnia aktualizację Twojego oprogramowania Google. Jeśli ta usługa zostanie wyłączona lub zatrzymana, oprogramowanie Google nie będzie aktualizowane, co oznacza, że zauważone luki w zabezpieczeniach nie mogą być naprawiane, a funkcje mogą nie działać. Ta usługa odinstalowuje się samoczynnie, gdy nie ma żadnego oprogramowania Google, które z niej korzysta." "Google Inc." "c:\program files\google\update\googleupdate.exe"+ "UleadBurningHelper" "ULCDRSvr" "Ulead Systems, Inc." "c:\program files\common files\ulead systems\dvd\ulcdrsvr.exe"+ "WinDefend" "Skanuj komputer w poszukiwaniu niechcianego oprogramowania, zaplanuj skanowania i pobieraj najnowsze definicje niechcianego oprogramowania." "Microsoft Corporation" "c:\program files\windows defender\mpsvc.dll"+ "wlidsvc" "Umożliwia uwierzytelnianie za pomocą identyfikatora Windows Live." "Microsoft Corp." "c:\program files\common files\microsoft shared\windows live\wlidsvc.exe"X "WMPNetworkSvc" "Udostępnia biblioteki programu Windows Media Player innym odtwarzaczom i urządzeniom multimedialnym w sieci przy użyciu technologii Universal Plug and Play" "Microsoft Corporation" "c:\program files\windows media player\wmpnetwk.exe" Scheduled Tasks Można wywalić zadania Google / Facebook / Apple / Real. Przy okazji: rozważyć deinstalację nieużywanych aplikacji Toshiba + oczywiście śmieć sponsoringowy DAEMON Tools Toolbar leci w niebyt. 2. Odinstalować kodeki (widzę K-Lite Codec Pack 6.2.0 Basic). Potem można rozważyć instalację najnowszej wersji w wydaniu podstawowym Basic. 3. Wykonać sprawdzanie poprawności plików systemowych komendą sfc /scannow (KLIK). 4. Wykonać skanowanie struktury systemu plików poleceniem chkdsk /f /r. 5. Wykonać aktualizację sterowników Intel Rapid Storage Technology (KLIK) i co jeszcze możliwe z zakresu wsparcia sprzętowego. . Edytowane 16 Marca 2012 przez picasso 16.03.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi