Luqi Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Witam serdecznie! Na wstępie chciałem podziękować wszystkim ochotnikom za czas, który włożą w pomoc dotyczącą mojego problemu, gdyż z góry wiem, że się bardzo rozpiszę - niestety. Mój problem zaczął się około miesiąca - półtorej temu. Dowiedziałem się, iż jestem na podsłuchach, crackerzy włamali się na moje konto pocztowe, facebooka, konto z grami i tym podobne. Używając Malware Anty-Spyware, SpyBOT'a, Zone Alerta oraz Eset Smart Security 4 przeskanowałem i wyczyściłem komputer, po czym wykonałem format dysku C: (dysk systemowy). Po tym formacie zaczęła się zabawa. Zostawiając komputer bezczynnie po pewnym czasie po prostu przestaje pracować dysk twardy (dioda HDD nie daje żadnych oznak, nie świeci się), a komputer adekwatnie do problemu się zawiesza. Kiedy gram w gry internetowe często także się zawiesza po dłuższej rozgrywce (na 100% nie z przegrzewania się). Sądzę, że może być to skutkiem jakiejś infekcji, ale równie dobrze bezpośrednią przyczyną może być uszkodzenie dysku twardego lub kości RAM. Informację o w/w problemach podałem opcjonalnie, nie wiedząc, czy może być to przyczyna głównego problemu. Tak więc - dochodzimy do sedna. Problemy z internetem. Grając w grę internetową (multiplayer) po dłuższej rozgrywce (1h~1,5h) ping zaczyna skakać ot tak sobie, ze stałych 15-20ms do 500ms, a nawet 2000ms (skoki trwają początkowo ułamki sekundy, a potem robią się coraz dłuższe, aż w końcu stale od 200ms do 2000ms). Po wyjściu z gry, wchodząc od razu na stronę speedtestu (sprawdzanie łącza internetowe) można zaobserwować znaczny spadek przesyłu danych (ze stałych 15mb/s do 4mb/s, a nawet 2mb/s). Dzieje się tak również nie grając w gry, ale na przykład po ściągnięciu czegoś dzieje się to samo. Również podczas randomowego korzystania z internetu, typu surfowanie po sieci potrafi się tak stać. Co najdziwniejsze, po restarcie komputera problem ustaje, do czasu ponownej rozgrywki, ściągania czegoś itp. Zaobserwowałem także, iż po zakończeniu procesu 'mgr.exe' internet (co prawda nie w pełni) ale stabilizuje się. Sądzę, że to jest oczywiste podłoże jakiegoś za przeproszeniem "syfu". Komputer był skanowany począwszy od SpyBOT'a: Kaspersky 2012, Eset Smart Security 4, Malwarebytes Anty-Malware, Zone Alert, Avast! i wieloma innymi, których nie pamiętam, gdyż używałem ich w akcie desperacji. Sądzę, że jest to jeden z bootkitów, ale kompletnie się na tym nie znam. Dodam, że komputer podczas gaszenia długo "przemiela" na ekranie "Trwa zamykanie systemu" - zamykanie trwa około 20-30s; Tak samo uruchamianie, podczas "przelatywania" paska ładowania systemu Windows XP, trwa to od 40s do minuty. Dodam, że przeczytałem już dziesiątki, a nawet setki różnych for internetowych i to właśnie wasze forum zostało dla mnie ostatnią deską ratunku. Dodam, że mam modem oraz router, więc może to też być coś na tych urządzeniach, lub ktoś podpinający się do sieci pomimo zabezpieczeń, po prostu nie mam bladego pojęcia co to... :| A może ten Win32:MBRoot na dysku (jest w skanie z GMERa)? Pozostawiam to specjalistom. Dodam, że mam sporo procesów svchost.exe oraz lsass.exe, tylko nie wiem czy jest to pożądane, bo raz piszą że tak, a raz, że nie. Dane dodatkowe: Specyfikacja sprzętu: DirectX: 9.0c (4.09.0000.0904)Procesor: AMD Athlon X2 2.11GHz (Dual-Core) Płyta główna: Foxconn (WinFast) N570SM2AA-8EKRS2H Karta Graficzna: GeForce 8600GT Dysk twardy: Hitachi HDS721616PLA380 Pamięć: 2x 1024mb (KingStone) System Operacyjny: Windows XP/SP 3 Router: TP-Link TL-WR740N Modem: Motorola SB5100E Security Check Log: Results of screen317's Security Check version 0.99.42 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` ESET Smart Security ZoneAlarm Firewall ZoneAlarm Free ZoneAlarm LTD Toolbar ZoneAlarm Security `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.61.0.1400 Adobe Flash Player 11.3.300.257 Adobe Reader X (10.1.3) Mozilla Firefox (13.0.1) ````````Process Check: objlist.exe by Laurent```````` CheckPoint ZoneAlarm vsmon.exe CheckPoint ZoneAlarm zatray.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Proszę więc uprzejmie o sprawdzenie mojego złomka pod kątem zagrożenia infekcjami i wszelkimi niedogodnościami. Na prawdę dziękuję z całego serca. UWAGA! GMER - został zrobiony tylko skan wstępny, gdyż podczas normalnej sesji windowsa podczas skanowania GMER'em przestawał pracować dysk twardy lub się zawieszał (dioda HDD albo nie świeciła albo świeciła ciągle), to samo dotyczy trybu awaryjnego. Wygląda to tak, jakby coś nie chciało zostać ujawnione. Myślę, że to wszystko. Liczę na pomoc! OTL.Txt Extras.Txt GMER (wstępny).txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Problemy mogą wynikać z dwóch przyczyn: 1. Jest tu conajmniej jedna czynna infekcja: O4 - HKU\S-1-5-21-2000478354-1757981266-725345543-1004..\Run: [AudioMenager] C:\Documents and Settings\Łuki\Dane aplikacji\mgr.exe () Ponadto, log z GMER wskazuje, że tu był (jest?) rootkit w MBR dysku. Wątpliwość stąd iż: co dopiero był tu temat wykazujący podobne cechy w GMER (rootkit nie wyglądał na czynnego w GMER, ale skaner Kasperskiego go w taki sposób wykrył) + robiłeś format dysku C (format i nadpis instalatorem XP powinien usunąć rootkita w MBR, a ślady po nim zawsze zostają po leczeniu, dopóki nie zrobisz zerowania dysku). 2. Kombinacja oprogramowania zabezpieczającego, czyli ZoneAlarm w połączeniu z przestarzałym ESET Smart Security. Ten system jest zajechany przeinwestowaną osłoną, duplikat zapory, wątpliwe by to sprzyjało pracy sieci. Tu się klaruje wyrzucenie wszystkiego i bardziej oprtymalny dobór zabezpieczenia. Działania wstępne pod kątem infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\UKI~1\USTAWI~1\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [iSW] File not found O4 - HKU\S-1-5-21-2000478354-1757981266-725345543-1004..\Run: [AudioMenager] C:\Documents and Settings\Łuki\Dane aplikacji\mgr.exe () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania, który przedstawisz. 2. Wykonaj nowy log OTL z opcji Skanuj (już bez Extras). Podaj odczyt alternatywny ze skanera Kaspersky TDSSKiller. Jeśli narzędzie coś wykryje, nie podejmuj jeszcze akcji i wynikom przyznaj Skip, zaprezentuj log tekstowy. . Odnośnik do komentarza
Luqi Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Wszystko wykonane według kolejności. Wrzucam logi. TDSSKiller wykrył SwitchBoard, ale to chyba jest podstawowe oprogramowanie instalowane przy którymś ze sterowników po formacie. Tak jak zostało napisane, wiem o tym, iż jest tutaj sporo namieszane z tymi programami zabezpieczającymi ale sam nie wiem co mnie najlepiej zabezpieczy przed tego typu infekcjami. Jaki antywirus, jaki firewall, nie mam zielonego pojęcia, być może tutaj otrzymam jakieś wskazówki. Co do zerowania dysku, szczerze nie mam pojęcia co oznacza ten termin i zaraz go wygoogluje. Powinienem podjąć jakieś kroki co do tego rootkitu? Standardowy proceder formatu wygląda u mnie następująco: odpalam format z płytki, wybieram formatowanie partycji C: i ponowne zainstalowanie systemu (opcja Szybkie formatowanie NTFS). O owym nadpisie instalatorem XP też nic nie wiem, też to wygoogluje, ale mam nadzieję, że otrzymam także tutaj fachową pomoc jak to zrobić. Dobrze by było gdybym się dowiedział jak wyrzucić wszystkie pozostałości oraz aktualne antywirusy i całe te oprogramowanie, czy format wystarczy? Czy trzeba też czyścić rejestr? Czy tylko odinstalować? Żeby te pozostałości nie kolidowały z przyszłym środowiskiem antywirusowym. Dodam jeszcze, że bardzo często po uruchomieniu komputera włączam przeglądarkę i chcąc wejść na jakąś stronę wyskakuje mi 'błąd połączenia z serwerem', natomiast internet jest, mogę grać w gry, rozmawiać przez Ventrilo, Skype itp. Aby strony działały muszę zrestartować komputer, czasami nawet 2x i dopiero załapuje i normalnie chodzą stronki. Serdecznie dziękuję za odpowiedź i czas poświęcony na sprawdzanie logów! OTL nowy.Txt 07012012_120759 (po wykonaniu skryptu).txt Kaspersky TDSSKiller.txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Skrypt pomyślnie wykonany, wpis infekcji usunięty. TDSSKiller wykrył SwitchBoard, ale to chyba jest podstawowe oprogramowanie instalowane przy którymś ze sterowników po formacie. Wyniki typu UnsignedFile.Multi.Generic to opcjonalna detekcja obiektów nie podpisanych cyfrowo, nie są jawną infekcją, to dopiero należy podać analizie. Nie, tu nie ma infekcji. Rootkit w MBR również nie został wykryty, toteż: Co do zerowania dysku, szczerze nie mam pojęcia co oznacza ten termin i zaraz go wygoogluje. Powinienem podjąć jakieś kroki co do tego rootkitu? Standardowy proceder formatu wygląda u mnie następująco: odpalam format z płytki, wybieram formatowanie partycji C: i ponowne zainstalowanie systemu (opcja Szybkie formatowanie NTFS). O owym nadpisie instalatorem XP też nic nie wiem, też to wygoogluje, ale mam nadzieję, że otrzymam także tutaj fachową pomoc jak to zrobić. Nadpis instalatorem XP już miał miejsce, ponieważ robiłeś to: "po czym wykonałem format dysku C: (dysk systemowy)". Był format i reinstalacja Windows (przebicie kodu w MBR). Ani format dysku ani leczenie rootkita innymi metodami nie usuwają wszystkich śladów rootkita z sektorów dysku. To normalne, te ślady zawsze pozostają, są nieczynne i nie ma potrzeby podejmować na nich dodatkowych działań. Jedynie zaznaczam, że by się całkowicie ich pozbyć, to już tylko zerowanie dysku, co jest działaniem bardziej inwazyjnym niż prosty format (wbicie zer w całość równe wymazaniu wiedzy systemu o wszelkich partycjach i innych danych). Jak mówię: rootkit zdaje się być usunięty + ślady zawsze pozostają = dalsza interwencja nie musi mieć miejsca. Dodam jeszcze, że bardzo często po uruchomieniu komputera włączam przeglądarkę i chcąc wejść na jakąś stronę wyskakuje mi 'błąd połączenia z serwerem', natomiast internet jest, mogę grać w gry, rozmawiać przez Ventrilo, Skype itp.Aby strony działały muszę zrestartować komputer, czasami nawet 2x i dopiero załapuje i normalnie chodzą stronki. Toteż czas się przekonać czy nie nagrabiłeś tu oprogramowaniem zabezpieczającym. Jak punktowałam: duplikat zapory, przestarzały ESET. Po kolei odinstaluj Zone Alarm i ESET Smart Security, następnie z poziomu Trybu awaryjnego popraw firmowym usuwaczem ESET Uninstaller. Zresetuj system i wyraźnie się wypowiedz czy widzisz poprawę w funkcjonowaniu sieci. . Odnośnik do komentarza
Luqi Opublikowano 2 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Tak też zrobię, ale czy nie będzie to niebezpieczne? Surfując po stronach internetowych bez żadnego zabezpieczenia? Być może jest coś, co mogłabyś polecić? Comodo Free? Avast! Free? Nie mam pojęcia jak się zabezpieczyć po usunięciu tychże staroci. Prosiłbym także o uwzględnienie ataków crackerów itp. Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Tak też zrobię, ale czy nie będzie to niebezpieczne? Surfując po stronach internetowych bez żadnego zabezpieczenia? Nie chodzi mi o to, by Cię zostawić "na golasa", tylko o porządną weryfikację czy aktualne oprogramowanie stanowi problem. Po podaniu wyników zajmiemy się wstawieniem czegoś. Odnośnik do komentarza
Luqi Opublikowano 2 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Zrobiłem to, ale aby potwierdzić w 100% tę tezę muszę przeczekać jakieś 2 dni i sprawdzić czy znowu strony się np. nie będą wczytywać, czy pingi skoczą... W każdym bądź razie za 2, góra 3 dni odpiszę czy coś się zmieniło. Sama pewnie zrozumiesz, że to nie jest "hop siup" Do usłyszenia. Odnośnik do komentarza
Luqi Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Po odinstalowaniu wszystkiego problem z nieładującymi się stronami nadal występuje. Co zauważyłem: podczas występowania tego problemu, łącząc się przez Ventrilo wyskakuje komunikat o następującej treści: "Unable to resolve DNS servers", a po wejściu w panelu sterowania w połączenia sieciowe -> moje połączenie sieciowe, kliknięciu napraw następuje procedura czyszczenia pamięci podręcznej DNS oraz rejestracja w systemie DNS. Po tej czynności strony znowu się ładują. Czy to możliwe, że jakiś wirus blokuje mi DNSy, albo po prostu coś w nich majstruje? Czy to po prostu czysto po stronie dostawcy internetu/mojej? Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Luqi, skoro odbyły się tu deinstalacje, to teraz wygeneruj nowe logi do wglądu, które pokażą jak system wygląda po tej operacji. Odnośnik do komentarza
Luqi Opublikowano 5 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Wrzucam logi. Udało mi się wykonać całe skanowanie GMERem, ale oprocz tego robaka, a raczej jego pozostałości na dysku nic innego nie wykrył. Pod koniec niestety po skanowaniu zaciął się, więc loga i tak nie mam. OTL poniżej. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 1. Tutaj zwraca uwagę jeszcze jedna sprawa, czyli bardzo stare sterowniki chipsetu nVidia (wsród nich sieciowe): DRV - [2006-04-24 11:52:28 | 000,100,736 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata)DRV - [2006-03-22 08:24:02 | 000,018,944 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)DRV - [2006-03-22 08:24:00 | 000,052,736 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) Czy dokładnie ta wersja sterowników była przed formatem? Przy okazji mam pytanie, czy podczas występowania tego: Co zauważyłem: podczas występowania tego problemu, łącząc się przez Ventrilo wyskakuje komunikat o następującej treści: "Unable to resolve DNS servers", a po wejściu w panelu sterowania w połączenia sieciowe -> moje połączenie sieciowe, kliknięciu napraw następuje procedura czyszczenia pamięci podręcznej DNS oraz rejestracja w systemie DNS. ... przypadkiem nie chodzi w tle klient torrent? 2. Po drugie do deinstalacji także archaiczny tweaker VDOTool 5.3. I sfatygowany, i pluje błędami w Dzienniku zdarzeń: Error - 2012-07-05 14:40:36 | Computer Name = KOMPUTER-CC34A7 | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi Cardex z powodu następującego błędu: %%183 3. I ominąłeś w deinstalacjach ZoneAlarm LTD Toolbar. . Odnośnik do komentarza
Luqi Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 1. i 2. - sterowniki zawsze są te same, zawsze są one zarówno przed jak i po formacie, instalowane są z oryginalnych płytek dołączonych do zakupionego sprzętu i nigdy nie miałem z nimi problemu. Klienta uTorrent posiadam, ale nigdy go nie uruchamiam, aby działał w tle. Jeśli coś ściągam, to chodzi tylko uTorrent i nic więcej, także wykluczona jest możliwość jego działania w tle (chyba, że robi to w postaci ukrytej, czyli w procesach go nie ma, ani nigdzie indziej). 3. W panelu deinstalacji nie mogę znaleźć niczego podobnego typu: ZoneAlarm, ZoneAlarm LTD Toolbar, Ask Toolbar... Wszystkie toolbary zawsze usuwam, ale tej nie mogę znaleźć. Jeśli jest to konieczne to mogę ściągnąć najnowsze oprogramowanie środowiska sterowników, ale ja nie jestem tego zwolennikiem, bo jeśli działa te, to inne wersje potem kolidują z programami, grami.. No ale ja się sprzeciwiać nie będę, jeśli zachodzi taka konieczność Odnośnik do komentarza
Anonim8 Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 1. i 2. - sterowniki zawsze są te same, zawsze są one zarówno przed jak i po formacie, instalowane są z oryginalnych płytek dołączonych do zakupionego sprzętu i nigdy nie miałem z nimi problemu. Co to za plyta głowna? Odnośnik do komentarza
piotreek Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 (edytowane) @Belfegor jest w 1 poście podane @Luqi tu masz nowsze sterowniki do swojej płyty (zakładka Tech Support a potem w szukaj-ce drivers i enter) http://www.foxconnch...&U=en-us0000193 Dodatkowo jaką masz wersję routera http://www.tp-link.c.../Article/?id=46 i jaki Firmware do niego (to znajdziesz na głównej stronie routera po zalogowaniu się) A masz odemnie nominację do super posta tak powinny wyglądać posty w dziale Hardware Edytowane 6 Lipca 2012 przez piotreek Odnośnik do komentarza
Luqi Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Tak więc zaktualizuje/przeinstaluje sterowniki do płyty głównej, a co do routera: Firmware Version: 3.12.11 Build 110831 Rel.60718n Hardware Version: WR740N v4 00000000 Wersja routera z naklejki: V4.2 (ver. 4.2) Tylko ciekawi mnie po co Ci to? Router jest zupełnie nowy, i dobrze skonfigurowany rzecz jasna. Odnośnik do komentarza
piotreek Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Dlaczego dlatego Fixed the bug that router may not do DNS request properly for LAN side client; Dlatego radzę upgrade firmwaru do wersji TL-WR740N_V4_120320 http://www.tp-link.com/en/support/download/?model=TL-WR740N&version=V4 Odnośnik do komentarza
Luqi Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 (edytowane) Wszystko zrobione. Router: Firmware Version: 3.12.11 Build 120320 Rel.51047n Logi z OTL'a załączam. PS. Dzięki majstrowaniu przy sterownikach usunąłem sobie sterownik magistrali USB i musiałem robić formata, bo klawiaturę i myszkę mam pod USB, więc komputer jest świeży, hehe Sądzę, że na razie to wszystko. Jeśli coś się będzie działo dam znać. Dziękuję serdecznie wszystkim za pomoc! I jeszcze mam pytanie, jakie środowisko antywirusowe, firewall, coś na robaki, hakerów itp. itd. ? OTL.Txt Extras.Txt Edytowane 6 Lipca 2012 przez Luqi Odnośnik do komentarza
piotreek Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Ja ci powiem przekornie tak. Zdrowy rozsądek i nie odwiedzanie podejrzanych stron Używanie dobrej przeglądarki np. Firefox+dodatek (WOT jest chyba też dostępny pod chrome i operę ale głowy nie dam). Jeśli chodzi o rozwiązania anty to ja polecam komercyjnego Nortona Internet Security za ~70zł można już dostać w necie lub sam Norton Antywirus za koło ~50zł . Chyba że wolisz darmowe rozwiązania to np. Avast 7 Free. Co do FW jeśli masz ruter to włącz w nim FW i korzystaj z zapory systemu windows.(Chyba że zdecydujesz się na Nortona NIS on wtedy ma swoją zaporę ) ale mimo wszystko polecam włączyć tę w routerze. Odnośnik do komentarza
Rekomendowane odpowiedzi