9 odpowiedzi na ten temat

[suszyMie]

Witam.
Wczoraj wieczorem zaatakwało mi coś komputer.
Mam WinXP, SP2, Kaspersky Internet Security 10 (aktualizowany codziennie), jedynym sygnałem, że dzieje sie coś podejrzanego był komunikat kasperskiego, że Eksplorator Widnowsa coś chce zrobić (niestety nie zwróciłem dokładnie uwagi na to) i czy się zgadzam, więc kliknąłem że nie.
Po chwili okazało się że żadna ikonka z pasku zadań nie działa (komunikat wyskakuje iż plik nie jest skojarzony z żadnym plikiem), podobnie ikony na pulpicie. Zniknął Rocket desk, wyczyściło zawartość menu Start, żaden plik .txt .mp3 itp. nie był skojarzony z żadnym programem i nie pozwalał się uruchomić. Znikneły ikonki uruchomionych programów w prawym dolnym rogu ekranu (tray).
Nawet polecenie Zamknij system z menu start nie wchodziło (komunikat o braku uprawnien do takiego działania).

Uruchomiłem w trybie awaryjnym - odpaliłem mks vira online, przeskanowałem całość, znalazło trojana w system32 - actskn45.ocx (trojan.isbar.439) o którym wyczytałem w necie, że niekoniecznie jest trojanem, mimo wszystko skasowałem go.

Następnie trafiłem na poradnik na tutejszym forum i zgodnie z nim zainstalowałem Malwarebytes' Anti-Malware 1.46. Dałem szybki skan - znalazło 2 zagrożenia, skasowałem je (log na załączniku).
Następnie wykonałem pełne skanowanie ale nic więcej nie znalazł.

Odpaliłem komp w trybie normalnym - jest już rocket desk, jest tray, zawartość menu start, nadal żaden program nie działa, próba ręcznego uruchomienia pliku (w eksploratorze) .exe np. internet explorer nadal kończy się komunikatem o braku powiązania.

Dodam że nie używam normalnie IE, tylko do skanera on-line ze względu na acitive-X, stąd w opisie powyżej przykład z tym plikiem
Na komputerze mam 2 konta - swoje na hasło i ogólne dla gości - na obu jest jednakowa sytuacja.
W czasie zainfekowania komputera nie robiłem niczego co uzasadniałoby crash, strony w operze otwarte te co zawsze, żadnych podejrzanych linków, jedynie co przychodzi mi na myśl to rozpakowanie (mniej wiecej w tym czasie) albumu mp3 z rara, może w środku coś było.
Nie wiem też czemu Kaspersky w zasadzie nie zareagował.

Chwilowo działam w trybie awaryjnym, tu wszystko uruchamia się (chyba) normalnie.
Nie wiem co dalej z tym powinienem robić, czy reinstalować system, czy skanować czymś jeszcze, proszę o pomoc doświadczonych użytkowników

 mbam_log_2010_06_19__15_23_18_.txt   1,25K   29 pobrań

[Sevard]

Ściągnij i uruchom OTL, pozaznaczaj opcje: Scan All Users, LOP Check, Purity Check. Zaznacz też opcję Use Safelist w Extra registry. Wklej oba wygenerowane przez OTL logi. Może z tego programu się coś wyczyta.
Warto spróbować użyć w tym przypadku przywracania systemu.

[suszyMie]

Done.
A jednak komputer w trybie normalnym uruchamia się jak chce, a czasem wcale. Ikony na pulpicie, menu start, rocketdesk, tray, programy w tle - czasem są, a czasem nie ma.
Musiałem więc w trybie awaryjnym działać, bo przy normalnym uruchomieniu nie da się wejść na neta, instalki nie działają itd.

Oto logi z OTL:
 OTL.Txt   60,88K   33 pobrań

 Extras.Txt   42,35K   33 pobrań

Nie znam się na logach ale to co mnie zastanawia w Extras - [ Application Events ] to dziwne godziny przy datach (o ile to godziny). 18 czerwca siedziałem przy komputerze od ok godz. 22, a 19 czerwca (czyli dziś) od ok. 12. Ewentualnie w ciągu dnia wczoraj mogła być moja siostra, ale dziś rano od 6 do 11 komputer na pewno był wyłączony (?).

ps. Sprawdziłem dokładniej - w trybie normalnym pliki mp3 i txt nie mogę wcale otworzyć. Przy próbie uruchomienia pliku filmowego otwiera się GOM player i z niego mogę otwierać filmy i muzykę.
Okno eksploratora windowsa wygląda jakoś inaczej, niektóre foldery się nie wyświetlają (tzn ikonki, nazwy plików/folderów są widoczne).

[suszyMie]

Warto spróbować użyć w tym przypadku przywracania systemu.

Przywracanie nie działa - kiedy odpalam tę funkcję okazuje się że nie ma żadnego punktu w kalendarzu, który mógłbym zaznaczyć

Kiedy wybieram opcję uruchom w trybie ostatnio działąjących ustawień również uruchamia mnie według ustawień na dzień dzisiejszy.

Jak zdobędę LiveCD z antywirem to jeszcze spróbuję tym podziałać.

[Sevard]

Nie widać aktywnej infekcji, choć są jakieś śmieci po jakimś starym ataku. Uruchom OTL, w Custom Scans/Fixes w OTL wklej to co poniżej:

KOD

:Processes
killallprocesses

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

i kliknij run fix. Wrzuć na forum log z tej operacji.
Przyczyn może być kilka, po pierwsze antywirus, po drugie widzę, że masz sporo różnych upiększaczy, może któryś z nich niedomaga, no i po trzecie masz oprogramowanie emulujące napędy, które też potrafi swoje mieszać.
Pierwszą rzecz łatwo wykluczyć usuwając na chwilę antywirusa. Ostatnią można wykluczyć usuwając oprogramowanie emulujące oraz sterownik sptd. Na tej stronie masz program za pomocą którego możesz to coś usunąć. Najgorszy jest drugi przypadek, bo trudno będzie usunąć upiększacze nie rozwalając przy okazji systemu, tak więc na początek spróbuj pozostałych wyjść.
Co jest również ważne to to, że masz bardzo nieaktualny system. Należy uaktualnić tak sam system, jak i Internet Explorera.

[suszyMie]

KOD

All processes killed
========== PROCESSES ==========
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Free Conventer

User: Free Download

User: Gość
->Temp folder emptied: 1479020 bytes
->Temporary Internet Files folder emptied: 7140408 bytes
->Opera cache emptied: 52681291 bytes
->Flash cache emptied: 2797 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: suszyMie
->Temp folder emptied: 110181052 bytes
->Temporary Internet Files folder emptied: 41112934 bytes
->FireFox cache emptied: 89488314 bytes
->Google Chrome cache emptied: 273753223 bytes
->Opera cache emptied: 75635137 bytes
->Flash cache emptied: 27358 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114584 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2860031 bytes
RecycleBin emptied: 397 bytes

Total Files Cleaned = 626,00 mb


OTL by OldTimer - Version 3.2.6.0 log created on 06202010_203913

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Spróbuję jeszcze odinstalować programy o których pisałeś. Upiększacze do xpka mam od dawna i nigdy nie było z nimi problemów, ale oczywiście mogło się coś nagle stać. Kaspersky także mógł nagle zwariować...
Coraz bardziej zniechęcony jestem do tego i chyba ostatecznie czeka mnie format
Trudno.
Dzięki za poświęcony czas i wszystkie porady.

[Sevard]

No niestety, ale w logach nic więcej nie widać, więc przyczyny trzeba szukać gdzie indziej. Proponuję najpierw sprawdzić to, o czym pisałem, do listy programów podejrzanych możesz też dodać VirtualBOX. Jeśli wyłączenie tych programów nic nie da, to pomyśli się jeszcze o innych metodach.

[vysygota]

Witam miałem identyczny problem, podobnie używałem kaspersky internet security 10. Wszystko zaczęło się od dziwnego komunikatu kasperskiego na temat eksploratora windows, gdzie podobnie jak kolega zaznaczyłem blokuj potem doświadczyłem identycznych problemów jak w opisie kolegi. Po kilkugodzinnych próbach skanowania bez rezultatu chyba przypadkiem znalazłem rozwiązanie problemu (akcje które mogły uleczyć mój system):
-w trybie awaryjnym wyłączyłem autoochrone w kasperskim i usunąłem cały folder z program files (bo odinstalować się nie pozwalał)
-wyczyściłem autostart ze wszystkich dziwnych programów
Po tych dwóch akcjach po restarcie komputer zachowywał się normalnie, moim zdaniem winę za bałagan ponosi kasperski.

Dodam jeszcze, że jedynym programem który wykrył jakieś wirusy był Malwarebytes' Anti-Malware 1.46 a skanowałem avastem, arcavirem i kasperskim - dodaje log skanu

Na miejscu kolegi próbowałbym na początku wyłączyć kasperskiego z autostartu, może to wystarczy.

Załączone pliki

•  mbam_log_2010_06_21__22_54_40_.txt   1,9K   20 pobrań

Edytowany przez vysygota, 22 czerwiec 2010 - 11:07.

[suszyMie]

No i okazało się że to Kasperski mieszał.
Po odinstalowaniu system ruszył, zainstalowałem na nowo KISa, zaktualizowałem, na razie działa. Aczkolwiek widać że coś się lekko spitoliło, bo np wyszukiwanie plików nie działa (okienko wyszukiwarki wyswietla się puste), gg też trochę szwankuje (nie przewija się okienko z tekstem na ostatnią linijkę, tylko wisi gdzieś wyżej), może są jeszcze inne usterki, tyle na razie wychwyciłem.
Więc pewnie i tak dla porządku kiedyś przeinstaluje, ale chwilowo grunt że działa.

Dzięki raz jeszcze!


edit:
Heh odpisałem nawet nie wiedząc o poście vysygoty
Ja usunąłem KISa Revo uninstalatorem łącznie z czyszczeniem rejestrów itp. Potem był mały zgrzyt bo nie chciał się przez chwilę na nowo instalnąć ale ostatecznie ruszył.

Edytowany przez suszyMie, 22 czerwiec 2010 - 23:02.

[Sevard]

Problem rozwiązany, więc temat zamykam.
W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.