Podejrzewasz infekcję? - Sprawdź, co zrobić przed założeniem tematu

[deBug]

Witajcie. Jako, że na forum przewijają się i będą się przewijać tematy o wirusach, zakładam temat by przyśpieszyć pomoc - często jest tak, że w tematach widzimy "Komputer dziwnie chodzi pomocy!!" bez jakichkolwiek informacji. Kończy się przedłużeniem oczekiwania na dokładny opis problemu, co jest niebezpieczne w przypadku groźnych infekcji (mają więcej czasu na rozprzestrzenienie się).

Objawy infekcji

- znacznie spowolniona praca komputera

- zmniejszenie ilości miejsca na dysku

- blokada menadżera zadań i edytora rejestru

- brak możliwości uruchomienia komputera w trybie awaryjnym (infekcja Sality, jeden z jej objawów)

To wszystko to typowe objawy zawirusowania. Jednak pamiętaj, żeby nie wymyślać sobie czarnych scenariuszy, bo może to być niegroźna usterka sprzętowa, która nie wymaga ogromnych nakładów finansowych

Czynności podstawowe:

1.Przeskanuj cały komputer używanym programem antywirusowym

2. Pobierz program Malwarebytes Anti Malware (należy wejść na stronę i kliknąć free download) i wykonaj pełne skanowanie

3. Pobierz program Dr. Web CureIt (należy zaakceptować umowę licencyjną)

a) W trybie normalnym: wyraź zgodę na udział w programie --> Kontynuuj --> Wybierz obiekty do skanowania --> Kliknij, aby wybrać pliki i katalogi (zaznacz wszystko) --> Uruchom skanowanie

b) W przypadku cięższych infekcji zgódź się na wykonanie skanu w TRO (tryb rozszerzonej ochrony)

4. Pobierz program ADW Cleaner. Po uruchomieniu kliknij szukaj, a następnie usuń (potwierdź restart komputer). Po ponownym uruchomieniu zapisz log.

Zawsze (o ile nie jest zainfekowany ważny plik) lepiej jest usunąć infekcję razem z plikiem. Zapobiegnie to pozostaniu ?resztek? po wirusie

Pamiętaj aby dokładnie opisać problem, nie ograniczaj się do jednego zdania. Im lepiej opiszesz problem, pozwoli to nam na szybszą i bardziej dokładną diagnozę. Najlepiej odpowiedź na poniższe pytania:

1. Dokładny opis problemu

2. Od kiedy masz problem?

3. Czy kiedykolwiek uświadczyłeś/aś czegoś podobnego? Jeśli tak - jak został ten problem rozwiązany

4. Czy modyfikowano/instalowano coś w komputerze przed wystąpieniem problemu

5. Czy antywirus lub inne oprogramowanie sygnalizowało jakieś problemy?

Z takim zestawem odpowiedzi możesz śmiało założyć temat

Jeśli zostaniesz poproszony/a o wykonanie logów niżej znajdziesz instrukcję co i jak masz wykonać

1. Pobierz program OTL(kliknij w zielony przycisk download). Po otwarciu zaznacz Wszyscy użytkownicy, Infekcja LOP - sprawdzenie, Infekcja Purity - sprawdzenie, Rejestr - skan dodatkowy - Użyj filtrowania. Po upewnieniu się, czy wszystko jest dobrze wykonaj skan i dodaj log do tematu

2. Pobierz program RSIT (dla systemów 32 bit) lub RSIT (dla systemów 64bit) Uruchom go, kliknij przycisk Continue i po wygenerowaniu logu dodaj go do tematu.

3. Wejdź na stronę Silient Runners, skopiuj cały tekst, wklej go do notatnika i zapisz jako silnient.vbs. Tak przygotowany program uruchom i dodaj do tematu wygenerowany log

UWAGA! Nigdy nie zostaniesz poproszony/a przeze mnie o pokazanie loga z ComboFix. Niestety na naszym forum występują czasem przypadki, gdzie pierwsza odpowiedź dotycząca problemu to żądanie loga z ComboFixa. I tak tak na dzień dobry. Więc zakoduj sobie, drogi czytelniku - jeśli otrzymałeś takie zadanie od forumowicza z wątpliwą wiedzą, to nie wykonuj tego. Lepiej nic nie zrobić, jak pogorszyć sprawę. Poniżej wyjaśniam swoje stanowisko:

1. Zacznijmy od tego, że ComboFix to program, który bardzo mocno ingeruje w system i go modyfikuje To nie jest pierwszy lepszy darmowy skaner, którym możesz skanować się cały dzień i traktować jako doraźną pomoc przy każdym wirusie. Jak czasem wchodzę na jakieś losowe forum i widzę posty w stylu ?regularnie skanuje kompa combofixem i polecam bo działa? to nie wiem czy śmiać się, czy płakać. Nie wiem skąd ludzie biorą takie pomysły

2. By dostać ten log, musisz przejść przez pełną ingerencję w system. Dodatkowo nie masz pojęcia w jakim stanie jest system. Przy odrobinie [nie]szczęścia poślesz Microsoft Wilndows?do grobu, a w najlepszym wypadku pogorszysz całą sprawę.

3. Uruchomienie programu musi zostać zatwierdzone przez osobę prowadzącą kurację. Nie mniej ważna jest wiedza osoby pomagającej. Nie pomagaj, jeśli nie wiesz, jak program działa i nie umiesz zweryfikować jego pracy

4. Niedoświadczony użytkownik dostaje do ręki bardzo potężne narzędzie i przy okazji ignoruje okienka dialogowe programu. W części logów jak wół pisze "Ten komputer nie ma zainstalowanej konsoli odzyskiwania". Byłoby to zrozumiałe w przypadku gdyby użytkownik orientował się w alternatywach. Ale to rzadko się zdarza, bo po co mi coś, czego nie umiem obsłużyć i robi jakieś kopie zapasowe.

5. Na forach, gdzie jest propagowane używanie CF tworzy się fałszywe przekonanie o nieszkodliwości programu. ?Bo skoro osoby wykwalifikowane (już samo słowo kwalifikacja w ich przypadku to niezłe nadużycie, bo bezpodstawne zalecenie użycia programu nie pozostawia wątpliwości do takich kwalifikacji) zalecają używanie to dlaczego mam się ograniczać i korzystać z niego raz na ruski rok? Poskanuję sobie co tydzień, na pewno nie zaszkodzi, bo przecież szkodliwe rzeczy nie byłyby polecane? Konsekwencją jest powolne zabijanie Windowsa, bo użyć to się jeszcze umie, ale naprawić szkody to już nie bardzo

Co robimy na naszym forum?

1. Jeśli infekcja na pdst. opisu zostanie stwierdzona należy obowiązkowo podać przynajmniej log z OTL.

2. W przypadku, gdy osoba doświadczona poprosi Cię o użycie ComboFixa, to proszę zastosować się jej zaleceń. Nie może też być tak, że jesteś zbyt wystraszony/a, by użyć programu. Stosowanie się do poleceń osoby pomagającej nie zniszczy Ci systemu.

3. Przyznaj się, jeśli sam użyłeś ComboFixa. Nabranie wody w usta może utrudnić pomoc. Załącz log i opisz cały przebieg działania programu

4. I na koniec - jeśli tylko będę w stanie, to nie odmówię pomocy w temacie gdzie brakuje jakichkolwiek informacji. Proszę tylko pamiętać, że nie jestem Jezusem i wywróżę ich sobie z kart. Dołączenie dokładnego opisu znacznie ułatwi pracę

[Skerwool]

Hmm... czytając ten temat zaczynam mieć uczucie, że sam mam wirusa, szczególnie punkt o spowolnieniu sprzętu, bo ostatnio mam uczucie iż mylą mi gry, które nie powinny.

[deBug]

To może nie być wirus. Spowolnienie może być spowodowane syfem na dyskach oraz rejestrze i wieloma uruchomionymi programami w tle

[Soaps]

Dlatego ja zawsze lubię kontrolować to co uruchamia mi się razem z systemem, jak i to co ładuje na dysk.

[[Ekspert] antros22]

To może nie być wirus. Spowolnienie może być spowodowane syfem na dyskach oraz rejestrze i wieloma uruchomionymi programami w tle

W grę wchodzi jeszcze - chyba - najgorsza opcja - usterka sprzętowa. ;F

[[Ekspert] BladyPiter]

Albo po prostu wysokie temperatury.

[Sevard]

Witajcie. Jako, że na forum przewijają się i będą się przewijać tematy o wirusach, zakładam temat by przyśpieszyć pomoc - często jest tak, że w tematach widzimy Komputer dziwnie chodzi pomocy!! bez jakichkolwiek informacji. Kończy się przedłużeniem oczekiwania na dokładny opis problemu, co jest niebezpieczne w przypadku groźnych infekcji (mają więcej czasu na rozprzestrzenienie się).

Nie wymagajmy od zwykłych ludzi wiedzy technicznej, bo gdyby ją mieli, to najpewniej sami rozwiązaliby problem. Logi nie są najważniejszą rzeczą, najważniejszy jest porządny opis problemu. Chodzi o to, żeby np. nie męczyć się paru dni z szukaniem infekcji, której nie ma lub która jest nieistotna, bo tak naprawdę jest nieaktywna i nic nie robi. Owszem napisałeś o tym, żeby podać opis problemu, tylko, że zrobiłeś to na samym końcu, sugerując, że najważniejsze są logi, a potem dopiero ewentualne szczegóły, a kolejność powinna być odwrotna.

Zanim się odkryje infekcję, to najpewniej i tak zarazi się wszystko, co da się zarazić, więc rozprzestrzenianie się infekcji najpewniej już nastąpiło. Większym problemem jest to, że infekcje przeważnie czynią pewne szkody (różnego typu, od tworzenia śmieci, czy uszkadzania danych, do wykradania haseł, danych kart kredytowych, czy tworzenia botnetów). Im dłużej nasz system jest zainfekowany, tym dłużej szkodnik może działać. Zwiększa się tym samym ryzyko, że stracimy jakieś cenne dane, rzeczy itp., czy też nieświadomie będziemy robić coś nielegalnego (ataki DDoS i inne takie).

Poza tym - czasem opis "komputer dziwnie chodzi" jest dosyć trafnym opisem.

Objawy groźnych infekcji

- znacznie spowolniona praca komputera

- zmniejszenie ilości miejsca na dysku

- blokada menadżera zadań i edytora rejestru

- brak możliwości uruchomienia komputera w trybie awaryjnym (infekcja Sality)

Kpisz, czy o drogę pytasz? To są objawy typowe dla infekcji, które są irytujące i najczęściej niewiele więcej. Mało która z nich jest naprawdę groźna. Większość groźnych infekcji jest niewidoczna na pierwszy rzut oka, bo np. kto na bieżąco sprawdza obciążenie sieci? Kto sprawdza, czy nasz komp nie wysyła jakichś dziwnych informacji na jeszcze dziwniejsze adresy IP? Jeśli ktoś chce stworzyć coś groźnego to nie chce, by było to widoczne. Ważne jest to, żeby się rozprzestrzeniać i szkodzić, ale jednocześnie, by ukrywać się tak długo jak to możliwe. Groźniejsze szkodniki naprawdę nieźle się ukrywają i do tego często ich działanie uwidacznia się po jakimś czasie. Zobacz sobie na botnety, które często tylko się rozprzestrzeniają po cichu, a potem atakują w wyznaczonym dniu o wyznaczonej porze i tyle.

Osobną kwestią jest to, że opisane objawy pasują również do innych rzeczy, np.

- znacznie spowolniona praca komputera

A przecież w autostarcie mamy tylko paręnaście różnych programów, z których większość jest nam zupełnie zbędna. Część się jeszcze ze sobą gryzie itp. Ale nie, to na pewno jest infekcja, bo przecież ja nie mogłem sobie takiego bałaganu zrobić.

- zmniejszenie ilości miejsca na dysku

Bo wszystkie programy czyszczą po sobie tempy...

- blokada menadżera zadań i edytora rejestru

Może być również efektem ustawień domeny, pracy na koncie zwykłego użytkownika, a nie administratora, czy też uszkodzenia rejestru.

- brak możliwości uruchomienia komputera w trybie awaryjnym (infekcja Sality)

Bo przy poważnych uszkodzeniach systemu, czy uszkodzeniach pamięci/twardego dysku/procka to tryb awaryjny powinien śmigać aż miło. Pomijam już to, że zawartość nawiasu sugeruje, że za coś takiego odpowiada Sality, a to niekoniecznie jest prawda. Jest to o tyle kiepska sugestia, że ktoś sobie poszuka w Google nazwy "Sality" i dowie się, że format jest jedynym pewnym rozwiązaniem. Jeśli sformatuje dysk bez konsultacji, to może niepotrzebnie stracić dużo danych.

Czynności podstawowe:

1.Przeskanuj cały komputer używanym programem antywirusowym

Wirusy, które widać na pierwszy rzut oka najpewniej już ten program antywirusowy unieszkodliwiły. Te infekcje, których nie widać, najpewniej potrafią się ukrywać przed antywirusami. Więc stracimy tylko niepotrzebnie czas.

I to jest ten optymistyczny scenariusz. Pesymistyczny jest taki, że antywirus coś wykryje, ale nie usunie do końca. Usunie tylko część infekcji, przez co ta będzie trudniejsza do znalezienia w logach.

Skan antywirusem jest ok, ale na koniec, nie na początek.

2. Pobierz program Malwarebytes Anti Malware i wykonaj pełne skanowanie

W przypadku programów zwalczających malware nigdy nie podaje się linków do dziwnych portalów typu dobreprogramy, programosy, instalki itp. Zawsze należy poadawać link bezpośrednio do strony producenta programu!

3. Pobierz program Dr.Web Cure IT i wykonaj pełne skanowanie.

a) W trybie normalnym: wyraź zgodę na udział w programie --> Kontynuuj --> Wybierz obiekty do skanowania --> Kliknij, aby wybrać pliki i katalogi (zaznacz wszystko) --> Uruchom skanowanie

b) W przypadku ciężkich infekcji zgódź się na wykonanie skanu w TRO (tryb rozszerzonej ochrony)

J.w. Dodatkowo Dr.Web CureIt! (chociaż nazwę byś mógł napisać prawidłowo) jest dobrym narzędziem jeśli wiemy, czego szukamy. Sam program do zwalczania typowych infekcji z gatunku irytujących jest taki sobie. Świetnie natomiast radzi sobie z wirusami polimorficznymi (np. Sality, Virut). Ponownie - używać zadaniowo, a nie do głównego skanu.

Tak przy okazji - w przypadku ciężkiej infekcji lepiej jest użyć Dr.Web? LiveCD.

4. Pobierz program ADW Cleaner. Po uruchomieniu kliknij szukaj, a następnie usuń (potwierdź restart komputer). Po ponownym uruchomieniu zapisz log

Ponownie - linkujemy do strony producenta, a nie na dziwne portale!

Zawsze (o ile nie jest zainfekowany ważny plik) lepiej jest usunąć infekcję razem z plikiem. Zapobiegnie to pozostaniu "resztek" po wirusie

Niekoniecznie jest to prawdą - zależy to od konkretnej infekcji. Co więcej, jeśli uszkodzony jest ważny plik, to koniecznie należy go usunąć i przywrócić z czystej kopii (no chyba, że takiej kopii nie mamy, ale wtedy to pretensje możemy mieć tylko do siebie).

Jeśli infekcja nie ustąpiła:

1. Pobierz program OTL. Po otwarciu zaznacz Wszyscy użytkownicy, Infekcja LOP - sprawdzenie, Infekcja Purity - sprawdzenie, Rejestr - skan dodatkowy - Użyj filtrowania. Po upewnieniu się, czy wszystko jest dobrze wykonaj skan i dodaj log do tematu

I teraz to już nawet nie jest śmieszne. To, że podajesz linki do instalek w przypadku zwykłych antywirusów itp. nie podoba mi się, ale mogę to jeszcze przetrawić. Jednak to, że podajesz taki link w przypadku narzędzia takiego jak OTL już mówi wiele na temat Twojej wiedzy o problemie (jest ona na poziomie znachora, który coś tam gdzieś usłyszał i już z niego jest wielki lekarz). W przypadku narzędzi takich jak OTL, RSIT, ComboFix itp. zawsze podajemy link bezpośrednio do strony producenta! Instalki obecnie i tak pośrednio tam linkują, ale kto wie, czy np. jutro nie postanowią wrzucić pliku do siebie na serwer. Inna sprawa, że pośrednie linkowanie do czegoś wymaga przejścia przez kilka stron, co w przypadku niektórych infekcji może być katorgą oraz może spowodować dodatkowe szkody.

2. Pobierz program RSIT (systemy 32 bitowe) lub RSIT x64 (to mój upload). Uruchom go, kliknij przycisk Continue i po wygenerowaniu logu dodaj go do tematu

Jak wyżej tylko gorzej, bo tu mamy pewność, że nikt tych plików nie uaktualni gdy pojawi się nowa wersja narzędzia.

3. Wejdź na stronę Silient Runners, skopiuj cały teskt, wklej go do notatnika i zapisz jako silient.vbs. Tak przygotowany program uruchom i dodaj do tematu wygenerowany log

Po co? I zadaję to pytanie jak najbardziej na poważnie. Przy dobrze wygenerowanych logach z OTL + dodatkowo log z Autoruns jest to zbędne, a w pewnych przypadkach (infekcje atakujące pliki vbs) może być niebezpieczne. Zresztą to samo dotyczy RSITa. Program robi to samo, co OTL (tylko gorzej, więc powinien być używany jako zamiennik, gdy OTL nie działa), więc dublowanie logów jest zbędne.

[deBug]

Nie wymagajmy od zwykłych ludzi wiedzy technicznej, bo gdyby ją mieli, to najpewniej sami rozwiązaliby problem

Ten temat jest właśnie dla takich osób. Pisanie poradnika dla tych, którzy wiedzą co zrobić, jest dosyć.... dziwne

Logi nie są najważniejszą rzeczą, najważniejszy jest porządny opis problemu.

Bez logów możesz pobawić się we wróżbitę Macieja, z tym, że nikt Ci nie zapłaci 5zł za minutę

Logi nie są najważniejszą rzeczą, najważniejszy jest porządny opis problemu.

Nie wydaje mi się. Nikt nie jest w stanie z 3 wyrazów wywnioskować, że to akurat wirus a nie coś innego

To są objawy typowe dla infekcji, które są irytujące i najczęściej niewiele więce

Chyba nie chcesz mi wmówić, że mały robak może poczynić takie szkody w systemie. To tak zwane wirusy polimorficzne. Są cholernie trudne do usunięcia, bo potrafią zmodyfikować swój kod, a antywirus szuka kawałka, który może nie istnieć.

Ale nie, to na pewno jest infekcja, bo przecież ja nie mogłem sobie takiego bałaganu zrobić.

Nie, to na pewno jest moja wina, od 2 tygodni nic nie instalowałem, ani nie modyfikowałem w systemie, więc to na pewno ten głupi Windows robi mi na złość i obniża wydajność do połowy albo i mniej.

Może być również efektem ustawień domeny, pracy na koncie zwykłego użytkownika, a nie administratora, czy też uszkodzenia rejestru

Mówmy tu o było i nie ma, a nie może pracujesz jako zwykły użytkownik i nigdy tego nie miałeś

że za coś takiego odpowiada Sality, a to niekoniecznie jest prawda

Klucz SafeBoot coś w dyni rozjaśnia?

sformatuje dysk bez konsultacji, to może niepotrzebnie stracić dużo danych

Więc ja mam się czuć teraz winny, że osoba poszkodowana, nie mająca odpowiedniej wiedzy, sama postanowiła zażegnać problem za pomocą formatu? Nie napisałem nigdzie "Masz Sality? Zrób formata!!!*"

* - pozdrawiam antrosa22

Wirusy, które widać na pierwszy rzut oka najpewniej już ten program antywirusowy unieszkodliwiły

Widzisz, infekcje, które można "zobaczyć" gołym okiem, zwykle nie są na tyle zaawansowane, by całkowicie zniszczyć program antywirusowy

chociaż nazwę byś mógł napisać prawidłowo

Gdyby usunięcie spacji i napisanie małej literki pomogło osobie potrzebującej, z chcęcią był to zrobił nawet 10 razy

Tak przy okazji - w przypadku ciężkiej infekcji lepiej jest użyć Dr.Web? LiveCD.

Idąc tym tropem, to najlepiej w ogóle nic nie działać, tylko zrobić sobie bootowaną płytę jak Dr.Web LiveCD czy Kaspersky Rescue Disk i formatować dysk

jest ona na poziomie znachora, który coś tam gdzieś usłyszał i już z niego jest wielki lekarz

Jepszy jeden znachor, niż całe forum "ekspertów", którzy potrafią się wymądrzać, a jak dochodzi co do czego to nabierają wody w usta.

Jak wyżej tylko gorzej, bo tu mamy pewność, że nikt tych plików nie uaktualni gdy pojawi się nowa wersja narzędzia.

No jasne, bo kto by sobie pomyślał, że autor tematu może go doglądać, żeby linki nie padły, by informacje były aktualne....

Po co? I zadaję to pytanie jak najbardziej na poważnie

OTL nie jest super-ultra-kompleksowym narzędziem, by jego logi traktować jako wyrocznia. W ponad 60% to jest stary, poczciwy HijackThis

PS. Skoro te instaliki to taka bolączka, to zostanie ona naprawiona

[yojc]

Instalki to jest bolączka, co zresztą pokazała ostatnia afera z dobreprogramy gdzie wyszło na jaw, że do swojego instalatora dorzucają spyware instalujące się bez wiedzy użytkownika... Lepiej więc dmuchać na zimne.

[[Ekspert] Hakken]

Nie wydaje mi się. Nikt nie jest w stanie z 3 wyrazów wywnioskować, że to akurat wirus a nie coś innego

Mylisz się. Dobrze opisany problem pozwala zorientować się mniej więcej jaki jest to rodzaj szkodnika, gdzie go szukać itp. To pozwala na wybór optymalnego narzędzia, bo OTL nie zawsze jest dobrym wyborem.

Czasami OTL w ogóle się nie przydaje, co najwyżej do zrobienia porządków.

Klucz SafeBoot coś w dyni rozjaśnia?

Po pierwsze, może trochę grzeczniej.

Po drugie, tak: sality atakuje HKLM\\\safeboot i HKCU\\\safeboot.

I co w związku z tym? Chodzi o to, że twój poradnik sugeruje, że tylko i wyłącznie infekcja sality uniemożliwia zrobieie safeboota.

Gdyby usunięcie spacji i napisanie małej literki pomogło osobie potrzebującej, z chcęcią był to zrobił nawet 10 razy

Jak czegoś używasz to miej chociaż tyle przyzwoitości by poprawnie napisać nazwę programu.

Idąc tym tropem, to najlepiej w ogóle nic nie działać, tylko zrobić sobie bootowaną płytę jak Dr.Web LiveCD czy Kaspersky Rescue Disk i formatować dysk

Nie, idąc tym tropem należy dostosowywać narzędzia do problemu.

Jepszy jeden znachor, niż całe forum "ekspertów", którzy potrafią się wymądrzać, a jak dochodzi co do czego to nabierają wody w usta.

Absolutnie nie.

Przy infekcjach liczy się szybkość, skuteczność i bezpieczeństwo, a taki znachor nie oferuje żadnego z wymienionych.

Przypominam (nie tylko tobie, wszystkim), że to forum nie jest od eksperymentowania na cudzym sprzęcie. I zarówno ja, jak i Sevard pilnujemy tego na bieżąco.

[deBug]

Dobrze opisany problem

No właśnie, dobrze opisany. Ale co zrobisz jak masz tam tylko te 3 wyrazy? W grę wtedy wchodzi albo usterka hardware albo software. Gdy masz już logi i okaże się, że to wina infekcji, nie trzeba kazać podawać S.M.A.R.T.U oraz temperatur

a taki znachor nie oferuje żadnego z wymienionych

Milczenie w sumie też

Wiedzę, że nie dla wszystkich moje działania są jasne, więc napiszę: jeśli pomagam komukolwiek w usunięciu wirusów, to wiem, co robię i co każę wykonać tej osobie. Nigdy nie traktuję użytkowników jako króliczki doświadczalne w charakterze jak się uda to dobrze, ja nie to trudno

[[Ekspert] antros22]

pozdrawiam antrosa22

Nie jestem pewien do czego pijesz, ale ja widzę pewną znaczącą różnicę między diagnostyką sprzętową a programową. Jeśli ktoś sądzi, że ma usterkę sprzętową, uważam, iż jest sprawą priorytetową, aby namierzyć winnego lub też takową wykluczyć. Ponadto jeżeli ktoś zwraca się o pomoc w dziale "Programy", a już szczególnie, gdy sądzi, że ma wirusa, jest jasnym, iż nie po to to robi, aby dostać poradę - zrób format. Format w przypadku problemów programowych teoretycznie je całkowicie rozwiąże, więc po co ktoś miałby szukać pomocy, gdyby nie zależało mu na danych. Natomiast w przypadku problemów sprzętowych format jest tylko jednym ze środków diagnostycznym (drastycznym; choć to też zależy jakie kto ma priorytety), a nie rozwiązaniem (wyjątkiem jest kwestia badów logicznych na dysku, wszak skutkiem zerowania jest utrata danych).

EDIT: @down 2 - Ok, rozumiem... a właściwie nie do końca, :F ale mniejsza z tym.

[[Ekspert] Hakken]

Milczenie w sumie też

Dając puste porady ktoś ma poczucie, że problem jest rozwiązywany, kiedy tak naprawdę nie jest, więc zamiast napisać na geekstogo czy bleepingcomputer, gdzie problem zostałby rozwiązany, siedzi i tak naprawdę nic nie robi.

jeśli pomagam komukolwiek w usunięciu wirusów, to wiem, co robię i co każę wykonać tej osobie.

To powiedz mi, co chciałeś osiągnąć, przez zresetowanie komuś strony startowej czy domyślnej wyszukiwarki (http://forum.cdactio...8)? Że już nie wspomnę o tym, że nie wiesz jak wykonać inne skanowanie niż domyślne (http://forum.cdactio...8)

[deBug]

@antros - nie zrozumiałeś mojej aluzji. To było nawiązanie do

Zmień zasilacz, a jak to nie pomoże: zrób formata

i twojej odpowiedzi:

Oho - świetna porada. xD

@góra - nie lubię się powtarzać. Przy wykonywaniu skryptu zwykle dodaje się linijkę o usunięciu zbędnych dodatków. Co do drugiego linku - jak wytłumaczysz mi to, że u mnie wszystko działa?

[Sevard]

Nie wymagajmy od zwykłych ludzi wiedzy technicznej, bo gdyby ją mieli, to najpewniej sami rozwiązaliby problem

Ten temat jest właśnie dla takich osób. Pisanie poradnika dla tych, którzy wiedzą co zrobić, jest dosyć.... dziwne

W takim razie należy go napisać w sposób odpowiedni, albo w ogóle. Źle wykonana diagnostyka i złe fixy mogą więcej zepsuć niż naprawić. Pierwszą zasada jest prosta - nie szkodzić.

Logi nie są najważniejszą rzeczą, najważniejszy jest porządny opis problemu.

Bez logów możesz pobawić się we wróżbitę Macieja, z tym, że nikt Ci nie zapłaci 5zł za minutę

O ile oczywiście mamy do czynienia z infekcją. Wyobraź sobie, że nie każdy problem wynika z tego, że ktoś ma szkodniki na kompie.

Logi nie są najważniejszą rzeczą, najważniejszy jest porządny opis problemu.

Nie wydaje mi się. Nikt nie jest w stanie z 3 wyrazów wywnioskować, że to akurat wirus a nie coś innego

Z trzech może nie, ale już z dwudziestu często się da.

To są objawy typowe dla infekcji, które są irytujące i najczęściej niewiele więce

Chyba nie chcesz mi wmówić, że mały robak może poczynić takie szkody w systemie. To tak zwane wirusy polimorficzne. Są cholernie trudne do usunięcia, bo potrafią zmodyfikować swój kod, a antywirus szuka kawałka, który może nie istnieć.

Wirusy polimorficzne są trudne do usunięcia, ale przeważnie niszczą system zanim coś naprawdę poważnego się stanie. Główną rolą szkodników nie jest rozwalenie komuś systemu, plików itp. a działalność przestępcza (wykradanie danych do kart/kont, ataki DDoS, botnety itp.). Jeśli wirus za szybko zniszczy system, to jego Twórca nic na tym nie zyska.

Ale nie, to na pewno jest infekcja, bo przecież ja nie mogłem sobie takiego bałaganu zrobić.

Nie, to na pewno jest moja wina, od 2 tygodni nic nie instalowałem, ani nie modyfikowałem w systemie, więc to na pewno ten głupi Windows robi mi na złość i obniża wydajność do połowy albo i mniej.

Zdarzało się i to nie jeden raz. Windows nie jest idealnym systemem i ma sporo niedoróbek. Swego czasu plagą był błąd w Shadow Storage. Tzn. Windows ignorował ustawienia użytkownika wpisane w aplecie przywracania systemu. Trzeba było to naprawiać przez vssadmin. Objaw - znikające miejsce na dysku, którego nigdzie nie dało się znaleźć. Pamiętaj ponadto, że dużo aplikacji korzysta z pamięci tymczasowej. Np. IE jest ustawiony tak, że zajmuje określony procent miejsca na dysku (co zwykle oznacza, że może zajmować do paru GB). Wystarczy więc tylko surfować po necie za pomocą źle ustawionej przeglądarki, by stracić kilka GB z dnia na dzień.

Jeśli o wydajność chodzi, to pamiętaj, że temperatura jest zmienna w czasie, a niektórzy mają naprawdę słabo wentylowane kompy. Oznacza to, że gdy temperatura podskoczy, to chłodzenie może zacząć nie wyrabiać. Efektem jest obniżenie wydajności kompa, bo współczesne procki zmniejszają taktowanie, gdy temperatura jest za wysoka.

Może być również efektem ustawień domeny, pracy na koncie zwykłego użytkownika, a nie administratora, czy też uszkodzenia rejestru

Mówmy tu o było i nie ma, a nie może pracujesz jako zwykły użytkownik i nigdy tego nie miałeś

Pracuję jako zwykły użytkownik, gdy nie potrzebuję uprawnień administratora, bo tak jest bezpieczniej. W pracy zaś mam uprawnienia administratora na kompie, ale nie mam dostępu do rejestru, bo tak jest ustawiona domena. A uszkodzenia rejestru niestety się zdarzają (i to nawet dosyć często, ale przeważnie ich nie widać).

że za coś takiego odpowiada Sality, a to niekoniecznie jest prawda

Klucz SafeBoot coś w dyni rozjaśnia?

1. Zależy od odmiany Sality. Sam widziałem taką, która tego klucza nie tykała.

2. Klucz SafeBoot nie jest jedyną rzeczą, która może uniemożliwić start w trybie awaryjnym.

3. Sality nie jest jedynym szkodnikiem, który zmienia ten klucz.

sformatuje dysk bez konsultacji, to może niepotrzebnie stracić dużo danych

Więc ja mam się czuć teraz winny, że osoba poszkodowana, nie mająca odpowiedniej wiedzy, sama postanowiła zażegnać problem za pomocą formatu? Nie napisałem nigdzie "Masz Sality? Zrób formata!!!*"

Samo sugerowanie, że ktoś ma Sality bez wcześniejszej diagnozy już jest złe. Ludzie mają to do siebie, że przeczytają coś, a potem działają różnie. Jeden będzie cierpliwie czekał, drugi będzie przeszukiwał internet (i diabli wiedzą gdzie trafi), a trzeci wpadnie na wszystkie fora po kolei i napisze coś w stylu "Mam Sality!!! Co zrobić?".

Wirusy, które widać na pierwszy rzut oka najpewniej już ten program antywirusowy unieszkodliwiły

Widzisz, infekcje, które można "zobaczyć" gołym okiem, zwykle nie są na tyle zaawansowane, by całkowicie zniszczyć program antywirusowy

Tu się mylisz. Np. większość fałszywych antywirusów całkiem skutecznie wyłącza znane i popularne antywirusy. Wszystko jest ok, jeśli do infekcji nie dojdzie, ale jeśli już doszło i widać jej efekty, to znaczy, że skaner rezydenty sobie nie radzi. Jest bardzo prawdopodobne, że skan na żądanie również nic nie da.

chociaż nazwę byś mógł napisać prawidłowo

Gdyby usunięcie spacji i napisanie małej literki pomogło osobie potrzebującej, z chcęcią był to zrobił nawet 10 razy

Skoro "walczysz" (w cudzysłowie, bo jakość tej walki jest wątpliwa) ze szkodnikami, to powinieneś wiedzieć, że dokładne pisanie nazw jest ważne. Sporo szkodników ma (całkiem przypadkowo zapewne) nazwy podobne do popularnych programów. Teraz napiszesz źle tą nazwę, później napiszesz coś innego i w końcu ktoś przez przypadek pobierze nie to, co trzeba.

Tak przy okazji - w przypadku ciężkiej infekcji lepiej jest użyć Dr.Web? LiveCD.

Idąc tym tropem, to najlepiej w ogóle nic nie działać, tylko zrobić sobie bootowaną płytę jak Dr.Web LiveCD czy Kaspersky Rescue Disk i formatować dysk

Czasem niestety tak, ale zależy to od okoliczności. Płyty LiveCD mają to do siebie, że działają z pominięciem systemu operacyjnego. Co za tym idzie nie trzeba się martwić tym, że wirus będzie szkodził, gdy my będziemy robić skan.

jest ona na poziomie znachora, który coś tam gdzieś usłyszał i już z niego jest wielki lekarz

Jepszy jeden znachor, niż całe forum "ekspertów", którzy potrafią się wymądrzać, a jak dochodzi co do czego to nabierają wody w usta.

Piszesz jak każdy znachor. Nie, nie jest lepszy (jepszy zresztą też nie). Widziałem już takich, którzy przy prostej infekcji zamiast pomóc, rozwalili system, bo jakiś plik systemowy miał nazwę podobną do znanego szkodnika, więc go wywalili.

Jak wyżej tylko gorzej, bo tu mamy pewność, że nikt tych plików nie uaktualni gdy pojawi się nowa wersja narzędzia.

No jasne, bo kto by sobie pomyślał, że autor tematu może go doglądać, żeby linki nie padły, by informacje były aktualne....

A jesteś w stanie to robić przez cały czas? Pamiętaj, że wersja, którą ktoś gdzieś wrzuca może być zbugowana. Ty ją wrzucasz na swój serwer, a w tym samym czasie autor wrzuca aktualną wersję. Efekt? My mamy wersję, która zawiera błędy, choć można było tego uniknąć. Taka sytuacja była kiedyś z ComboFixem i dlatego między innymi w licencji programu znalazł się zapis o zakazie tworzenia nieoficjalnych mirrorów.

Po co? I zadaję to pytanie jak najbardziej na poważnie

OTL nie jest super-ultra-kompleksowym narzędziem, by jego logi traktować jako wyrocznia. W ponad 60% to jest stary, poczciwy HijackThis

Coś Ci się OTL z RSITem w wersji x86 pomieszało. Nie, nie jest to HijackThis i można to łatwo udowodnić - HJT nie radzi sobie w środowisku 64 bitowym. To, że logi wyglądają podobnie nie oznacza, że to jest to samo.

PS. Skoro te instaliki to taka bolączka, to zostanie ona naprawiona

Generalnie każda strona tego typu jest bolączką, bo nigdy nie wiemy co odbije autorowi takiej strony. Nie dotyczy to tylko Instalek.

Dobrze opisany problem

No właśnie, dobrze opisany. Ale co zrobisz jak masz tam tylko te 3 wyrazy? W grę wtedy wchodzi albo usterka hardware albo software. Gdy masz już logi i okaże się, że to wina infekcji, nie trzeba kazać podawać S.M.A.R.T.U oraz temperatur

A potem mamy sytuację jak tutaj. Brak widocznej infekcji w logach (choć działania sugerują coś innego). Natomiast w logach widać problem sprzętowy oraz problem z systemem (dosyć prawdopodobne, że są to problemy powiązane). Czasem lepiej jest poprosić o ten S.M.A.R.T. (zwłaszcza, gdy logi sugerują problemy z kontrolerem) niż walczyć z infekcją, której nie ma.

@up Co do zresetowania strony startowej i wyszukiwarki, to tak, robi się to gdy strona lub wyszukiwarka wydają się nam podejrzane. O gazecie.pl można mieć złe zdanie, ale wydaje mi się mało prawodpobne, żeby rozsiewała jakieś szkodniki. Inna sprawa, że dla mnie zresetowanie domyślnej strony nie jest usunięciem zbędnego dodatku. Jeśli tą stronę sam sobie tak ustawiłem, to zrobiłem to z jakiegoś powodu.

Działać może i działa, tylko, że użytkownikowi nie napisałeś jak go odpalić. Samo wklejenie nie działa i tej wersji będę się trzymał.

Jeśli chodzi o antrosa i jego reakcję, to widać, że nie zrozumiałeś dowcipu. No nic, poszukaj trochę w starszych postach w sprzęcie, to może sam się domyślisz o co chodzi.

[[Ekspert] Hakken]

Co do drugiego linku - jak wytłumaczysz mi to, że u mnie wszystko działa?

Sama instrukcja jest poprawna, ale ani nie poinstruowałeś użytkownika co kliknąć, ani, co najgorsze, nie zorientowałeś się co się stało i postanowiłeś nie interesować się dlaczego owy log nie powstał.

[deBug]

Czasem lepiej jest poprosić o ten S.M.A.R.T. (zwłaszcza, gdy logi sugerują problemy z kontrolerem) niż walczyć z infekcją, której nie ma.

Mówisz tak, jakbym dalej usilnie próbował znaleźć dziurę w całym. Przeanalizowałem logi mw2fan dwa razy, jednak nie znalazłem żadnego wirusa, więc siedziałem cicho, czekając na sprzętowców/bardziej doświadczonych użytkowników.

Płyty LiveCD mają to do siebie, że działają z pominięciem systemu operacyjnego. Co za tym idzie nie trzeba się martwić tym, że wirus będzie szkodził, gdy my będziemy robić skan.

Niestety, ale takie płyty są zwykle oparte o Linuxa, przez co nie jest możliwe uruchomienie niektórych programów, które całkiem nieźle radzą sobie z infekcjami.

Widziałem już takich, którzy przy prostej infekcji zamiast pomóc, rozwalili system, bo jakiś plik systemowy miał nazwę podobną do znanego szkodnika, więc go wywalili

Trzeba być niezłym "miszczem", by przy infekcji np. Jeefo pomylić C:\Windows\svchost.exe z systemowym plikiem C:\Windows\system32\svchost.exe. Poza tym - gdy nie jestem w 100% pewny nie odpowiadam, nie radzę, nie odpisuję na PW bo może pomoże. Zawsze podchodzę poważne do tego tupu rzeczy i jakoś nie mam ochoty na drugi dzień zostać uraczony informacją, że rozwaliłem komuś komputer.

Teraz napiszesz źle tą nazwę, później napiszesz coś innego i w końcu ktoś przez przypadek pobierze nie to, co trzeba.

Jest to mało prawdopodobne, gdyż Google oferuje od dawna funkcję automatycznego poprawiania. Poza tym - programy są podlinkowane

napisze coś w stylu "Mam Sality!!! Co zrobić?".

Powiem, że to będzie długa robota. Są 2 możliwości: pierwsza, to przywrócenie systemu z kopii zapasowej i skany z płyty ratunkowej, a druga - przywrócenie systemu na wszystkich dyskach i zabawa z programami. Głównym problemem Sality jest to, że infekuje wiele systemowych plików, przez co w najgorszych przypadkach system może się nie uruchomić. Ale to już opowieść na inny dzień.

nie zorientowałeś się co się stało i postanowiłeś nie interesować się dlaczego owy log nie powstał

Ja podejrzewałem, że on wykonał skrypt zamiast skanować, ale to już nie chciało mi się pisać dokładnych instrukcji. To moja wina i nic tego nie zmieni

Ja już mam z deczka dosyć tej słownej bitwy z wami. Naprawdę, jak coś jeszcze chcecie mi oznajmnić, to proszę o w miarę szybkie napisanie, bo mi tu się kończą siły i argumenty, by dalej potrzymywać tą dyskusje

[Sevard]

Czasem lepiej jest poprosić o ten S.M.A.R.T. (zwłaszcza, gdy logi sugerują problemy z kontrolerem) niż walczyć z infekcją, której nie ma.

Mówisz tak, jakbym dalej usilnie próbował znaleźć dziurę w całym. Przeanalizowałem logi mw2fan dwa razy, jednak nie znalazłem żadnego wirusa, więc siedziałem cicho, czekając na sprzętowców/bardziej doświadczonych użytkowników.

Nie, nie siedziałeś cicho. Dałeś skrypt, który zresetował stronę startową przeglądarki oraz wyszukiwarkę. Przy tym nie napisałeś co ten skrypt robi, ani tego, że nie widzisz infekcji, tym samym sugerując, że infekcja jest.

Płyty LiveCD mają to do siebie, że działają z pominięciem systemu operacyjnego. Co za tym idzie nie trzeba się martwić tym, że wirus będzie szkodził, gdy my będziemy robić skan.

Niestety, ale takie płyty są zwykle oparte o Linuxa, przez co nie jest możliwe uruchomienie niektórych programów, które całkiem nieźle radzą sobie z infekcjami.

Bo nie istnieje coś takiego jak np. OTLPE, czy inne twory oparte na Windows PE...

Widziałem już takich, którzy przy prostej infekcji zamiast pomóc, rozwalili system, bo jakiś plik systemowy miał nazwę podobną do znanego szkodnika, więc go wywalili

Trzeba być niezłym "miszczem", by przy infekcji np. Jeefo pomylić C:\Windows\svchost.exe z systemowym plikiem C:\Windows\system32\svchost.exe. Poza tym - gdy nie jestem w 100% pewny nie odpowiadam, nie radzę, nie odpisuję na PW bo może pomoże. Zawsze podchodzę poważne do tego tupu rzeczy i jakoś nie mam ochoty na drugi dzień zostać uraczony informacją, że rozwaliłem komuś komputer.

Widzisz, jeśli bierzesz się za problem, to albo go doprowadzasz do końca, albo piszesz, że nie wiesz co dalej i ewentualnie odsyłasz pytającego do kogoś, kto jest w stanie sobie poradzić. Milczenie jest złe, bo sugeruje, że problem jest, ale jest tak skomplikowany, że nie dasz rady sobie z nim poradzić. Efektem często jest to, że użytkownik robi reinstall, bo to zawsze działa. Co najmniej raz już udało Ci się to nawet osiągnąć.

Teraz napiszesz źle tą nazwę, później napiszesz coś innego i w końcu ktoś przez przypadek pobierze nie to, co trzeba.

Jest to mało prawdopodobne, gdyż Google oferuje od dawna funkcję automatycznego poprawiania. Poza tym - programy są podlinkowane

Linki nie zawsze działają (są wirusy, które blokują strony antywirusów), dlatego nazwa powinna być dokładna. Google poprawia nazwę, tylko co wtedy, gdy nie ma co poprawiać, bo nazwa istnieje, tylko, że odnosi się do czegoś innego?

napisze coś w stylu "Mam Sality!!! Co zrobić?".

Powiem, że to będzie długa robota. Są 2 możliwości: pierwsza, to przywrócenie systemu z kopii zapasowej i skany z płyty ratunkowej, a druga - przywrócenie systemu na wszystkich dyskach i zabawa z programami. Głównym problemem Sality jest to, że infekuje wiele systemowych plików, przez co w najgorszych przypadkach system może się nie uruchomić. Ale to już opowieść na inny dzień.

Ty powiesz, ok. Ale monitorujesz wszystkie fora? Ty mu (być może nieświadomie) sprzedałeś informację, że system nie bootuje mu się w trybie awaryjnym, więc to Sality. On już wie, że ma Sality (a że to nie jest potwierdzone, to co to kogo obchodzi), teraz chce to usunąć. Pyta się po forach o konkretnego wirusa. Pytanie, czy trafi na kogoś mądrego, czy nie. Jeśli ktoś z marszu z całą pewnością napisze mu "format", to użytkownik pewnie tego posłucha. Pamiętaj, że on się na tym nie zna.

nie zorientowałeś się co się stało i postanowiłeś nie interesować się dlaczego owy log nie powstał

Ja podejrzewałem, że on wykonał skrypt zamiast skanować, ale to już nie chciało mi się pisać dokładnych instrukcji. To moja wina i nic tego nie zmieni

W przypadku zwalczania infekcji nie ma czegoś takiego jak "nie chciało mi się". Jeśli się za coś bierzesz, to prowadź to do końca. Zmiana osoby pomagającej w trakcie zabawy to jest naprawdę proszenie się o kłopoty.

Ja już mam z deczka dosyć tej słownej bitwy z wami. Naprawdę, jak coś jeszcze chcecie mi oznajmnić, to proszę o w miarę szybkie napisanie, bo mi tu się kończą siły i argumenty, by dalej potrzymywać tą dyskusje

To, że kończą Ci się siły uwierzę. W to, że kończą się argumenty niestety nie. Nie może się skończyć to, co się nigdy nie zaczęło.