Blue screen- przejęcie kontroli nad systemem


(Wieczor929) #1

Witam. Mam takie pytanie. Otóż skanowałem dziś 3 krotnie komputer programem Dr Web Cure It. Za każdym razem wyskoczył mi blue screen. Raz podczas skanowania, a dwa razy podczas wyłączania programu. Dwa ostatnie to standardowe błędy, raczej nie ma się co nimi przejmować. Ale martwi mnie blue screen występujący podczas skanowania. Na samej górze widniał komunikat w którym pisało coś o przeładowaniu bufora i, że sprzyja to złośliwym użytkownikom do przejęcia kontroli nad systemem Windows. Pytanie brzmi- to znaczy, że ktoś na pewno przejął kontrole nad systemem czy jest tylko taka możliwość, że ktoś mógł ją przejąć? I jak to mogę sprawdzić? Z góry dziękuję.

-- Dodane 01.04.2012 (N) 14:27 --

W razie potrzeby wklejam logi z OTL:

http://wklej.to/oqfv2

http://wklej.to/UbaDt

-- Dodane 01.04.2012 (N) 17:40 --

Doprawdy nikt nie spotkał się z takim problemem i nie jest w stanie odpowiedzieć?


(krzych5610) #2

Sprawdź komputer z poziomu CCE.

Możesz skorzystać z trybu czyszczenia i naprawy dysku z wykorzystaniem Killswitch i Quick Repair

  1. Pobierz skaner CCE, w twoim przypadku wersja 32 z http://forums.comodo.com/polski-polish/ ... #msg573032

  2. Wypakuj pobrany skaner do np. D:\CCE

  3. Odszukaj na liście programów - KillSwitch.exe

  4. Wyłącz, gdy jest taka możliwość, zainstalowanego antywirusa

  5. Uruchom KillSiwch.exe. Jak będą problemy to w trybie agresywnym - Shift + KillSwitch.exe

  6. Poczekaj na wykonanie analizy

  7. Procesy nieprawidłowe zostaną wskazane kolorem czerwonym.

  8. Mogą się też pokazać procesy wskazane kolorem szarym, te nie mają znaczenia.

  9. Sposób postępowania z KillSwitch - http://forums.comodo.com/polski-polish/ ... #msg572843

  10. wykonaj czynności wg tego zalecenia

  11. Pomocną funkcją jest również ukrycie bezpiecznych wpisów, aby łatwiej operować tymi niebezpiecznymi "View> Hide Safe Processes".

  12. Po zakończeniu procedury przez Killswitch uruchom Qucik Repair i wykonaj zaleconą naprawę

Proponuję odinstalowanie AVAST i zainstalowanie pełnego zestawu CIS - http://www.dobreprogramy.pl/Pakiety-zab ... ws,78.html


(Wieczor929) #3

Dzięki za odpowiedź, tak zrobię. A potrafisz odpowiedzieć na pytanie czy ten komunikat znaczy, że na pewno ktoś przejął kontrolę czy tylko jest takie prawdopodobieństwo?


(krzych5610) #4

Przejęcie kontroli nad systemem, przepełnienie bufora, to najczęściej DDoS - http://pl.wikipedia.org/wiki/DDoS

-- Dodane 02.04.2012 (Pn) 15:21 --

Osobiście spotkałem się z tym komunikatem przy instalacji programu AutoCad 2010. Przy instalacji pojawiał się komunikat o przepełnieniu bufora. W starszych wersjach zapory Comodo potrzebne było dodanie takiego programu do specjalnej listy.


(Wieczor929) #5

W takim razie może gryzł się Dr. Web z moim Comodo. Bo dziwne, że akurat w trakcie jego używania taki komunikat wyskoczył. Troche się przestraszyłem bo akurat dzień wcześniej pobierałem jeden pliczek z jakiejś nieznanej mi strony (złamałem swoją zasade, wchodzenia tylko na zaufane strony)- bodajże warezfeed.com. Musiałem wypełnić jakąś ankietę konkursową aby móc go pobrać. Przekierowywało mnie na adworkemedia.com a stamtąd na stronę z tą ankietą. Oczywiście danych prawdziwych nie podawałem.

-- Dodane 02.04.2012 (Pn) 15:42 --

Warto dodać, że po zdebugowaniu zrzutu błędu, ten na którym wyskoczył o przeładowaniu buforu był spowodowany przez proces dwprot.exe a dwa kolejne po wyłączenie programu Dr. Web przez cmdagent.exe czy jakoś tak. To ten proces z Comodo.

-- Dodane 04.04.2012 (Śr) 16:26 --

Dopiero dziś znalazłem czas aby wykonać podane przez Ciebie czynności. Jedynie w normalnym skanowaniu wykryto kilka śmieci typu malware i trojana w programie którego sam napisałem. Tzn. program, a właściwie programik sam napisałem, a nie trojana :stuck_out_tongue: . Nie jestem pewny czy nie były to fałszywe alarmy ale usunąłem. Sporny trojan to TrojWare.Win32.GameThief.Magania znajdujący się w pliku ATI Technologies\ATI.ACE\Core-Static\ccc.exe. Usunąłem go. odinstalowałem to oprogramowanie. Pobrałem najnowsze, zainstalowałem i znów w tym samym nowszym pliku wykrył tą samą infekcje. Wydaje mi się, że to fałszywy alarm. Co o tym sądzisz?


(krzych5610) #6
  • Sporny trojan to TrojWare.Win32.GameThief.Magania znajdujący się w pliku ATI Technologies\ATI.ACE\Core-Static\ccc.exe. Usunąłem go. odinstalowałem to oprogramowanie. Pobrałem najnowsze, zainstalowałem i znów w tym samym nowszym pliku wykrył tą samą infekcje. Wydaje mi się, że to fałszywy alarm. Co o tym sądzisz?

Tego trojana wykrył Comodo Antywirus z zestawu Comodo Internet Security, czy Comodo CCE.exe ( Comodo Cleaning Essentials )?

Z raportu OTL widać instalację AVAST ( 2012-03-07 ) i instalację Comodo Internet Security ( 2012-03-11 ). Co jest z CIS zainstalowane?

Pod taką samą nazwą wykrywa tego trojana Kaspersky, w zainfekowanych plikach, problem przedstawiony na tym forum - http://forum.programosy.pl/trojan-gamet ... 12674.html.

Przygotuj KRD - http://www.dobreprogramy.pl/Kaspersky-R ... 12771.html. Płyta CD-ISO.

Odinstaluj Comodo.

Zainstaluj ponownie ATI Technologies\ATI.ACE\Core-Static\ccc.exe.

Uruchom ponownie komputer, płyta CD skanera Kaspersky w stacji DVD/CD. Potwierdź gotowość skanowania. Wykonaj dalsze polecenia konfiguracyjne. Po pokazaniu listy partycji - zaznacz i wykonaj pełne skanowanie.


(Wieczor929) #7

Późno jest także teraz napisze tylko kilka info, rano zajmę się resztą. Wykrył infekcje Comodo CCE.exe. Mam zainstalowanego Comodo Firewall plus Avast 7.


(krzych5610) #8
  1. Zapory Comodo nie ruszaj, nie odinstalowuj.

  2. Comodo CCE.exe wykrył w pobranym, czy po instalacji?


(Wieczor929) #9

Wykrył najpierw w zainstalowanym, potem w tym po ponownej instalacji nowszej wersji. W tym pliku instalacyjnym, który pobrałem nic nie wykrył.


(krzych5610) #10

CCE wykrywa po zainstalowaniu w trakcie procesu skanowania. Odinstaluj antywirusa AVAST. Zainstaluj CIS w pełnej wersji bez Geek Buddy. Zwiększ w ustawieniach skanera antywirusowego zakres skanowania do 2000MB. Wykonaj pełny skan.


(Wieczor929) #11

Jeszcze jedna informacja. Wykrywa tego trojana w czasie skanowania pamięci. Ok. Czyli tego z Kasperskym mam nie robić?

-- Dodane 06.04.2012 (Pt) 13:10 --

I jakbyś mógł mi jeszcze napisać co mam osiągnąć przez zainstalowanie pakietu CIS-a? Będzie skanował inaczej niż CCE? Bo osobiście używam tej kombinacji co teraz i jestem dość zadowolony a do CIS-a jeszcze nie jestem przekonany.

-- Dodane 06.04.2012 (Pt) 13:24 --

Znalazłem coś takiego, można powiedzieć, że użytkownik Czekam na odpowiedzi ma podobny problem do mojego. Tzn. też Comodo uważa pliki ATI Technologies za niebezpieczne. Ale nic nie pisze o żadnym wirusie. Problem jednak został nierozwiązany.

http://www.dobreprogramy.pl/Comodo-Internet-Security-Premium,Program,Windows,Komentarze,12952,13.html

http://www.dobreprogramy.pl/Comodo-Internet-Security-Premium,Program,Windows,Komentarze,12952,12.html


(krzych5610) #12

Znaczy się tak:

CIS zaproponowałem jako zamiennik czasowy. Po wykonaniu skanowania możesz zapisać raport i przenieść do kwarantanny. Z twoich postów widać, że to coś siedzi na komputerze. Avast nie widzi. CCE zareagował nie na instalator, ale na folder utworzony po instalacji.

Skanowanie wykonaj po instalacji ATI.Jeżeli przy skanowaniu CIS nic nie wykaże to znaczy jest ok. Jeśli wskaże no to samo co CCE zrzuć do kwarantanny. Jest to jak równoznaczne z naprawą.

Skanowanie za pomocą Kaspersky Rescude Disk - wykonaj, nie zaszkodzi.

Jeżeli idzie o tzw fałszywe alarmy, Comodo przyjmuje zasadę jak coś nie pasuje do wzorca - jest podejrzane i wymaga zweryfikowania, nie należy z tego korzystać. Każdy plik przeniesiony do kwarantanny może być przesłany do analizy przez Comodo.


(Wieczor929) #13

Ok, rozumiem. Skanowanie CISem wykonam wieczorem. W międzyczasie wykonałem mały teścik. Poprosiłem kolegę aby zeskanował CCE.exe również pamięć i krytyczne obszary. U mnie wykrywa tego wira w pamięci. Ma on jeszcze starszą wersje tego oprogramowania od ATI. Nic mu nie wykryło. Teoretycznie to wskazuj na infekcje u mnie. Jednakże proszę wyjaśnij mi jedną rzecz. Zawsze myślałem, że wirus może siedzieć w pliku, usuwam go i po problemie. Bądź ewentualnie ten plik się ciągle odnawia i wtedy mam problem. A w moim wypadku jeśli to nie jest fałszywy alarm to sytuacja wygląda tak, że jak odinstalowuje to oprogramowanie to mój komputer jest czysty. (tzn, wykonuję skanowanie CCE.exe tylko pamięci i krytycznych obszarów, ponieważ tylko w pamięci wykrywało mi tego wirusa.). Zainstalowuję ponownie i znów jest wirus w tym samym pliku. Nie sądzę, żeby ATI wydawało zawirusowane oprogramowanie. Jest możliwe, żebym miał wirusa\trojana który uaktywnia się zawsze przy zainstalowanej jakiejś aplikacji? Dla mnie to jest śmieszne i przyznam, że o czymś takim nie słyszałem.

Po drugie mówisz, że jak mi w CIS-ie wykryje to samo co w CCE to mam zrzucić do kwarantanny. Jak dawałem w CCE.exe opcje clean to on czasem nie wywalał tego pliku również do kwarantanny? Tak mi się wydaje, a zresztą nawet jeśli nie to go trwale usunął. Wirusa wtedy nie miałem na kompie. Program CCC.exe nie działał. Zainstalowałem nowszą wersje ATI Technologies i znów to samo. Czy ma sens wrzucać ten plik przy ewentualnym wykryciu w nim wirusa do kwarantanny CIS-a jeśli pewnie po reinstalacji ATI Technologies znów się tam pojawi ten sam wirus?

Uff. To wszystko. Więcej Cię nie będe męczył przed wykonaniem skana CIS-em. I dzięki za dotychczasową pomoc.


(krzych5610) #14

Podaj pełne namiary tych sterowników ATI.


(Wieczor929) #15

Proszę bardzo:

http://support.amd.com/us/gpudownload/windows/Pages/radeonaiw_xp.aspx