Czy to wirus czy inne błędy?

qazz · 14 Styczeń 2012 19:59

Od kilku dni parę rzeczy zmieniło się w moim komputerze. To komputer stacjonarny z systemem Windows XP prof. połączony z internetem przez ruter.

A oto te zmiany.

Przez przeglądarkę Firefox mogę otworzyć każdą stronę w internecie, przez Internet Explorer nic, tak jakbym nie miał połączenia z internetem.

W wiadomościach Outlook Express nie wyświetlają mi się obrazy, w tych miejscach jest kwadracik z czerwonym iksem. Od razu dodam, że w Opcjach-Zabezpieczeniach-Pobieranie obrazów NIE mam zaznaczonej opcji “Zablokuj obrazy i…”

Avira Free Antivirus przestała mi pobierać aktualizacje. Mogę ją aktualizować tylko pobierając plik “vdf_fusebundle.zip” i wskazując programowi jego lokalizację na dysku.

W wyniku tego odinstalowałem ten program i teraz mam najnowszą wersję Nortona 2012. Po pobraniu aktualizacji zrobiłem pełne skanowanie komputera, program oprócz ośmiu cookies śledzących niskiego ryzyka niczego innego nie wykrył.

Nie mogę zaktualizować skanera online firmy ESET. Po pobraniu pliku i rozpoczęciu instalowania programu pojawia się komunikat: “Nie można zaktualizować programu. Czy proxy jest konfiguro” Ale bez problemu działa skaner “BitDefender Quick Scan” i nie wykrywa żadnej infekcji.

Z przywracaniem systemu mam inny problem ale to już od bardzo dawna. Mam zaznaczoną opcję monitorowania dysku C we właściwościach systemu, to jednak gdy próbuję wejść przez panel sterowania i dalej do “wydajność i konserwacja” i klikam tu “przywracanie systemu” to nic się nie otwiera, a katalog “System Volume Information” jest pusty.

Drugi komputer podpięty pod ruter bezprzewodowo nie wykazuje żadnych zmian.

Pięć razy próbowałem już skanować komputer programem ComboFix i za każdym razem kończy się to po 8 etapie. Na początku skanowałem w normalnym trybie pracy Windows, potem w trybie awaryjnym bez obsługi sieci, dwa razy skan kończył się po 8 etapie. Potem włączyłem tryb awaryjny z obsługą sieci, efekt jak wcześniej. Za każdym razem odinstalowywałem ComboFix poleceniem “combofix /uninstall”, pobierałem nowy plik i z niego uruchamiałem program. Czekałem od 40 minut do ponad godziny gdy program działał, ale powyżej 8 etapu i tak nie przeszedł. ComboFix utworzył wprawdzie katalog Qoobox, ale prawie nic w nim nie ma, katalog ma 14KB.

Zrobiłem też skan programem OTL, tu jest link do wyników: http://wklej.org/id/668836/#

Na co mogą wskazywać takie objawy ? Co powinienem zmienić ?

kargulec10 · 15 Styczeń 2012 07:41

Przeskanuj komputer Malwarebytes Anti-Malware i Comodo Cleaning Essentials

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

http://www.dobreprogramy.pl/Comodo-Clea … 29620.html

W comodo wejdź w ustawienia i ustaw herustics na high i zaznacz scan for suspicious MBR modifications

Jakbyś czegoś nie wiedział to poradnik :

http://forums.comodo.com/polski-polish/ … 935.0.html

Wyczyść system i rejestr CCleaner

http://www.dobreprogramy.pl/CCleaner,Pr … 13061.html

Jeśli comodo nie będzie się chciało uruchomić spróbuj uruchomić je w trybie agresywnym wciskasz Shift przy uruchamianiu.

qazz · 15 Styczeń 2012 20:13

Na razie zrobiłem coś innego.

Przeskanowałem komputer programem BitDefender z poziomu Linuxa z bootowalnej płyty. Długo to trwało ale wykrył mi 3 trojany:

Trojan.Generic.6567091

Exploit.PDF-JS.Gen

PDF.Exploit.pDF-JSB

Usunąłem to.

Potem ściągnąłem Ad-Aware Free, pobrałem najnowsze aktualizacje i zrobiłem pełny scan. Po 5 godzinach i 20 minutach sprawdził mi 140 tyś. plików i wykrył 5 zagrożeń (choć nie zakończył pracy, ale nie wiem ile by to jeszcze trwało):

Removed items:

Description: d:\windows\system32\sfc_os.dll Family Name: Win32.Trojan.Agent Engine: 1 Clean status: Success Item ID: 0 Family ID: 936 MD5: 4de2c72423747b4c0a5ca9061fff0d02

Description: c:\documents and settings\janusz\ustawienia lokalne\temp\av-test.txt Family Name: EICAR (v) Engine: 3 Clean status: Success Item ID: 2 Family ID: 0 MD5: 1195b64d237f57e6289d3cd105228d93

Description: e:\odkurzacz12.3portable\app\odkurzacz\odkurzacz.exe Family Name: Backdoor.Win32.Hupigon (v) Engine: 3 Clean status: Success Item ID: 3 Family ID: 0 MD5: 66410c1c5a57b4c0aacd512db36fbd13

Description: e:\odkurzacz12.3portable\app\odkurzacz\odk_mcd.exe Family Name: Backdoor.Win32.Hupigon (v) Engine: 3 Clean status: Success Item ID: 3 Family ID: 0 MD5: 00ee27e3d5462ade170a987cec8c830c

Description: e:\odkurzacz12.3portable\app\odkurzacz\odk_mpf.exe Family Name: Backdoor.Win32.Hupigon (v) Engine: 3 Clean status: Success Item ID: 3 Family ID: 0 MD5: 8c4bb624c95734c400724e1f46e980bc

Druga rzecz to plik tekstowy, a trzy ostatnie to pliki programu Odkurzacz.

Tu jest link do loga Ad-Aware: http://wklej.org/id/669814/

Jak widać każdy program znajduje coś innego, ale to co mi nie działało nadal nie działa.

Outlook Express nie pobiera obrazków, a Internet Explorer nie łączy się z internetem.

Po tych działaniach zaszła jeszcze jedna rzecz, miałem cofnięty o godzinę czas, próba aktualizacji z serwerów: time.nist.gov i time.windows.com nie powiodła się i musiałem ręcznie zmienić ustawienia czasu.

Teraz ściągnę zaproponowane mi powyżej programy.

W normalnej pracy do czyszczenia i porządkowania komputera używałem takich programów: CCleaner, Pagedfrg, Odkurzacz, Eusing Free Registry, RegCompact Pro, Spybot Search, WinContig, Autoruns, Revo Uninstaller.

– Dodane 16.01.2012 (Pn) 20:25 –

Wreszcie jest postęp A pomógł program Malwarebytes Anti-Malware zaproponowany przez kargulec10.

Szybkie skanowanie wykryło coś takiego:

Wykrytych wartości rejestru: 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Data: http=127.0.0.1:61798 -> Nie wykonano akcji.

Wykryte wpisy rejestru systemowego: 3

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Złe: (0) Dobre: (1) -> Nie wykonano akcji.

HKCR\scrfile\shell\open\command| (Broken.OpenCommand) -> Złe: (NOTEPAD.EXE %1) Dobre: ("%1" /S) -> Nie wykonano akcji.

HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Złe: (NOTEPAD.EXE %1) Dobre: (regedit.exe “%1”) -> Nie wykonano akcji.

wykrytych folderów: 1

C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge (Spyware.MarketScore) -> Nie wykonano akcji.

Wykrytych plików: 3

C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.MarketScore) -> Nie wykonano akcji.

C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.MarketScore) -> Nie wykonano akcji.

C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge\Support.lnk (Spyware.MarketScore) -> Nie wykonano akcji.

Usunąłem to wszystko, a potem zrobiłem pełny skan tym programem. Przeskanowano 310896 obiektów w półtora godziny.

Tym razem wykrył jeszcze to:

Wykrytych plików: 3

E:\eHurtownia-offline\infinite-vnc.exe (PUP.Radmin) -> Nie wykonano akcji.

I:\Instalki\oi_Ad-Aware95Install(1).exe (PUP.BundleInstaller.OI) -> Nie wykonano akcji.

I:\Instalki\oi_Ad-Aware95Install.exe (PUP.BundleInstaller.OI) -> Nie wykonano akcji.

Znowu to usunąłem i zrobiłem restart komputera. IE łączy się z internetem, a OE pobiera obrazki.

Głównym winowajcą jest (a w zasadzie był, bo jest już usunięty) według mnie ten wpis w rejestrze:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Data: http=127.0.0.1:61798

Wie ktoś co to takiego i skąd ten wpis mógł się tam pojawić ?