Masa dziwnych plików i wolne działanie komputera


(Max Graczyk) #1

Witam,

Jestem akurat u takiego jednego znajomego i on ma komputer, tak jak ja :smiley:

Ale zauważyłem, że on bardzo "wolno" działa, a dyski uruchamiają się w osobnych oknach. Zaniepokojony próbowałem wyłączyć ukrywanie plików i folderów i tutaj pierwszy objaw - NIE DAŁO SIĘ TEGO WYŁĄCZYĆ! Brak działania funkcji. Odpaliłem WinRara i pojawiła się masa dziwnych plików sm.exe, f.cmd, f.bat, jakieś tam cyfry i różne tam nijakie rzeczy. NOD32 nic nie wykrywa, mimo, że jest aktywny. W tych plikach nic nie wykrywa. Są dziwne pliki systemowe, a na każdym dysku jest plik autorun.inf i pliki info.exe w folderach Recycled / Recycler.

Podejrzewam wirusa z pendrive'a.

Prosiłbym o jak najszybszą pomoc. Oczywiście problem dotyczy komputera znajomego.

Na początek pytanie: Z jakich programów mam logi zapodać? GMER? OTL? A może ComboFix? Proszę o odpowiedź :slight_smile:


(jessica) #2

Logi albo z ComboFix albo z OTL

ComboFix widzi znacznie więcej obiektów różnych infekcji, niż OTL, ale za to jego używanie jest trochę ryzykowne.

Wybór pozostawiam Tobie.

jessi


(Max Graczyk) #3

Wybrałem ComboFix'a i trochę tych wirusów było i usunęło...z komputerem nic się nie stało.

Zapodaję log z tego programiku: http://wklej.org/id/192297/


(jessica) #4

ComboFix usunął wszystko - nic więcej do usuwania nie ma.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Max Graczyk) #5

Wszystko zostało zrobione, a komputer działa normalnie! Bardzo dziękuję za pomoc :slight_smile:


(Henio Mazurek) #6

Być może OT, ale dopiszę coś na koniec.

Z tym się nie zgodzę. OTL posiada zestaw komend znacznie rozszerzających jego funkcjonalność, a nawet w standardowym skanie widzi więcej rzeczy od ComboFix'a. Do tego dodać GMER + SRENG + RegLooks i w bezinwazyjny sposób można stworzyć wyciąg dużo więcej mówiący niż log z ComboFix.

Jak można pozostawiać wybór osobie która nie potrafi samodzielnie posługiwać się danym narzędziem i prosi o pomoc na forum.

Ostatnio ze względów bezpieczeństwa w ComboFix dodano moduł pozwalający na ty by ComboFix ignorował pewne, określone w skrypcie, pliki, które sam usuwa z automatu, co z kolei świadczy o tym, że nie jest to narzędzie nieomylne, ale nieobliczalne.


(jessica) #7

Też pewnie OT, ale..

Z moich obserwac ji na różnych forach jasno wynika, że OTL w porównaniu do ComboFixa wypada bardzo blado. Naprawdę nie widzi wielu rzeczy, które widzi ComboFix.

Np.

nie widzi CONFICKERA w całości, co najwyżej jego plik, bez usługi

nie widzi Rootkita MBR

nie widzi większości plików infekcji "pendrivowej"

itd.

Bez trudu można znalźć w necie takie przykłady, gdy OTL tych rzeczy nie widział, a dopiero ComboFix je pokazywał.

Na tym Forum też było kilka takich przypadków.

Najświeższy był wczoraj

http://forum.dobreprogramy.pl/strasznie-zamulony-komp-t361267.html, ale pamiętam jeszcze kilka innych.

Zgadzam się, że ComboFix jest niebezpieczny, ale nie zgadzam się, że OTL jest dobry, czy lepszy od ComboFixa.

OTL to tylko namiastka ComboFixa.

jessi


(deFco247) #8

Ten temat powoli przeistacza się w dyskusję: Które narzędzie tworzące logi i usuwające infekcje ma najmniej wad. :stuck_out_tongue:

OTL ostatnio złapał buga, który powoduje niewyświetlanie nazw usług.

Zauważyłem to u siebie i w dwóch tematach - post2348570.html#p2348570 i post2348623.html#p2348623

W obydwu przypadkach przy przestawieniu opcji Processes OTL w logu nie wyświetlał nazw usług i sterowników, a plik C:\WINDOWS\system32\svchost.exe nie miał żadnych info o dacie stworzenia i modyfikacji:

Kiedyś Combofix w logu tworzył listę wpisów w kluczu MountPoints2, co znacznie ułatwiało wykrywanie syfu.

Co się teraz stało z tą przydatną informacją ??

OTL-a wyróżnia pewna elastyczność w doborze tego, co ma być produkowane w logach. Można skanować tylko listę uruchomionych procesów, jak i "tylko" wszystkie pliki stworzone od początku.

Niestety OTL nie widzi wszystkich infekcji rootkitowych i ukrytych, więc trzeba używać osobnych narzędzi.

Nie kojarzę za bardzo, która to była komenda, ale jeśli już Combofix coś usunie, lecz system dalej chodzi, to wystarczy użyć DeQuarantine::

Ten konkretny przypadek jest chyba powiązany z tym bugiem, o którym piszę wcześniej.


(Henio Mazurek) #9

OTL służy do listowania i usuwania drobnych infekcji i do ComboFix'a się nie umywa (zwłaszcza, że ten może już w całości usunąć rootkita mbr). Ale o to, że skoro sUBs sam zastrzega by nie stosować tego narzędzia (podkreślając przy tym, że nie jest ono bezpieczne, a system może się już nie podnieść) na starcie ale aby dawać logi z np OTL by się zorientować w sytuacji, to znaczy, że coś jest na rzeczy. A kto bardziej zna program jak nie jego twórca.

Obecnie ta gałąź jest automatycznie opróżniana przez ComboFix bez odnotowania tego w logu. Co faktycznie jest trochę nie na rękę.

Ignore , dostępna od kilku dni.

To, że unikam stosowania ComboFix'a wzięło się z tego, że nieraz już powodował problemy. Kilka razy system nie wstawał, pozostawił po sobie niedobitki w postaci kluczy rejestru uruchamiających jego moduły (co znacznie spowalniało system), kasował pliki które z infekcją nie mają nic wspólnego. Do tego sporo userów dostaje odpowiedź typu "log czysty". Sam nie chciałbym usłyszeć, że ucięto mi nogę, a potem, że to pomyłka lekarska.

Przykład z logu maksio1

Sam u siebie nie zastosowałbym ComboFix'a gdyby sytuacja nie była poważna. Podobnie postępuję z osobami które piszą na forum. To, że na moim komputerze ComboFix działa nie wywołując żadnych środków ubocznych nie oznacza, że na wszystkich komputerach tak jest.