Witaj,
W mojej radzie nie było ironii, natomiast być może, że było lekkie poirytowanie, że przedstawione informacje są niekompletne i nieprecyzyjne, a wnioski stanowczo przedwczesne (by nie powiedzieć: nieuzasadnione).
Wcale jednak nie oczekuję, że zaraz sam postawisz trafną diagnozę, zaaplikujesz leczenie i tylko zapytasz czy dobrze idzie.
Podsumujmy fakty:
-
Była poważna infekcja, jeden lub więcej koni trojańskich zostało wykorzystanych do przejęcia kontroli nad systemem, atakujący mógł przechwycić różne dane użytkownika (np. dane kont, identyfikatory, hasła, itp.).
-
Podjęto decyzję o ponownym postawieniu systemu Windows XP SP2
-
Już po kilku dniach w nowo postawionym systemie masz ponownie obawy, że w systemie może być koń trojański
-
Używasz zaawansowanych programów ochronnych i skanujących, ale wiesz, że nie jesteś w stanie samodzielnie ocenić podawanych przez nie informacji.
Moje sugestie (nadal bez ironii):
- Jeżeli to możliwe, wykonaj kopię zapasową systemu programem, który pozwala na odtwarzanie całej zawartości partycji (np. Norton Ghost lub inny program wykonujący obraz partycji lub dysku na drugą partycję lub dysk).
Wyłącz wbudowaną w Windows usługę przywracania systemu, bo jak już zauważyłeś, nie daje 100% gwarancji na powrót do stanu systemu, który możesz uznać za pewny i bezpieczny. Dodatkowo pozbędziesz się katalogów z punktami przywracania i plikami, które były na pierwszym obrazku (_Restore…).
Upewnij się, że skopiowałeś wszystkie ważne dane i masz aktualne kopie wszystkich dokumentów - być może będziesz formatował dysk przy ponownym stawianiu systemu, a nie chcesz już nic stracić. Zadbaj o zmianę haseł na każdym z kont pocztowych i serwisów, które tego wymagają.
- Użyj programów diagnostycznych i zapisuj logi i zrzuty ekranu w sposób systematyczny (do osobnych katalogów, z datą w nazwie itd.). Notuj każdą poważną wątpliwość, a następnie sprawdzaj, czy była uzasadniona. Na przykład: Obrazek nr 3 - nieznany plik sterownika: cmdGuard.sys
Podejrzenie: rootkit? Wyszukanie dodatkowych informacji:
http://www.runscanner.net/process.aspx?p=cmdguard.sys
Wniosek: część od zainstalowanego firewalla Comodo. Fałszywy alarm.
Jeżeli diagnoza wykryje jednak ponad wszelką wątpliwość nową infekcję, to zrób kopię zapasową i ponownie postaw system tym razem nie popełniając błędów, które doprowadziły do jego ponownej infekcji. Zmień programy, które zawiodły. Jeżeli Avast pracował nie sygnalizując obecności koni trojańskich, które później zostały wykryte, to odinstaluj go i zainstaluj inny program antywirusowy. Jeżeli firewall nie był wystarczająco łatwy w konfiguracji i nie sygnalizował nowych programów, które łączyły się z internetem, to zmień na taki, który będzie to robił.
-
Dopóki nie masz poważnych podstaw, by podejrzewać infekcję, nie zakładaj, że już nastąpiła. Zapisz sobie na kartce wszystkie powody, dla których uważasz, że ponownie system jest zarażony, a dopiero później spokojnie punkt po punkcie sprawdź, czy obserwacja na pewno jest konkretna i jednoznaczna.
-
Zastanów się długo i spokojnie nad okresem poprzedzajacym decyzję postawienia systemu od nowa. Zrób listę wszystkich możliwych przyczyn, które doprowadziły lub mogły doprowadzić do infekcji. Analizując punkt po punkcie odpowiedz sobie, czy te same przyczyny rzeczywiście zaistniały ponownie? Co mogłeś zrobić, aby temu zapobiec?
-
Weź poprawkę na to, że programy diagnostyczne będą (lub nie) wyświetlać informacje o właściwościach, procesach i plikach, które choć mało znane lub niewidoczne dla użytkownika, mogą być poprawnymi i bezpiecznymi częściami systemu lub programów ochronnych. Błędne wnioski mogą prowadzić do uszkodzenia/niepoprawnej pracy systemu.
-
Na koniec, choć nie jest to miłe: pamiętaj, że programy nie są nieomylne. Wiele razy miałem do czynienia z sytuacjami błednęgo rozpoznania plików poprawnych jako plików wirusów. Także i z odwrotnymi sytuacjami, kiedy pliki szkodliwe nie były wykrywane. Staraj się zawsze weryfikować to co znajdziesz.
Jeśli np. chcesz się dowiedzieć, co o podejrzanym pliku sądzi ponad 30 silników antywirusowych z bieżącymi definicjami, to wyślij plik do analizy korzystając ze strony VirusTotal:
http://www.virustotal.com/pl/
Napisałeś:
Jesteś przeczulony (co po poprzedniej infekcji jest normalne), ale moim zdaniem załączone informacje i obrazki nie potwierdzają podejrzenia.
Szukaj dalej. Cokolwiek znajdziesz, zawsze to coś nowego.