Witam
Mam problem z kompem. Wygląda to na jakiegoś rootkita albo na wirus.
Pierwsze objawy: odpalenie przeglądarki internetowej skutkuje tym, że stopniowo wzrasta zużycie pamięci, mimo iż nie otwieram nowych stron ani niczego nie robię. Gdy włączę pobieranie dużego pliku (np. 300 MB) zużycie pamięci stale wzrasta, aż do momentu w którym:
wariant A – gdy mam odpalonego Kasperskiego – zawiesza pobieranie oraz przeglądarkę, uruchamia się Kasperski i generuje jeszcze większe zużycie pamięci, w końcu się wyłącza. Wtedy wywala też pobieranie.
wariant B – gdy wyłączę Kasperskiego – plik pobiera się dłużej, aż do momentu w którym wyskakuje błąd w przeglądarce, wtedy wywala przeglądarkę i pobieranie.
Gdy włączę program p2p, i odpalę pobieranie pliku natychmiastowo zaczyna wzrastać zużycie pamięci, aż do momentu w którym albo wywali mi program, albo cały system. W efekcie pojawia się blue screen. Są problemy z przeglądaniem stron internetowych, kompa strasznie muli. Gdy wejdę na Google, i zacznę wyszukiwanie, zamiast wyświetlić dany odnośnik przenosi mnie na jakąś dziwną stronkę „top dao finder”, albo ponownie na główną stronę googli.
Skanowałem dysk C Kasperskim – czysty. Puściłem Malwarebytes’ Anti-Malware – znalazł jakieś 4 pliki, i usunął. Problem jednak nie zniknął, a wręcz się nasila. Puściłem Hijack This – niczego nie znalazł. Puściłem OTL – też raczej niczego nie ma, ale mogę się mylić – logi oczywiście załączam. Poprosiłem o pomoc kumpla, który zna się na komputerach lepiej ode mnie. Zaproponował, żeby puścić ComboFixa. ComboFix zrobił swoje, znalazł jakieś pliki i usunął, ale po restarcie na ekranie zmieniło mi wygląd ikonek, oraz pojawiła się jeszcze jedna do Internet Explorera. Problemy oczywiście nie zniknęły.
Zaczęliśmy się przyglądać sieci i wyszło coś ciekawego. Za poradą kumpla sprawdziłem netstat. Jako że się na tym nie znam, zacytuję jego słowa: „tam gdzieś w logu mignęło mi, że niby nie masz włączonego proxy, a tutaj masę połączeń na localhosta. Wygląda to jakbyś miał jakieś proxy odpalone. Połączenia w dużej ilości są wykonywane na localhosta, tak jakby coś "przekierowywało” połączenia na coś w twoim systemie.” Gdy zaczęliśmy przyglądać się dokładniej temu co pokazuje Kasperski w kwestii połączeń, nie znaleźliśmy niczego podejrzanego. W pewnym momencie zerwało połączenie z Internetem – mimo iż Kasperski pokazywał ruch, nie mogłem wysłać maila ani otworzyć żadnej strony. Po restarcie wszystko „wróciło do normy”. Jedynie przy każdym odpaleniu Explorer wyrzuca komunikat że nie jest domyślną przeglądarką.
Co dalej? Jak dotychczas wszystkie sposoby zawiodły, kumpel stwierdził, że nie wie co robić. Doszliśmy do wniosku, że pozostaje tylko przeinstalowanie systemu… .
Do postu dorzucam screeny pokazujące większość „objawów”, które opisałem, oraz oczywiście logi. Mam nadzieję, że uda się ustalić co to za dziadostwo.
Logi:
http://www.wklej.org/id/476869/ - Log z Gmera
http://www.wklej.org/id/476867/ - Log z OTL
http://www.wklej.org/id/476873/ - Log z HijackThis
http://www.wklej.org/id/476874/ - Log z ComboFixa, pokazuje skasowane pliki (nadal są zachowane w kwarantannie)
http://www.wklej.org/id/476896/ - Extras z OTLa, ale sprzed kilku dni, gdy po raz pierwszy skanowałem. Być może coś tu jest, więc pomyślałem, że dorzucę.
Screeny:
- BlueScreen po wywaleniu systemu oraz programu p2p
- ikony zmienione pod odpaleniu ComboFixa
- wzrost zużycia pamięci przez przeglądarkę, a po jej zablokowaniu przez Kasperskiego
- wywalenie pobierania pliku przez ff
- wywalenie Kasperskiego podczas pobierania pliku
- dziwna strona “top dao finder” wskakująca zamiast odnośnika z google
- fragment z netstatu, cała lista jest znacznie dłuższa
Mam nadzieję, że mój pierwszy post jest zrobiony w miarę bezbłędnie. Proszę o jakieś wskazówki i pomoc.
Pozdrawiam