Dwa dni temu dostałem informację że zostało zablokowane konto pocztowe na portalu o2. Wyjaśnienie jakie otrzymałem było takie że dane z mojego konta znalazły się w internecie i administrator zablokował moje konto pocztowe. Podobno wyciek miał miejsce 25.01.2012. Szczerze mówiąc konto miałem od dawien dawna nie było moim głównym kontem pocztowym ale sprawa mnie ruszyła.
Na komputerze mam XP + SP3 + Comodo Firewall + Avast + Ad Aware. System uaktualniany na bieżąco. Odwiedzam tylko kilkanaście stron internetowych nie korzystam z piratów wszystko wersje darmowe.
Przed wczoraj chciałem wkleić logi z OTLa i wlzałem na strone wklejto.org pojawiła się stronka z klpiem anty ACTA na Youtube i komputer się zawiesił. Zawiesił się i praktycznie system nie chciał się zamknąć. Nie jestem zwolennikiem twardych restarów więc pozwoliłem mu się zamknąć a trwało to z 15 minut. Od następnego uruchomienia komputer zachowuje się dziwnie. Czasami działa normalnie i nic się nie dzieje, czasami po uruchomieniu gdy chcę otworzyć jakiś program komputer sie wiesza tzn nic się nie dzieje dysk nie pracuje, w menedżerze zadań nic nie widać, obciążenie 0% i nic się nie dzieje. Czasami działa normalnie do momentu odpalenia internetu podziała dwi minuty i przechodzi w stan jaki opisałem powyżej. Z każdego takiego stanu komputer zamyka się bardzo długo. Tak jak by go coś blokowało. W niektórych momentach w menedżerze pojafiał się FADERSYS któy był powiązany z explorer.exe. Powyłączałem efekty przejścia stron (takiego tutka znalazłem w necie)
Co zrobiłem do tej pory
Pełny skan Avasta przed uruchomieniem XP - zero infekcji
Skan AD-Aware - czysto
Skan Comodo AV skaner Online - czysto
pobrałem i wypaliłem płytkę ratunkową z AVG. Uruchomiłem czysto
uruchomiłem program mbs.exe
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Hitachi_HTS722012K9A300 rev.DCCOC54P -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-12
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Uruchomiłem WWDC żeby zamknąć porty. PRzy drugim restarcie jak zamykałem drugą pozycję od góry pojawił się taki komunikat
your system seems to be infected by a virus, yout svchost virtual memory usage 24096Ko is beyond usual values. It strongly advised to check your
system with an AntiVirus up to date and an AntiTrojans
Z tego co się dowiedziałem wyciek danych miał miejsce. Wyciekły dane z komunikatora TLEN i zostały opublikowane na Rosyjskich forach. Proszę o informację na podstawie moich logów czy mam jakiegoś robala czy też nie
Ten komunikat wcale nie znaczy że masz infekcje. Dokładnie mówi on że jeden z procesów svchost “zużywał” zbyt dużo pamięci zdaniem WWDC w danym momencie. Taką sytuacje mogą powodować np włączone aktualizacje automatyczne. Z drugiej strony jeśli rozmiar pamięci czy pliku miałby być wyznacznikiem infekcji to nie tędy droga.
Logi wyglądają na czyste
Drobne uwagi zamiast rozbudowanego Ad-Aware używałbym Malwarebytes, jest lżejszy i obecnie skuteczniejszy. Wykonaj nim pełny skan
“System uaktualniany na bieżąco” Chyba nie do końca bo w raporcie widać starą wersje IE
Nie, nie o to mi chodziło. Chodziło mi o to żeby wyłączyć Prawy przycisk myszki -> właściwości -> wygląd -> efekty i odznaczamy pierwszy kwadracik. Dzięki za info o logach Zastosuję się do Twoich rad i zmienię Ad-aware na Malwarebytes
– Dodane 29.01.2012 (N) 0:32 –
Zrobiłem pełen skan w programie który podałeś oto wfekt
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Wersja bazy: v2012.01.28.05
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
My :: HPEK [administrator]
2012-01-29 00:05:36
mbam-log-2012-01-29 (00-05-36).txt
Typ skanowania: Pełne skanowanie
Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
Odznaczone opcje skanowania: P2P
Przeskanowano obiektów: 227542
Upłynęło: 23 minut(y), 27 sekund(y)
Wykrytych procesów w pamięci: 0
(Nie znaleziono zagrożeń)
Wykrytych modułów w pamięci: 0
(Nie znaleziono zagrożeń)
Wykrytych kluczy rejestru: 0
(Nie znaleziono zagrożeń)
Wykrytych wartości rejestru: 0
(Nie znaleziono zagrożeń)
Wykryte wpisy rejestru systemowego: 0
(Nie znaleziono zagrożeń)
wykrytych folderów: 0
(Nie znaleziono zagrożeń)
Wykrytych plików: 0
(Nie znaleziono zagrożeń)
(zakończone)
Dzięki za wszystkie informacje. Komputer niby działał ale każdorazowe otwarcie przeglądarki i wczytanie jakiej kolwiek strony trwało kilka minut. Komputer potrafił się wyłaczać 10 minut Padła decyzja reinstalacja. Walczyłem z tym cztery dni a reinstalka to może z 4 godzinki. Dałem sobie ostatnią szanse zacząłem odinstalowywać programy i patrzeć co się dzieje. Odinstalowałem Chrome, Malwarebytes, no i na końcu w trybie awaryjnym Avasta (użyłem aplikazcji ze strony Avasta) i co komputer się uruchomił. Zainstalowałem Avirę i działa jak na razie. Poniżej naajświeższe logi z OTL-a proszę o komentarz. Coś mi się wydaje że w pewnym momencie coś stało się z Avastem i to on rozwalał pracę całego komputera. Będę obserwował jakdziała komputer.