Prośba o analizę i pomoc

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Awatar użytkownika
Bagietka

Użytkownik
Posty: 7
Rejestracja: 15 maja 2014, 11:21

Prośba o analizę i pomoc

Post15 maja 2014, 16:45

Witam. Proszę o pomoc przy naprawie starego laptopa Dell. Komputer często niespodziewanie wyłącza się (natychmiast - bez zamykania systemu) najczęściej tuż po uruchomieniu przeglądarki chrome bo jej najczęściej używam. Czasem też po uruchomieniu innych większych aplikacji typu SketchUp, Photoshop, gry Sonic&Sega lub IE7. Najdziwniejsze, że jest prosty sposób uzyskania nawet długoterminowej stabilności dzięki kilku prostym krokom: po uruchomieniu systemu (trwa ok 15s.) poczekać 15s a potem nieśpiesznie uruchomić jakieś małe programy - mam na pulpicie przygotowane kolejno dokument .txt Notatnika, .doc Worda i Total Commander których spokojne kolejne uruchomienie gwarantuje później stabilne działanie wszystkich aplikacji (choćby wielu jednocześnie) kilkadziesiąt godzin non stop. Mogę użyć też innych programików celem uzyskania stabilności. Wiem, chyba potrzeba mi jakiegoś szamana ;) Dodam, że ta gimnastyka trwa już od kilku miesięcy a po wstrzymaniu i wznowieniu dobrze działającego systemu znowu trzeba zrobić te same sztuczki więc już lepiej go zamykać zawsze. Nie jest to też sprawa przegrzania komputera bo czyszczę go z kurzu co kilka miesięcy a poza tym jak już dobrze działa to czasami naprawdę godzinami dostaje w kość np. kiedy coś renderuje – wiatraki wyją głośno ale jest stabilny, wystarczy go jednak zrestartować i pospieszyć się przy „procedurze uruchamiania” i znowu leży. Zresztą najczęściej zdarza się to po pierwszym uruchomieniu – rano gdy go zapomnę „dopilnować”. Testowanie pamięci RAM programem w biosie (ok. godzina męczenia tych 4GB DDR2) nie wykazuje na jakiekolwiek wady sprzętowe. Na koniec dorzucę jeszcze jedno – można powiedzieć, że w tym laptopie używam na przemian 3 dysków twardych z osobnymi systemami: stary XP32proSP3, nowy Win7_64 z grami dla dzieciaków i Win7_64(SSD) czyli ten którego używam i pokazuję logi. Na pozostałych instalacjach też takie wyłączenia też się zdarzają ale rzaddziej i nie umiem ich "magicznie" powstrzymać.
Aha, mam zmapowane na każdym dysku/systemie ponad 10TB udziałów w dyskach sieciowych które mogą być przyczyną przenoszenia się tej zarazy pomiędzy nimi - na najstarszym XPku litery alfabetu się skończyły ;(. Nie wyobrażam sobie by je całe czymś skanować, zwłaszcza części która jest tylko po "setce". Ze sprzętu można by jeszcze ostatecznie podejrzewać kartę graficzną (nVidia Quadro FX3600M 512MB) ale to już moja trzecia sztuka na przestrzeni 6 lat i wiem jak mniej więcej wygląda jaj pad – to raczej nie to. Nie wiem czym ją skutecznie podręczyć w poszukiwaniu błędów - proste testy z BIOSa - przechodzi.

Jest też drugi problem. Kiedy komputer długo pracuje, zwłaszcza mocno zasysając z sieci (np. JDownloader;) przestaje widzieć sieć globalną zaś sieć lokalna jest dostępna. Na pewno nie działa HTTP i FTP. Połączony jest przewodem LAN do switcha - odłączenie i podłączenie przewodu nie pomaga. Kiedyś pomagało włączenie karty WiFi ale ostatnio prawie się to nie zdarza. Inne urządzenia w sieci oczywiście widzą wtedy internet poprawnie. Wygląda na problem z DNS ale nie wiem. Restart pomaga od razu ale wystarczy się za bardzo pospieszyć i wraca problem no.1

Pomóżcie proszę ocenić soft na tym komputerze. Bag.

OTL: http://www.wklej.eu/index.php?id=64e3773002
EXTRAS: http://www.wklej.eu/index.php?id=362198c63e

TDSSKiller: http://www.wklej.eu/index.php?id=09c826c4c3

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o analizę i pomoc

Post15 maja 2014, 20:56

Widzę w systemie jakieś podejrzane strumienie ale z tym to na koniec.

1. Wszelkie problemy zamuleń: od siebie zalecam deinstalacje wszelkich programów do ochrony komputera: Ad-Aware Antivirus. Widzę też w systemie czynnego BitDefender lecz w panelu deinstalacyjnym go nie widać. Pytanie więc brzmi: czy został w jakiś sposób deinstalowany? Wybierz wersję BitDefendera z Dostępne tylko dla zarejestrowanych użytkowników strony i wykonaj deinstalację.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[S1].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Wklej nowe logi z OTL.

5. Widzę w systemie zainstalowanego TRIALa HDTune. Jeżeli okres jeszcze nie minął to poproszę o odczyt SMART z zakładki Health, mam podejrzenie dysku:
Error - 2014-03-19 08:11:12 | Computer Name = Dell-M6300 | Source = Disk | ID = 262155
Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk2\DR2.

Error - 2014-03-19 08:11:12 | Computer Name = Dell-M6300 | Source = Disk | ID = 262155
Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk2\DR2.

Error - 2014-03-19 08:11:13 | Computer Name = Dell-M6300 | Source = Disk | ID = 262155
Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk2\DR2.

Error - 2014-03-19 08:11:13 | Computer Name = Dell-M6300 | Source = Disk | ID = 262155
Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk2\DR2.

Awatar użytkownika
Bagietka

Użytkownik
Posty: 7
Rejestracja: 15 maja 2014, 11:21

Prośba o analizę i pomoc

Post16 maja 2014, 01:40

Dziękuję za podjęcie mojego tematu.

1. Ad-Aware usunięty
BitDefender - nie pamiętam skąd się wziął ani kiedy usunięty, może ktoś mi pomagał? Nie wiem więc też jaka to wersja. Z podaj strony wybrany "na oko" deinstalator zakończył pracę tak: Dostępne tylko dla zarejestrowanych użytkowników
2. AdwCleaner[S2].txt: Dostępne tylko dla zarejestrowanych użytkowników
3. JRT: Dostępne tylko dla zarejestrowanych użytkowników
4. Nowe OTL: Dostępne tylko dla zarejestrowanych użytkowników
i Extras: Dostępne tylko dla zarejestrowanych użytkowników
5. HDTunePro-trial już nie działał - usunięty. Wersja free/portable nie widzi zewnętrznego dysku a o niego pewnie chodzi. Systemowy widzi tak Dostępne tylko dla zarejestrowanych użytkowników. Zewnętrzny jest podpięty przez kontroler ExpressCard=>USB3.0 którego sterownik nie instalował się poprawnie w Win7/64 trzeba było pliki ręcznie umieścić. Komputer z wysuniętym kontrolerem USB3.0 zawiesza się w zasadzie tak samo z zainstalowanym. Sterownika oczywiście wtedy nie usuwam, mam go jednak usunąć? Bag.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o analizę i pomoc

Post16 maja 2014, 14:34

SSD zdrowy. Lecimy z małym czyszczeniem.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:processes
killallprocesses

:OTL
O4 - HKLM..\Run: [fst_pl_59] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O4 - HKU\S-1-5-21-1443588955-3713854163-3560366251-1000..\Run: [AdobeBridge] File not found
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [] File not found
@Alternate Data Stream - 1185 bytes -> C:\Users\Magdalena\AppData\Local\Temp:9pG7Z3yjOtllE4gmpcmuR2
@Alternate Data Stream - 1107 bytes -> C:\Users\Magdalena\AppData\Local\Temp:QSgrDYIklXuabF338d7

:Files
C:\Windows\SysWow64\sqlite3.dll
C:\Windows\tasks\*.job
C:\Windows\MEMORY.DMP

:Commands
[emptyflash]
[emptyjava]
[resethosts]
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera.

2. Wykonaj nowe logi z OTL.

Awatar użytkownika
Bagietka

Użytkownik
Posty: 7
Rejestracja: 15 maja 2014, 11:21

Prośba o analizę i pomoc

Post17 maja 2014, 01:33

Raport po wykonaniu skryptu: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Od wykonania pierwszych zaleceń komputer nie wyłączył się ni razu.
Znając jego złośliwość czaić się tylko może by z zaskoczenia dać mi po mordzie kiedy będzie coś pilnego do zrobienia więc czekam z nadzieją, że to najprawdziwsza prawda. Poczekam zwłaszcza jeszcze z tydzień z ponowną instalacją UltraISO. Dziękuję tymczasem pięknie.

Jedno jednak pytanie: czy wiemy co za menda mi to robiła? Mam szansę nauczyć się i samodzielnie ją zwalczyć na pozostałych dyskach bez zawracania głowy Naczelnemu Szamanowi? Pozdrawiam. Bag.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o analizę i pomoc

Post17 maja 2014, 11:12

Mini poprawka.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
C:\Program Files (x86)\PCData
C:\Users\Magdalena\.android

Kliknij w Wykonaj Skrypt. Pokaż raport.

Jedno jednak pytanie: czy wiemy co za menda mi to robiła? Mam szansę nauczyć się i samodzielnie ją zwalczyć na pozostałych dyskach bez zawracania głowy Naczelnemu Szamanowi? Pozdrawiam. Bag.

Trudno zweryfikować.
Żeby sprawdzać logi trzeba bardzo dobrze znać się na infekcjach oraz systemach operacyjnych.

Awatar użytkownika
Bagietka

Użytkownik
Posty: 7
Rejestracja: 15 maja 2014, 11:21

Prośba o analizę i pomoc

Post17 maja 2014, 12:26

Dobra passa minęła. Od wczoraj komputera nie oszczędzam, uruchamiam wszystko z lotu zaczynając od przeglądarki która najczęściej wyłączała komputer. Cały dzień wczoraj bezbłędny - widać to był po prostu dobry dzień.
1. dziś po pierwszym uruchomieniu tuż po zalogowaniu pad - nawet nie pokazało pulpitu
2. po wyjęciu kontrolera USB3.0 (w celu ochrony danych na zewnętrznym dysku - MBR był już raz leczony po takim padzie) kolejne uruchamianie - zalogowało, pokazało pulpit, po kliknięciu ikonki Chrome - pad
3. uruchomianie - wytrzymało 5 sekund odtwarzania YouTube - w chwili kliknięcia "pomiń reklamę" - kolejny pad
4. uruchomienie - chodzi stabilnie do tej chwili i będzie chodził choćby tydzień - wiem to. Jeśli wytrzyma 15 minut aktywności - wytrzyma wszystko. Jakieś pomysły? Bag.

Raport wykonania skryptu + nowy OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o analizę i pomoc

Post17 maja 2014, 12:42



Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o analizę i pomoc

Post17 maja 2014, 15:13

1. Otwórz notatnik i wklej:
S2 Update Surftastic; "C:\Program Files (x86)\Surftastic\updateSurftastic.exe" [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
Task: {E93D77B1-AC81-48FA-B57F-CD44C6BBDE60} - \RegClean Pro_DEFAULT No Task File <==== ATTENTION
Task: {FBB062DA-D221-4F77-8866-1C351B0B7B04} - \VuuPCUpdateLogin No Task File <==== ATTENTION
Task: {78166520-403B-4B0F-AA97-8913D21841BE} - System32\Tasks\bench-S-1-5-21-1443588955-3713854163-3560366251-1000 => C:\Program Files (x86)\Bench\Updater\updater.exe <==== ATTENTION
Task: {8DFE061E-2092-4A19-B746-26BDF511F4AE} - \bench-sys No Task File <==== ATTENTION
Task: {A9106880-F9E7-44F5-AAF1-FFEA9BB33372} - \VuuPCUpdate No Task File <==== ATTENTION
Task: {63891A2A-E806-4565-9D51-2259F51E02BF} - \AmiUpdXp No Task File <==== ATTENTION
Task: {2937A81C-637E-4A1A-B383-47F507399733} - \RegClean Pro_UPDATES No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\Magdalena\Cookies:Zg8dHZwhahLRJYCH4DJ4NAp9
AlternateDataStreams: C:\Users\Magdalena\Ustawienia lokalne:HThlK9PYSyKWuQU0IpGOKl8
AlternateDataStreams: C:\Users\Magdalena\AppData\Local:HThlK9PYSyKWuQU0IpGOKl8
AlternateDataStreams: C:\Users\Magdalena\AppData\Local\Dane aplikacji:HThlK9PYSyKWuQU0IpGOKl8
C:\Program Files (x86)\Surftastic
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Awatar użytkownika
Bagietka

Użytkownik
Posty: 7
Rejestracja: 15 maja 2014, 11:21

Prośba o analizę i pomoc

Post18 maja 2014, 01:22

Wykonane.
FRST64 raport -> fixlog: Dostępne tylko dla zarejestrowanych użytkowników
Pewnie już niepotrzebne, ale na wszelki wypadek wrzucam:
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
Dam znać jak lapek się zachowuje gdy tylko pojawią się jakieś incydenty.
Dziękuję za dotychczasową pomoc. Bag.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Prośba o analizę i pomoc

Post18 maja 2014, 08:53

Usunięte pomyślnie.

Awatar użytkownika
Bagietka

Użytkownik
Posty: 7
Rejestracja: 15 maja 2014, 11:21

Prośba o analizę i pomoc

Post18 maja 2014, 12:54

Dziś od rana 4 uruchomienia w 2 minuty
+ piąte z użyciem "czarów"- o dziwo też pad
+ szóste też z użyciem "czarów" ale baaardzo spokojnie - kilkuminutowe odstępy przy uruchamianiu programowych "spojlerów" i od 10 minut działa. Jeśli zaraz odtworzy 15s. "Hera, koka, hasz..." na YT to już będzie działał cały dzień. O co tu chodzi!? Bag.

Dodane: Ciągle działa! Jak to możliwe?



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 11 gości