Virus? - nespouští se programy
Zdravím všechny, rád bych se optal na radu, neb můj počítač začíná dělat věci, které přestávám považovat za standardní a naopak mám pocit, že vše naznačuje tomu, že jsem byl napaden nějakým nechutným virem : )
Nuže - ten samý den mi přestal jít skype (vůbec se nespustí - resp. jen prázdná obrazovka) a počítač se přestal dovypínat (skončí na "saving settings"). Když se to stalo asi už potřetí - s tím, že jsem ho zkrátka musel resetovat, abych ho mohl vypnout - napadlo mě, jestli to nemůže být tím náhle nefunkčním skypem. Řekl jsem si tedy, smažu skype a potažmo přeinstaluju - no jo! To bych se ale musel dostat do add or remove programs v control panels! To už bez váhání spouštím avast a test po restartu : mám smůlu - nespustí se, pokud se počítač sám nerestartuje (vždycky tomu musím dopomoct tím resetem); nevadí - dávám tedy test za plného běhu počítače - nechal jsem ho běžet celou noc - neotestoval ani jedno mega, je zaseknutý na jednom souboru a dál se to ani nehne!
Je někomu z vás toto povědomé? Poraďte prosím, co s tím!
Jinak pěkný zbytek víkendu : )
Petr
Upravena velikost písmen.
Změna předmětu, původně: VIRUS? (Kráťa)
Udělej tohle (V nouzovém režimu!)
http://pc.poradna.net/a/view/380552-prohlednuti-po citace-na-skodnou-v-programu-superantispyware
Bohužel ten stažený soubor se nechce spustit : / Doufám, že dalším krokem není rovnou zformátování disku : /
testuj v nouzovém režimu.
Pravda, už to testuje - našlo to zatím 167 nějakého adware tracking cookie; tak jsem zvědav, jak to dopadne.
sušenky ani tak neva. Našlo to třeba trojana?
Ne, dál už to nic nenašlo - a problém bohužel přetrvává : ( Ale je fakt, že donedávna jsem se s občasnými malwary a trojany potýkal, sem tam mi to Avast našel právě při té kontrole disku po restartu (a pak zneškodnil), ale až doteď mi to prakticky nic zlého nedělalo : )
Testoval si iba jednym programom?
Ano, tím, co mi byl doporučen - Super antispyware. Zkusil jsem teď znovu pustit Avast, ale je taky kaput (a v nouzovém režimu neběží vůbec)...
Avast to nezlikviduje. Je to antivir a ne antispyware. Nemáš tam bod obnovení, nebo zkus "poslední známá funkční konfigurace".
OK, zkusím, děkuji.
Jsem teď v Repairs v SuperAntiSpywaru, nevím ale, co přesně tam spustit - těch "resetů" či "removů" je tam vícero a netroufám si odhadnout, co z toho bych mohl spustit (vyloženě jako "poslední známá konfigurace" tam není nic)...
Ach jo....
windows.microsoft.com
Tak jsem to spustil, ale je to bohužel bez kýženého efektu.
A máš vytvořené nějaké body obnovení, že by ses zkusil vrátit třeba na stav počítače před týdnem?
(Start > programy > příslušenství > systémové nástroje > obnovení systému)
Ty body tam bohužel nemám. A když jsem chtěl pustit to obnovení, kouslo se to.
Ty body jsou v kalendáři (xp). Zkusil bych tedy nějaký třeba před měsícem.
Jejda, asi budu zase za blba, ale ten kalendář tady nevidím. V tom Obnovení systému v Příslušenství můžu akorát odfajfkovat Turn off Systeme Restore (a následně nastavit Disk space to use) - což je ta věc, která se mi pokaždé sekne a tudíž se neprovede.
No on ten kalendář, jak je známý z Windows XP vypadá jinak například ve Windows 7. Zpětně jsem si četl tvé příspěvky, možná jsem to přehlédl, ale nikde jsem neviděl, že bys psal, jaká máš Windows.
V XP to vypadalo takto
ve Win 7 takto
Ano, mám XP, ale toto se mi bohužel nezobrazí. Když dám System restore, vyskočí nejprve hláška - System restore has been turned off. Do you want to turn on System restore? Potvrdím a objeví se obrazovka System properties s více záložkami. Tam si vyberu System restore - a tam je pouze jen zaškrtávací pole a u něj Turn off system restore - je zaškrtnuté a když ho odškrtnu a dám potvrdit, vždy se to sekne. Možná mi tedy výše uvedená obrazovka nenaskočí, dokud mám - defaultně - vypnuté Obnovení systému?
Ano, máš to vypnuté a i kdybys to zapnul, žádné body obnovy by tam nebyly, takže by to nepomohlo.
V nouzovém režimu ty programy spouštět jdou? Pokud ano, tak se pravděpodobně spouští stále nějaká škodná "v normálním". Jestliže máš ten Starter, mohl bys sem hodit obrázky ze záložek "po spuštění" a "služby"? Třeba si někdo všimne něčeho podezřelého. Ten Superantispyware kromě cookies nic nenašel?
to už radši někam vystavit výpis hijackthis logu, akorát nikoho nebaví se v cizím hnoji babrat.
Skype v nouzovém režimu také spustit nejde. Jinak kromě cookies nic nenalezeno. V příloze dávám obrázky ze Starteru - asi je to hnůj, jak už tady zaznělo : ), nicméně kdyby někoho z vás něco napadlo, dejte prosím vědět.
Skype v nouzáku asi nejde proto, protože nemá připojení k netu.
Já bych toho povypínal...
V po spuštění všechno od Adobe, java ubdate (proč to má imrvére běžet, žrát výkon a hlídat, jestli šel někdo v Adobe na svačinu)
nač je IMPJ... nevím
UPDreg - podezřelé - nevím nač to je
ve starter-services3 máš nějaké "themes" neinstalovals nějaké téma vzhledu a nedělá to od té chvíle? Když jsem zmínil tu instalaci, nedělá to od instalace čekokoli v poslední době?
Nač je na tomtéž obrázku "user profile" s cestou do program files také netuším (a je to spuštěné)
Třeba si někdo něčeho ještě všimne, nebo bude vědět, co já nevím. Každopádně bych zkusil výše zmíněné vypnout, restart a po restartu se podívat, jestli se zase nějak automaticky nezaply (pokud to bude dělat dál).
Děkuji.
Tak po restartu se automaticky spustily ty Adobe a Java v Po spuštění.
Když jsem stopoval Themes, počítač se znovu seknul. Zkusím to znovu.
Skype nakonec běží - v nouzovém režimu (když ho dám s připojením na net).
Jediná věc, která mi utkvěla v paměti, z před minulého týdne, kdy taky začaly ty problémy, že jsem povoloval nějaký certifikát pro zabezpečení na nějakou podezřelou stránku - byl to však brigádnický systém, kam jsem se chtěl zaregistrovat, ne moc známý sice, ale pochybuji, že by tam byla nějaká lest... Tak jsem to povolil a zaregistroval se. Ale na 100% neřeknu, jestli ty problémy začaly hned po tomhle.
Zkusil bych themes stopnout v nouzáku. Zapnout to jde vždy. Ten brigádnický web, to byl možná jen nějaký jejich certifikát = malá pravděpodobnost.
Ten reg... v po spuštění je mi podezřelý.
Tak co se týče Starteru - pokud se mi podaří vypnout Themes, mám grafiku windows stejnou jako v Nouzovém režimu (šedé dolní pruhy namísto modrých atd) - víc rozdílů jsem si nevšiml. Stejně jako po tomhle se ale počítač beznadějně sekne, když se pokouším vypnout ten User Profile - a ten se ani vypnout nepodaří.
Zkusil jsem znovu ten Avast - je prostě divné, že prvních pár minut jede jak má, ale pak se vždycky sekne na nějakém souboru a tam stojí (a jak už se mi stalo o víkendu, může tam být třeba celou noc, aniž by se něco dělo). Neměl bych ten Avast přeinstalovat - třeba tím NODem?
Jinak jediný Updreg je úspěšně vypnutý (a nezapíná se automaticky po spuštění).
Ještě jedna podezřelá věc - pokaždé, když teď stahuju nějaký program, tak se počítač také kousne, ale ne definitvně. Poté, co dám uložit soubor, zamrzne - nicméně stahování podle všeho běží. Když restartuji Mozillu, tak to mezitím doběhne. Je to takový detail, nicméně opakuje se při každém stahování a také se mi to moc nelíbí :/
Vyzkoumej, na jakém souboru se ten Avast sekne.
Nuže pokud dám rychlý test, je to:
C:\windows\system32\drivers\hidparse.sys
a pokud úplný test, zasekne se to na souboru:
C:\windows\winSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3 b9a1e18e3b_9.0.30729.4048_x-xx_157e8392\MFC90ESP.D LL
fuj, to je ale zrůdně znějící soubor : )
Tyto dva soubory budou něco od Microsoftu (viz cs) v tom článku ale píší pouze o Windows 7 a Windows server, obojí v souvislosti s režimem spánku.
Mrkni sem, jestli tady něco nevyčteš
http://www.google.cz/search?client=opera&rls=cs&q= %5Cwindows%5CwinSxS&sourceid=opera&ie=utf-8&oe=utf -8&channel=suggest#sclient=psy-ab&hl=cs&lr=lang_cs &client=opera&hs=NCg&rls=cs&channel=suggest&tbs=lr :lang_1cs&source=hp&q=%5Cwindows%5CwinSxS+xp&pbx=1 &oq=%5Cwindows%5CwinSxS+xp&aq=f&aqi=g-L1&aql=&gs_s m=e&gs_upl=24164l25419l0l26087l3l3l0l0l0l0l1005l18 04l6-1.1l2l0&bav=on.2,or.r_gc.r_pw.&fp=9615e44be5a ee0d9&biw=1349&bih=729
Naúpadá mě ještě, jestli za to nemůže "povýšení" Internet Exploreru.
ty printscreeny jsou občas zbytečně malé, okna ve windows se dají podle potřeby natáhnout, stejně jako sloupce v nich. ten hijackthis byl v tomto asi rozumnější.
po spuštění/autoruns:
- zrušit první 2 položky adobe readeru (v nastavení programu zakázat updaty, přístup na internet, otevírání cizích aplikací)
- jaké připojení používáš: adsl conexant modem nebo wifi tplink? pro wifi má přece windows vlastní spolehlivější ovládací centrum, ovládací utility od číňanů stojí za houby. a co z těch dvou nepoužíváš, toho automatický start zakaž.
- device detector je co za krám? proč to musí automaticky běžet? to je k foťáku? on se neumí chovat jako normální flashka?
- imjpmig.exe ... nějaká zbytečná součást office. zakázat.
- sunjavaupdatescheduler ... zakázat.
- updreg.exe ... souvisí se sb zvukovkami, ale už jsem se setkal s tím že to způsobovalo podivné nefunkčnosti xp, zakázat.
- winampagent je na nic, potenciální adware.
služby:
- u služeb google mám obvykle nastaveno vypnuto.
- nechápu tamty služby "system restore service" a "uphclean", obě se buď startují nebo ukončují - co jim je?
- neběží ti "computer browser" a automatické updaty, to je v nouzovém režimu nebo co?
- naopak službou themes (motivy) bych se nezabýval, pokud nemáš potíže se zobrazením.
- nevidím u tebe stav služby "server". nutně běžet nemusí, je pro sdílení souborů.
hijackthis služby ms ignoruje, ale vypisuje všechny cizí, tam se může skrývat malware nebo neověřená nekompatibilita.
na opravu stavu sítě bych zkusil winsockfix.
problémy se stahováním: některé prohlížeče otravují s antivirovou kontrolou. vypnout, od toho je antivir.
nevidím tam žádné stopy viru ani antiviru. zkusil bych stáhnout nějaké z rescue cd - vypálit iso, nabootovat, proskenovat - protože běží offline, umí i keyloggery.
a prolez si taky prohlížeč událostí, co je tam za zajímavé chyby.
Tedy, děkuji za vydatnou odpověď! Jdu to provést.
Snad ještě otázka k tomu zakazování procesů - já je tam můžu akorát zastavit nebo vymazat. Mám tedy provést to druhé? (Aby se mi to po novém spuštění počítače znovu neobnovilo)
A zde jsou screeny z toho Prohlížeče událostí - doba vzniku problémů (16.9.) by snad docela odpovídala, já z toho ale moc chytrý nejsem.
stačí zrušit zatržení, budeš aspoň vědět co jsi zakázal, a zda se něco po restartu neobnovilo.
když to bude v pořádku fungovat, časem ty položky vymaž.
ve službách - kvyž máš něco nastavené že se po startu spouští, tak to má v normálním režimu běžet. jinak je někde problém.
printcreen prohlížeče událostí je prakticky k ničemu, potřebuješ projít obsah těch varování a chyb, a zamyslet se co znamenají.
samozřejmě v nouzovém režimu leccos nefunguje (obvykle síť, grafika), to je třeba brát v úvahu.
projdi si běžící procesy ve správci úloh - co tam nepatří.
windowsí správce úloh je skoro na dvě věci, rozumnější je pohled do process explorer, codestuff starter.
nebo si projdi log z hijackthis.
Codestuff starter jsem si teď stáhul, ale jak vlastně poznám, jaké běžící procesy tam nepatří? Je to asi úplně zřejmé, ale nejsem bohužel moc počítačově vzdělaný : /
ono to právě až tak zřejmé není.
microsoftí procesy tam obvykle patří, pokud nejsou vyvolané zbytečně.
polovina odpadu už ale ne - jde o součásti aplikací co jsem si doinstaloval, a ony si spouští různé rezidentní agenty, monitory stavu a kláves, updatovače.
případně jde o různé zbytečné indexátory, které spíš běží jako služby.
nežádoucí součástí stažených aplikací může být adware nebo dokonce spyware.
starter (process explorer, autoruns) pomáhají v dešifrování procesů tím, že zobrazují jejich ikonu, instalační cestu a stručný popis, ať si člověk uvědomí co instaloval a proč to trvale běží. čili neexistuje spolehlivý automatický odstraňovač, je to na správci systému, který si musí uvědomit co používá a k čemu tam ty věci má.
z podobného sudu je hijackthis, který vyprodukuje textový log vhodný k podrobnému čtení v houpacím křesle. nedává tolik informací jako např. starter, přesto bývá na dvě strany. opět je nutné aby si ho prošel hlavně správce systému, který má vědět co ty jeho procesy znamenají. pro cizího čtenáře, který neinstaloval ty blbosti v něm zachycené, není snadné dešifrovat z cesty a názvu procesu zda do automatického spouštění patří, když u toho pc nesedí a nemá jak ověřit co je to zač.
a jako bonus - mezi těmito procesy a službami se neukazují viry z rodiny nízkoúrovňových driverů - keyloggery. ty se hledají špatně, ideální je na ně vzít bootovací rescue cd od výrobců antivirů.
Tak to je síla. No, zkusím to nicméně nějak rozklíčovat, co je co (a doufám, že nezruším něco důležitého).
Zkus si stáhnout: http://www.stahuj.centrum.cz/utility_a_ostatni/ant iviry/jednoucelove/malwarebytes-anti-malware/,a projeď tím PC v nouzovém režimu.