TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Podejrzenie infekcji na komputerze

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź

Podejrzenie infekcji na komputerze

Postprzez ultraphaze » 01 Paź 2011, 14:21

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

witam mam podejrzenie infekcji na komputerze mallwarebytes znalazł:

Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
(PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted
successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
(PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted
successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
(PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted
successfully.

zostawilem skana(pełnego) na noc i domownik usunął (ale na 100% nie wiem czy dobrze) te
błędne wpisy chcialbym sie upewnić czy wszysko gra, więc wysyłam logi:
:arrow: OTL.txt
http://www.wklej.eu/index.php?id=bfa2170426
:arrow: EXTRAS.txt
http://www.wklej.eu/index.php?id=2e2e84fab5
:arrow: GMER
http://www.wklej.eu/index.php?id=80a674c3d2

:?: czy mozna wykasowac stare punkty przywracania systemu


:idea: PS. ciekawostka mam taki specjalny folder do którego wrzucam narzędzia systemowe i za
kazdym razem jak pisze tutaj wątek musze ściągać od nowa otl i gmer? ciekawy fenomen....
ultraphaze
Postujący
Postujący
 
Posty: 121
Dołączenie: 14 Wrz 2009, 14:10
Góra

Re: Prosze o sprawdzenie

Postprzez kominekl » 01 Paź 2011, 14:41

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

PS. ciekawostka mam taki specjalny folder do którego wrzucam narzędzia systemowe i za
kazdym razem jak pisze tutaj wątek musze ściągać od nowa otl i gmer? ciekawy fenomen....


Trzeba zawsze ponownie ściągać takie narzędzia, gdyż bardzo często następują aktualizacje tego typu narzędzi.

Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
(PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted
successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
(PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted
successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
(PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted
successfully.


To jak najbardziej do usunięcia, co już, jak widzę zrobiłeś. Możesz jeszcze opróżnić kwarantannę Malwarebytes.

czy mozna wykasowac stare punkty przywracania systemu


Oczywiście. Zrobię to komendą -> [clearallrestorepoints] w OTL.

błędne wpisy chcialbym sie upewnić czy wszysko gra, więc wysyłam logi:
:arrow: OTL.txt
http://www.wklej.eu/index.php?id=bfa2170426
:arrow: EXTRAS.txt
http://www.wklej.eu/index.php?id=2e2e84fab5
:arrow: GMER
http://www.wklej.eu/index.php?id=80a674c3d2


Co do logów.

O4 - Startup: C:\Documents and Settings\Mich\Menu Start\Programy\Autostart\Skrót do komunikat.lnk = C:\Documents and Settings\Mich\Pulpit\Dokumenty\komunikat.vbs ()


Co to za treść komunikatu? I czy sam go wrzuciłeś?

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Running] -- -- (EagleXNt)
IE - HKU\S-1-5-21-1004336348-1801674531-682003330-1003\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
[2011-09-25 00:07:24 | 000,000,290 | ---- | M] () -- C:\WINDOWS\tasks\expressburnShakeIcon.job
@Alternate Data Stream - 96 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:CE2C623F

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Awatar użytkownika
kominekl
Przyjaciel forum
Przyjaciel forum
 
Posty: 4530
Dołączenie: 03 Sty 2010, 16:07
Miejscowość: Pasztowa Wola Kolonia
Pochwały: 174
Góra

Re: Prosze o sprawdzenie

Postprzez ultraphaze » 01 Paź 2011, 15:05

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

juz zrobiłem niestety przez nieuwage wyłączyłem log z usuwania ...
mam pytanie - gdzie znajdują sie stare logi , to wkleje

ten komunikat sam go wrzucilem celem zartu a zarazem przypomnienia o pewnym bardzo istotnym fakcie domownikom ;)
ultraphaze
Postujący
Postujący
 
Posty: 121
Dołączenie: 14 Wrz 2009, 14:10
Góra

Re: Prosze o sprawdzenie

Postprzez kominekl » 01 Paź 2011, 15:09

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

ten komunikat sam go wrzucilem celem zartu a zarazem przypomnienia o pewnym bardzo istotnym fakcie domownikom ;)


W takim razie go zostawię.

juz zrobiłem niestety przez nieuwage wyłączyłem log z usuwania ...
mam pytanie - gdzie znajdują sie stare logi , to wkleje


Nie szkodzi. Trudno. Już tego nie zobaczymy. Sprawdzę, co się usunęło w nowym logu :) .

Następnie podajesz nowe logi z OTL.


Wykonaj to :) .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Awatar użytkownika
kominekl
Przyjaciel forum
Przyjaciel forum
 
Posty: 4530
Dołączenie: 03 Sty 2010, 16:07
Miejscowość: Pasztowa Wola Kolonia
Pochwały: 174
Góra

Re: Prosze o sprawdzenie

Postprzez ultraphaze » 01 Paź 2011, 15:41

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

no wlasnie chodziło mi o ten nowy z usunięcia niechcący go zamknąłem :( to co robic ? puścić jeszcze raz skan z OTL, czy to zobaczy zmiany
ultraphaze
Postujący
Postujący
 
Posty: 121
Dołączenie: 14 Wrz 2009, 14:10
Góra

Re: Prosze o sprawdzenie

Postprzez kominekl » 01 Paź 2011, 16:49

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

Następnie podajesz nowe logi z OTL.


Czyli tak. Wykonujesz nowy skan :) .
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Awatar użytkownika
kominekl
Przyjaciel forum
Przyjaciel forum
 
Posty: 4530
Dołączenie: 03 Sty 2010, 16:07
Miejscowość: Pasztowa Wola Kolonia
Pochwały: 174
Góra

Re: Prosze o sprawdzenie

Postprzez ultraphaze » 01 Paź 2011, 18:17

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

a więc prosze o to one;)
OTL.txt
http://www.wklej.eu/index.php?id=758b6deffd
EXTRAS.txt
http://www.wklej.eu/index.php?id=b602dd9d63

\ jeszcze takie pytanie niektore sieciowe gierki np KALOnline czy METIN2 przez jakiś czas chodzą a potem przestają czy to jakis wirus może być , a może wylaczona usługa sieciowa? (bo ostatnio za radą sie troche bawiłem w wyłączanie usług - ,może to ma związek jakiś)
ultraphaze
Postujący
Postujący
 
Posty: 121
Dołączenie: 14 Wrz 2009, 14:10
Góra

Re: Prosze o sprawdzenie

Postprzez mateo8898 » 01 Paź 2011, 19:17

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0

Jeszcze jeśli chodzi o te wpisy, które wykrył Malwarebytes, wcale nie są szkodliwe, to tylko wyłączone ostrzeżenia Centrum Zabezpieczeń. Ale jeśli to "usunąłeś" to nic się nie dzieje.

kominekl, ten wpis jest prawidłowy, następnym razem go nie usuwaj:
DRV - File not found [Kernel | On_Demand | Running] -- -- (EagleXNt)

Pochodzi od HackShield`a

W OTL wklej:
:OTL
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll File not found

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

jeszcze takie pytanie niektore sieciowe gierki np KALOnline czy METIN2 przez jakiś czas chodzą a potem przestają

Pojawia się jakiś błąd??? Czy coś innego??? Rozwiń to.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Prosze o sprawdzenie

Postprzez ultraphaze » 01 Paź 2011, 20:35

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1

zrobione
co do gier:
ja mam wrazenie ze to postępująca choroba bo np kiedys w przypadku KAL wszystko chodził normalnie tylko czasem wywalało , lub też nie logowało się teraz nie loguje sie wogole a nawet jak sie zaloguje jakimś cudem to postać nawet chwilki nie pobiega na serwerze, w przypadku np Metina doszło do tego , że ładuje się patch i nie pojawia sie ekran logowania tylko poprostu sie wszystko wyłącza a proces chodzi..

co do hackshielda: to czy bede musial go przywrocic? bo z tego co sie orientuje to obie gry z niego korzystają
ultraphaze
Postujący
Postujący
 
Posty: 121
Dołączenie: 14 Wrz 2009, 14:10
Góra

Re: Prosze o sprawdzenie

Postprzez mateo8898 » 01 Paź 2011, 21:48

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0

Czy próbowałeś reinstalacji tych gier??? Jeśli tak to sprawdź, czy problem występuje przy wyłączonym Esecie (wyłącz ochronę antywirusową i firewall).

co do hackshielda: to czy bede musial go przywrocic? bo z tego co sie orientuje to obie gry z niego korzystają

Nie, w nowym logu widać, że sterownik jest, więc pewnie się odtworzył.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966
Góra

Re: Prosze o sprawdzenie

Postprzez kominekl » 02 Paź 2011, 10:47

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

mati8898 napisał(a):Jeszcze jeśli chodzi o te wpisy, które wykrył Malwarebytes, wcale nie są szkodliwe, to tylko wyłączone ostrzeżenia Centrum Zabezpieczeń. Ale jeśli to "usunąłeś" to nic się nie dzieje.

kominekl, ten wpis jest prawidłowy, następnym razem go nie usuwaj:
DRV - File not found [Kernel | On_Demand | Running] -- -- (EagleXNt)

Pochodzi od HackShield`a



OK. Zapamiętam :) . Dzięki za zwrócenie uwagi.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Awatar użytkownika
kominekl
Przyjaciel forum
Przyjaciel forum
 
Posty: 4530
Dołączenie: 03 Sty 2010, 16:07
Miejscowość: Pasztowa Wola Kolonia
Pochwały: 174
Góra
Wyślij odpowiedź

Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Bing [Bot]

Switch to mobile style
Technologię dostarcza phpBB® Forum Software © phpBB Group
Profesjonalne polskie tłumaczenie phpBB3
Korzystanie z forum oznacza akceptację polityki prywatności