Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Podejrzenie infekcji na komputerze
01 Paź 2011, 14:21
witam mam podejrzenie infekcji na komputerze mallwarebytes znalazł:
Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
(PUM.Disabled.SecurityCenter)
Bad: (1) Good: (0) Quarantined and deleted
successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
(PUM.Disabled.SecurityCenter) Bad: (1) Good: (0) Quarantined and deleted
successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
(PUM.Disabled.SecurityCenter) Bad: (1) Good: (0) Quarantined and deleted
successfully.
zostawilem skana(pełnego) na noc i domownik usunął (ale na 100% nie wiem czy dobrze) te
błędne wpisy chcialbym sie upewnić czy wszysko gra, więc wysyłam logi:
OTL.txt
http://www.wklej.eu/index.php?id=bfa2170426
EXTRAS.txt
http://www.wklej.eu/index.php?id=2e2e84fab5
GMER
http://www.wklej.eu/index.php?id=80a674c3d2
czy mozna wykasowac stare punkty przywracania systemu
PS. ciekawostka mam taki specjalny folder do którego wrzucam narzędzia systemowe i za
kazdym razem jak pisze tutaj wątek musze ściągać od nowa otl i gmer? ciekawy fenomen....
Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
(PUM.Disabled.SecurityCenter)
Bad: (1) Good: (0) Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
(PUM.Disabled.SecurityCenter)
Bad: (1) Good: (0) Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
(PUM.Disabled.SecurityCenter)
Bad: (1) Good: (0) Quarantined and deleted successfully.
zostawilem skana(pełnego) na noc i domownik usunął (ale na 100% nie wiem czy dobrze) te
błędne wpisy chcialbym sie upewnić czy wszysko gra, więc wysyłam logi:
OTL.txthttp://www.wklej.eu/index.php?id=bfa2170426
EXTRAS.txthttp://www.wklej.eu/index.php?id=2e2e84fab5
GMERhttp://www.wklej.eu/index.php?id=80a674c3d2
czy mozna wykasowac stare punkty przywracania systemu PS. ciekawostka mam taki specjalny folder do którego wrzucam narzędzia systemowe i za kazdym razem jak pisze tutaj wątek musze ściągać od nowa otl i gmer? ciekawy fenomen....
Re: Prosze o sprawdzenie
01 Paź 2011, 14:41
PS. ciekawostka mam taki specjalny folder do którego wrzucam narzędzia systemowe i za
kazdym razem jak pisze tutaj wątek musze ściągać od nowa otl i gmer? ciekawy fenomen....
Trzeba zawsze ponownie ściągać takie narzędzia, gdyż bardzo często następują aktualizacje tego typu narzędzi.
Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
(PUM.Disabled.SecurityCenter)
successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
(PUM.Disabled.SecurityCenter)
successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
(PUM.Disabled.SecurityCenter)
successfully.
To jak najbardziej do usunięcia, co już, jak widzę zrobiłeś. Możesz jeszcze opróżnić kwarantannę Malwarebytes.
czy mozna wykasowac stare punkty przywracania systemu
Oczywiście. Zrobię to komendą
[clearallrestorepoints] w OTL.błędne wpisy chcialbym sie upewnić czy wszysko gra, więc wysyłam logi:
http://www.wklej.eu/index.php?id=bfa2170426
http://www.wklej.eu/index.php?id=2e2e84fab5
http://www.wklej.eu/index.php?id=80a674c3d2
Co do logów.
O4 - Startup: C:\Documents and Settings\Mich\Menu Start\Programy\Autostart\Skrót do komunikat.lnk = C:\Documents and Settings\Mich\Pulpit\Dokumenty\komunikat.vbs ()
Co to za treść komunikatu? I czy sam go wrzuciłeś?
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
DRV - File not found [Kernel | On_Demand | Running] -- -- (EagleXNt)
IE - HKU\S-1-5-21-1004336348-1801674531-682003330-1003\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
[2011-09-25 00:07:24 | 000,000,290 | ---- | M] () -- C:\WINDOWS\tasks\expressburnShakeIcon.job
@Alternate Data Stream - 96 bytes
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.
Re: Prosze o sprawdzenie
01 Paź 2011, 15:05
juz zrobiłem niestety przez nieuwage wyłączyłem log z usuwania ...
mam pytanie - gdzie znajdują sie stare logi , to wkleje
ten komunikat sam go wrzucilem celem zartu a zarazem przypomnienia o pewnym bardzo istotnym fakcie domownikom
mam pytanie - gdzie znajdują sie stare logi , to wkleje
ten komunikat sam go wrzucilem celem zartu a zarazem przypomnienia o pewnym bardzo istotnym fakcie domownikom
Re: Prosze o sprawdzenie
01 Paź 2011, 15:09
ten komunikat sam go wrzucilem celem zartu a zarazem przypomnienia o pewnym bardzo istotnym fakcie domownikom
W takim razie go zostawię.
juz zrobiłem niestety przez nieuwage wyłączyłem log z usuwania ...
mam pytanie - gdzie znajdują sie stare logi , to wkleje
Nie szkodzi. Trudno. Już tego nie zobaczymy. Sprawdzę, co się usunęło w nowym logu
.Następnie podajesz nowe logi z OTL.
Wykonaj to
.
Re: Prosze o sprawdzenie
01 Paź 2011, 15:41
no wlasnie chodziło mi o ten nowy z usunięcia niechcący go zamknąłem 
to co robic ? puścić jeszcze raz skan z OTL, czy to zobaczy zmiany
to co robic ? puścić jeszcze raz skan z OTL, czy to zobaczy zmiany
Re: Prosze o sprawdzenie
01 Paź 2011, 16:49
Następnie podajesz nowe logi z OTL.
Czyli tak. Wykonujesz nowy skan
.
Re: Prosze o sprawdzenie
01 Paź 2011, 18:17
a więc prosze o to one;)
OTL.txt
http://www.wklej.eu/index.php?id=758b6deffd
EXTRAS.txt
http://www.wklej.eu/index.php?id=b602dd9d63
\ jeszcze takie pytanie niektore sieciowe gierki np KALOnline czy METIN2 przez jakiś czas chodzą a potem przestają czy to jakis wirus może być , a może wylaczona usługa sieciowa? (bo ostatnio za radą sie troche bawiłem w wyłączanie usług - ,może to ma związek jakiś)
OTL.txt
http://www.wklej.eu/index.php?id=758b6deffd
EXTRAS.txt
http://www.wklej.eu/index.php?id=b602dd9d63
\ jeszcze takie pytanie niektore sieciowe gierki np KALOnline czy METIN2 przez jakiś czas chodzą a potem przestają czy to jakis wirus może być , a może wylaczona usługa sieciowa? (bo ostatnio za radą sie troche bawiłem w wyłączanie usług - ,może to ma związek jakiś)
Re: Prosze o sprawdzenie
01 Paź 2011, 19:17
Jeszcze jeśli chodzi o te wpisy, które wykrył Malwarebytes, wcale nie są szkodliwe, to tylko wyłączone ostrzeżenia Centrum Zabezpieczeń. Ale jeśli to "usunąłeś" to nic się nie dzieje.
kominekl, ten wpis jest prawidłowy, następnym razem go nie usuwaj:
Pochodzi od HackShield`a
W OTL wklej:
Klikasz Wykonaj skrypt, później Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Pojawia się jakiś błąd??? Czy coś innego??? Rozwiń to.
kominekl, ten wpis jest prawidłowy, następnym razem go nie usuwaj:
DRV - File not found [Kernel | On_Demand | Running] -- -- (EagleXNt)
Pochodzi od HackShield`a
W OTL wklej:
:OTL
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll File not found
Klikasz Wykonaj skrypt, później Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
jeszcze takie pytanie niektore sieciowe gierki np KALOnline czy METIN2 przez jakiś czas chodzą a potem przestają
Pojawia się jakiś błąd??? Czy coś innego??? Rozwiń to.
Re: Prosze o sprawdzenie
01 Paź 2011, 20:35
zrobione
co do gier:
ja mam wrazenie ze to postępująca choroba bo np kiedys w przypadku KAL wszystko chodził normalnie tylko czasem wywalało , lub też nie logowało się teraz nie loguje sie wogole a nawet jak sie zaloguje jakimś cudem to postać nawet chwilki nie pobiega na serwerze, w przypadku np Metina doszło do tego , że ładuje się patch i nie pojawia sie ekran logowania tylko poprostu sie wszystko wyłącza a proces chodzi..
co do hackshielda: to czy bede musial go przywrocic? bo z tego co sie orientuje to obie gry z niego korzystają
co do gier:
ja mam wrazenie ze to postępująca choroba bo np kiedys w przypadku KAL wszystko chodził normalnie tylko czasem wywalało , lub też nie logowało się teraz nie loguje sie wogole a nawet jak sie zaloguje jakimś cudem to postać nawet chwilki nie pobiega na serwerze, w przypadku np Metina doszło do tego , że ładuje się patch i nie pojawia sie ekran logowania tylko poprostu sie wszystko wyłącza a proces chodzi..
co do hackshielda: to czy bede musial go przywrocic? bo z tego co sie orientuje to obie gry z niego korzystają
Re: Prosze o sprawdzenie
01 Paź 2011, 21:48
Czy próbowałeś reinstalacji tych gier??? Jeśli tak to sprawdź, czy problem występuje przy wyłączonym Esecie (wyłącz ochronę antywirusową i firewall).
Nie, w nowym logu widać, że sterownik jest, więc pewnie się odtworzył.
co do hackshielda: to czy bede musial go przywrocic? bo z tego co sie orientuje to obie gry z niego korzystają
Nie, w nowym logu widać, że sterownik jest, więc pewnie się odtworzył.
Re: Prosze o sprawdzenie
02 Paź 2011, 10:47
mati8898 napisał(a):Jeszcze jeśli chodzi o te wpisy, które wykrył Malwarebytes, wcale nie są szkodliwe, to tylko wyłączone ostrzeżenia Centrum Zabezpieczeń. Ale jeśli to "usunąłeś" to nic się nie dzieje.
kominekl, ten wpis jest prawidłowy, następnym razem go nie usuwaj:DRV - File not found [Kernel | On_Demand | Running] -- -- (EagleXNt)
Pochodzi od HackShield`a
OK. Zapamiętam
. Dzięki za zwrócenie uwagi.