TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

logi AVZ_HJT_zamulony komputer

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.

logi AVZ_HJT_zamulony komputer

Postprzez marcos_777 » 18 Cze 2009, 16:35

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11


Witam, komp trochę zamula.
Proszę o info co z tym należy zrobić:

AVZ Antiviral Toolkit log:
http://wklej.org/id/108244/dl

>>> Danger - possible CPU address substitution[1].IDT[06] = [F3AF916D] C:\WINDOWS\system32\drivers\Haspnt.sys, driver recognized as trusted
>>> Danger - possible CPU address substitution[1].IDT[0E] = [F3AF8FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, driver recognized as trusted


8. Searching for vulnerabilities:
>> Services: potentially dangerous service allowed: RemoteRegistry (Rejestr zdalny)
>> Services: potentially dangerous service allowed: TermService (Usługi terminalowe)
>> Services: potentially dangerous service allowed: SSDPSRV (Usługa odnajdywania SSDP)
>> Services: potentially dangerous service allowed: Schedule (Harmonogram zadań)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Menedżer sesji pomocy pulpitu zdalnego)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!


Log HJT:
http://wklej.org/id/108243/dl

pozdrawiam,
marcos_777
Pozdrawiam

CERTYFIKATY ENERGETYCZNE - ŚWIADECTWA CHARAKTERYSTYKI ENERGETYCZNEJ BUDYNKÓW - AUDYTY Szybko - tanio - solidnie - Tel. 880 752 136 mgr inż. Anna Z
marcos_777
Postujący
Postujący
 
Posty: 260
Dołączenie: 12 Gru 2008, 12:41

Re: logi AVZ_HJT_zamulony komputer

Postprzez Michael Parker » 18 Cze 2009, 18:11

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Podaj log z Combofix. Instrukcja :arrow: viewtopic.php?f=22&t=13967

Logi dajesz na wklej.org, a w poście podajesz tylko link.
Pozdrawiam, Michael Parker
Jeśli pomogłem daj + ;)
Michael Parker
Postujący
Postujący
 
Posty: 400
Dołączenie: 29 Gru 2008, 00:03
Pochwały: 52

Re: logi AVZ_HJT_zamulony komputer

Postprzez marcos_777 » 19 Cze 2009, 11:36

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11


Log CF:
http://wklej.org/id/108582/dl

Po tych testach/dezynfekcjach AVZ i CF komputer już zdecydowanie lepiej pracuje. :)
Ale oczywiście proszę jeszcze o info, skrypty czyszczące do CF i AVZ.
I co z tym zrobić:

>> Danger - possible CPU address substitution[1].IDT[06] = [F3AF916D] C:\WINDOWS\system32\drivers\Haspnt.sys, driver recognized as trusted
>>> Danger - possible CPU address substitution[1].IDT[0E] = [F3AF8FC2] C:\WINDOWS\system32\drivers\Haspnt.sys, driver recognized as trusted

8. Searching for vulnerabilities:
>> Services: potentially dangerous service allowed: RemoteRegistry (Rejestr zdalny)
>> Services: potentially dangerous service allowed: TermService (Usługi terminalowe)
>> Services: potentially dangerous service allowed: SSDPSRV (Usługa odnajdywania SSDP)
>> Services: potentially dangerous service allowed: Schedule (Harmonogram zadań)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Menedżer sesji pomocy pulpitu zdalnego)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
Pozdrawiam

CERTYFIKATY ENERGETYCZNE - ŚWIADECTWA CHARAKTERYSTYKI ENERGETYCZNEJ BUDYNKÓW - AUDYTY Szybko - tanio - solidnie - Tel. 880 752 136 mgr inż. Anna Z
marcos_777
Postujący
Postujący
 
Posty: 260
Dołączenie: 12 Gru 2008, 12:41

Re: logi AVZ_HJT_zamulony komputer

Postprzez Michael Parker » 19 Cze 2009, 18:05

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Rozumiem, że z SUPERAntiSpyware już nie korzystasz?

Pobierz The Avenger, zaznacz poniższy tekst

Drivers to delete:
SASDIFSV
SASKUTIL
FirebirdServerDefaultInstance
mpr_freader
SASENUM


Skopiuj :arrow: Kliknij na Paste Script from Clipboard :arrow: Execute :arrow: Potwierdzasz i zgadzasz się na restart klikając OK.
:!: Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Usuń ręcznie folder C:\Qoobox oraz instalkę Combofixa z dysku.

Przeczyść system i rejestr :arrow: CCleaner

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu :arrow: http://support.microsoft.com/kb/310405/pll

Przeskanuj obszar całego systemu Kaspersky Online Scanner Następnie daj raport na forum.
lub użyj
Dr.WEB CureIt!

Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.
Pozdrawiam, Michael Parker
Jeśli pomogłem daj + ;)
Michael Parker
Postujący
Postujący
 
Posty: 400
Dołączenie: 29 Gru 2008, 00:03
Pochwały: 52

Re: logi AVZ_HJT_zamulony komputer

Postprzez marcos_777 » 19 Cze 2009, 23:06

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Zastanawiam się nad usunięciem "ServerDefaultInstanceFirebida", ponieważ jest to komputer używany w pracy i dawniej był tam program magazynowy, który wymagał do pracy silnika "Firebird". Jest zarażony?
Wolałbym go zostawić, bo czasem coś w tym programie jeszcze sprawdzamy.
Popraw proszę skrypt z jego usunięciem. W poniedziałek dopiero będę w pracy i to wykonam.
Pozdrawiam

CERTYFIKATY ENERGETYCZNE - ŚWIADECTWA CHARAKTERYSTYKI ENERGETYCZNEJ BUDYNKÓW - AUDYTY Szybko - tanio - solidnie - Tel. 880 752 136 mgr inż. Anna Z
marcos_777
Postujący
Postujący
 
Posty: 260
Dołączenie: 12 Gru 2008, 12:41

Re: logi AVZ_HJT_zamulony komputer

Postprzez Michael Parker » 20 Cze 2009, 10:05

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


W logu widać, że plik odpowiedzialny za tą usługę nie istnieje.

Oto poprawiony skrypt:
Drivers to delete:
SASDIFSV
SASKUTIL
mpr_freader
SASENUM


Autor postu otrzymał pochwałę
Pozdrawiam, Michael Parker
Jeśli pomogłem daj + ;)
Michael Parker
Postujący
Postujący
 
Posty: 400
Dołączenie: 29 Gru 2008, 00:03
Pochwały: 52

Re: logi AVZ_HJT_zamulony komputer

Postprzez marcos_777 » 20 Cze 2009, 12:12

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Thx Michael Parker, w poniedziałek w pracy to wykonam.

*********
A tymczasem, mógłbym Cię prosić o rzucenie okiem na te logi:

http://wklej.org/id/108006/dl - log Combofix

http://wklej.org/id/108007/dl- log HJT

http://wklej.org/id/108684/dl - log GMER


Pochodzą z domowego kompa, z którym miałem parę dni temu problem z Winsock2 (+ trojany).
Problem z trojanami i netem rozwiązałem (ręczne zresetowanie usług Winsock2). Pozostały jeszcze logi do kontroli i może jakieś skrypty.
Wydaje się, że komp aktualnie jest OK. Zrobić jeszcze jakiś inny test i dać loga?
Pozdrawiam

CERTYFIKATY ENERGETYCZNE - ŚWIADECTWA CHARAKTERYSTYKI ENERGETYCZNEJ BUDYNKÓW - AUDYTY Szybko - tanio - solidnie - Tel. 880 752 136 mgr inż. Anna Z
marcos_777
Postujący
Postujący
 
Posty: 260
Dołączenie: 12 Gru 2008, 12:41

Re: logi AVZ_HJT_zamulony komputer

Postprzez Michael Parker » 20 Cze 2009, 12:18

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Przeskanuj system programem SDFix i daj raport z niego. Instrukcja :arrow: viewtopic.php?f=22&t=13967

Przeskanuj obszar całego systemu Dr.WEB CureIt!

Po tym daj nowy log z Combofixa.
Pozdrawiam, Michael Parker
Jeśli pomogłem daj + ;)
Michael Parker
Postujący
Postujący
 
Posty: 400
Dołączenie: 29 Gru 2008, 00:03
Pochwały: 52

Re: logi AVZ_HJT_zamulony komputer

Postprzez marcos_777 » 21 Cze 2009, 09:15

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Dotyczy komputer Martity - domowy:

log Malwarebytes' Anti-Malware:
http://wklej.org/id/109385/dl


log Spybot - Search & Destroy:
http://wklej.org/id/109386/dl


log Skaner Dr.Web: (czysty, znalazł tylko SDFIXa)
http://wklej.org/id/109394/dl


I stało się, :( przez pomyłkę - scrypt, który przygotowałeś dla kompa do pracy wykonałem w domu na komputerze Martity.
Czy można/trzeba jakoś odwrócić te działania?
Avenger stworzył katalog:
C:\Avenger\backup.zip\avenger.txt i backup.reg.
Ale nie daje się otworzyć - wymaga hasła do rozpakowania zip-a.


Oto log z wykonania scryptu L o g f i l e o f T h e A v e n g e r :
http://wklej.org/id/109393/dl
Powtarzam, usunęło pliki nie w tym komputerze co trzeba...
Proszę, o ile się da, podać jak odwrócić ten proces, i proszę o nowy scrypt, na te wirusy w komputerze Martity:

log AVZ Antiviral Toolkit_csv: (Tylko zarażone pliki pokazuje)
C:\Windows\system32\ShowErrMsg.dll;5;Suspicion for Keylogger or Trojan DLL
C:\Windows\system32\sysenv.dll;5;Suspicion for Keylogger or Trojan DLL



log AVZ Antiviral Toolkit log: (Pełny waży 89 Mb, wiec zamieszczam tylko fragmencik z podsumowaniem. Może wrzucić go na jakiś upload?)
http://wklej.org/id/109390/dl
Ostatnio edytowany przez marcos_777, 21 Cze 2009, 14:11, edytowano w sumie 1 raz
Pozdrawiam

CERTYFIKATY ENERGETYCZNE - ŚWIADECTWA CHARAKTERYSTYKI ENERGETYCZNEJ BUDYNKÓW - AUDYTY Szybko - tanio - solidnie - Tel. 880 752 136 mgr inż. Anna Z
marcos_777
Postujący
Postujący
 
Posty: 260
Dołączenie: 12 Gru 2008, 12:41

Re: logi AVZ_HJT_zamulony komputer

Postprzez Michael Parker » 21 Cze 2009, 13:25

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Zostały usunięte usługi programu SUPERAntiSpyware.
Program wymaga do poprawnego działania tych usług. Jeżeli chcesz z niego nadal korzystać po prostu zainstaluj go ponownie.
Pozdrawiam, Michael Parker
Jeśli pomogłem daj + ;)
Michael Parker
Postujący
Postujący
 
Posty: 400
Dołączenie: 29 Gru 2008, 00:03
Pochwały: 52

Re: logi AVZ_HJT_zamulony komputer

Postprzez marcos_777 » 21 Cze 2009, 14:12

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


log ComboFix:
http://www.wklej.org/id/109514/dl

A co z tym?
log AVZ Antiviral Toolkit_csv: (Tylko zarażone pliki pokazuje)

C:\Windows\system32\ShowErrMsg.dll;5;Suspicion for Keylogger or Trojan DLL
C:\Windows\system32\sysenv.dll;5;Suspicion for Keylogger or Trojan DLL

już usunięte?
Pozdrawiam

CERTYFIKATY ENERGETYCZNE - ŚWIADECTWA CHARAKTERYSTYKI ENERGETYCZNEJ BUDYNKÓW - AUDYTY Szybko - tanio - solidnie - Tel. 880 752 136 mgr inż. Anna Z
marcos_777
Postujący
Postujący
 
Posty: 260
Dołączenie: 12 Gru 2008, 12:41

Re: logi AVZ_HJT_zamulony komputer

Postprzez Michael Parker » 21 Cze 2009, 14:41

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Kod: Zaznacz wszystko
File::
c:\program files\Global.sw
C:\Windows\system32\ShowErrMsg.dll
C:\Windows\system32\sysenv.dll

Folder::
c:\users\user\AppData\Local\temp

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000000


Z menu notatnika wybierz Plik :arrow: Zapisz jako :arrow: CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org, a w poście podajesz tylko link.
Pozdrawiam, Michael Parker
Jeśli pomogłem daj + ;)
Michael Parker
Postujący
Postujący
 
Posty: 400
Dołączenie: 29 Gru 2008, 00:03
Pochwały: 52

Re: logi AVZ_HJT_zamulony komputer

Postprzez marcos_777 » 21 Cze 2009, 15:48

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


Pozdrawiam

CERTYFIKATY ENERGETYCZNE - ŚWIADECTWA CHARAKTERYSTYKI ENERGETYCZNEJ BUDYNKÓW - AUDYTY Szybko - tanio - solidnie - Tel. 880 752 136 mgr inż. Anna Z
marcos_777
Postujący
Postujący
 
Posty: 260
Dołączenie: 12 Gru 2008, 12:41

Re: logi AVZ_HJT_zamulony komputer

Postprzez Michael Parker » 21 Cze 2009, 15:58

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


c:\windows\system32\novamnp6.dll
c:\windows\system32\novamip6.dll

Przeskanuj te pliki tym lub tym skanerem

Wklej do notatnika:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000000


Z menu notatnika wybierz Plik :arrow: Zapisz jako .
Zmień rozszerzenie z "Dokument tekstowy" na "Wszystkie pliki"
Zapisz plik pod nazwą Fix.reg.
Uruchom ten plik, wprowadź zmianę do rejestru, uruchom ponownie komputer

c:\users\user\AppData\Local\Temp

Usuń ręcznie ten folder.

Usuń ręcznie folder C:\Qoobox oraz instalkę Combofixa z dysku.

Przeczyść system i rejestr :arrow: CCleaner

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu :arrow: http://support.microsoft.com/kb/310405/pll

Przeskanuj obszar całego systemu Kaspersky Online Scanner Następnie daj raport na forum.
lub użyj
Dr.WEB CureIt!


Autor postu otrzymał pochwałę
Pozdrawiam, Michael Parker
Jeśli pomogłem daj + ;)
Michael Parker
Postujący
Postujący
 
Posty: 400
Dołączenie: 29 Gru 2008, 00:03
Pochwały: 52

Re: logi AVZ_HJT_zamulony komputer

Postprzez marcos_777 » 22 Cze 2009, 06:26

PostUA: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)


log Skaner Dr.Web:
Statystyki
-----------------------------------------------------------------------------
Przetestowane obiekty: 20553
Zainfekowane obiekty: 0
Zmodyfikowane obiekty: 0
Podejrzane obiekty: 0
Programy Adware: 0
Programy Dialer: 0
Programy Joke: 0
Programy Riskware: 0
Programy Hacktool: 0
Wyleczone obiekty: 0
Usunięte obiekty: 0
Przemianowane obiekty: 0
Przeniesione obiekty: 0
Pominięte obiekty: 0
Prędkość testu: 2723 Kb/s
Czas testu: 00:15:32



Przed chwilą było tak - log HJT:
http://wklej.org/id/109917/dl

Zafixowałem co nieco i aktualny stan - log HJT:
http://wklej.org/id/109919/dl

log AVZ Antiviral Toolkit
http://wklej.org/id/109921/dl

Komputer śmiga i jest czyściutko. Mam wrażenie, że już jest wszystko Ok. Ale rzuć jeszcze okiem fachowca na logi.
:064: :064: :064: Dzięki za pomoc Michael Parker.
Ostatnio edytowany przez marcos_777 22 Cze 2009, 12:05, edytowano w sumie 2 razy
Pozdrawiam

CERTYFIKATY ENERGETYCZNE - ŚWIADECTWA CHARAKTERYSTYKI ENERGETYCZNEJ BUDYNKÓW - AUDYTY Szybko - tanio - solidnie - Tel. 880 752 136 mgr inż. Anna Z
marcos_777
Postujący
Postujący
 
Posty: 260
Dołączenie: 12 Gru 2008, 12:41

Następna

Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników