TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

ESET Smart Security 4 znalazl na pendrivie 15 infekcji

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.

ESET Smart Security 4 znalazl na pendrivie 15 infekcji

Postprzez SzeryfChudy » 26 Gru 2010, 15:53

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Witam
z gory pisze iz jako tako jestem zielony w sprawach systemowych.
Podlaczylem do kompa pedrive ktory byl podlaczony w szkolnym kompie.
ESET Smart Security 4 znalazl na nim "tylko" 15 infekcji.
Po za tym zdarza mi sie, ze eset blokuje rozne strony, poniewaz sa podobno zarazone. Wszystko ok, ale od momentu podlaczenia tego zainfekowanego pendrive komp nieco zwolnil tempo swojego dzialania.
Wykonalem skan MKS Online i znalazl 17 trojanow Trojan Agent.xeh
Wszystkie infekcje byly w System Volume Information\Restore\xxx\RPxx\Axxx.com ["com" lub "exe"]
[Tam gdzie xxx to ciag roznych cyfer i liter z czego zmienne byly tylko na samym koncu w plikach \Axxx.com]


Mam powody do paniki, poniewaz rozne opinie o tym czytalem na forach a ja m.in korzystam z konta bankowego, allegro i innych bardzo waznych witryn. Strata hasla byla by dla mnie ogromnym problemem.

Nie wiem od czego zaczac wiec wklejam log hijackthis:
http://www.wklej.eu/index.php?id=7d3ed19128

oraz OTL [wyskoczyly 3pliki txt wiec wszystkie wkleilem]
http://www.wklej.eu/index.php?id=c96587147b
i Extras [rowniez 3pliki txt w jednym]
http://www.wklej.eu/index.php?id=7f9979e3c1
SzeryfChudy
Forumowicz
Forumowicz
 
Posty: 7
Dołączenie: 26 Gru 2010, 15:21

Re: Prosba o sprawdzenie loga

Postprzez BEST0 » 26 Gru 2010, 18:10

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


"Mam powody do paniki, poniewaz rozne opinie o tym czytalem na forach a ja m.in korzystam z konta bankowego, allegro i innych bardzo waznych witryn. Strata hasla byla by dla mnie ogromnym problemem."

Wykryło keyloggera/y,trojan banker/y?
Jeśli nie to oto się nie martw.
BEST0
Forumowicz
Forumowicz
 
Posty: 51
Dołączenie: 20 Gru 2010, 19:31

Re: Prosba o sprawdzenie loga

Postprzez mateo8898 » 26 Gru 2010, 18:52

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Podlaczylem do kompa pedrive ktory byl podlaczony w szkolnym kompie.
ESET Smart Security 4 znalazl na nim "tylko" 15 infekcji. Po za tym zdarza mi sie, ze eset blokuje rozne strony, poniewaz sa podobno zarazone. Wszystko ok, ale od momentu podlaczenia tego zainfekowanego pendrive komp nieco zwolnil tempo swojego dzialania.

Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log.

Poza tym widzę, że był tutaj stosowany ComboFix, więc podaj log, który wtedy utworzył.

BEST0 napisał(a):"Mam powody do paniki, poniewaz rozne opinie o tym czytalem na forach a ja m.in korzystam z konta bankowego, allegro i innych bardzo waznych witryn. Strata hasla byla by dla mnie ogromnym problemem."

Wykryło keyloggera/y,trojan banker/y?
Jeśli nie to oto się nie martw.

Nie tylko keyloggery "wykradają" poufne dane. Teraz sporo infekcji jest na to nastawione.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Prosba o sprawdzenie loga

Postprzez SzeryfChudy » 27 Gru 2010, 00:53

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Dziex za zainteresowanie sie tematem;)

Keyllogerow nie wykryto ale "glupi" MKS online znalazl agenty a "porzadny" eset nic nie znalazl podczas skanowania dysku godzine po wsadzeniu pamieci. Z czego czytalem to agenty lubia sie aktualizowac i rozszerzac wiec wole dmuchac na zimne.

Pendrive ktory byl wtedy uzyty juz dawno zostal sformatowany i to juz pewnie nie jeden raz wiec raczej logi z niego nic chyba nie dadza? Combofixa pobralem znow [teraz najnowsza wersje].
Wlaczyl sie, przeskanowal, znalazl rookita, restart windy, reszta dzialania i o to log sprzed 5minut:

http://wklej.eu/index.php?id=0220df430e
SzeryfChudy
Forumowicz
Forumowicz
 
Posty: 7
Dołączenie: 26 Gru 2010, 15:21

Re: Prosba o sprawdzenie loga

Postprzez mateo8898 » 27 Gru 2010, 10:33

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Combofixa pobralem znow [teraz najnowsza wersje].
Wlaczyl sie, przeskanowal, znalazl rookita, restart windy, reszta dzialania i o to log sprzed 5minut:

A kto Ci kazał uruchamiać jeszcze raz ComboFixa??? To nie jest zwykły skaner, tylko silnie ingerujące w system narzędzie i w ogóle nie powinieneś go używać na własną rękę. To nie zabawka.
Poza tym to co podałeś, to tylko jakiś strzępek tego loga. Podaj obydwa logi, ten z pierwszego i drugiego uruchomienia, tylko w całości. I czasem nie uruchamiaj ComboFixa ponownie, bo to nic nie da, a tylko zaciemnia wyniki (nie wiem, co usuwał przy pierwszym uruchomieniu) i może się źle skończyć....

Co do UsbFix, w takim razie podłącz pamięci przenośne i użyj tylko opcji Vaccinate.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Prosba o sprawdzenie loga

Postprzez SzeryfChudy » 27 Gru 2010, 14:49

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Log z C:\Combofix.txt
http://wklej.eu/index.php?id=58f584a294.

Poprzedniego loga nie mam bo byl on robiony jakiej 4tygodnie temu tuz przed wsadzeniem pendrive. Wtedy inny problem mialem ale o ile pamietam to nic nie bylo usuniete przez Combo.

Uruchomilem UsbFixa, kliknalem Vaccinate i wyskoczyly mi po kolei komunikaty: "Vaccination done! C:\Autorun.inf."
Kazdy komunikat byl taki sam z tym, ze roznily sie literą dysku.
Log UsbFix z : C:\UsbFix.txt
http://wklej.eu/index.php?id=fa0370ea9b

Jezeli teraz Combo usunal rookita to co z przywracaniem systemu? Usunac wszystkie "save" wraz z tym tuz po formacie z czystym systemem?
SzeryfChudy
Forumowicz
Forumowicz
 
Posty: 7
Dołączenie: 26 Gru 2010, 15:21

Re: Prosba o sprawdzenie loga

Postprzez mateo8898 » 27 Gru 2010, 15:33

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Jezeli teraz Combo usunal rookita to co z przywracaniem systemu? Usunac wszystkie "save" wraz z tym tuz po formacie z czystym systemem?

Żadnego rootkita tutaj ComboFix nie usuwał ani nic tu takiego nie ma. Co do punktów przywracania systemu, to dam je do czyszczenia w OTL.
Zresztą to co wykrył MKS, to tylko właśnie pozostałości w punktach przywracania, więc w sumie to Eset tutaj posprzątał, bo w logach nic szkodliwego nie widać, tylko kilka pustych wpisów.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:
:OTL
SRV - File not found [Auto | Stopped] -- -- (OMSI download service)
SRV - File not found [Auto | Stopped] -- -- (JavaQuickStarterService)

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"=-
"C-Media Speaker Configuration"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-

:Commadns
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Sam wrzucałeś Menedżer zadań do autostartu???


Autor postu otrzymał pochwałę
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Prosba o sprawdzenie loga

Postprzez SzeryfChudy » 27 Gru 2010, 18:21

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Sadzilem, ze byl rookit bo Combo taki komunikat pokazal.

Log tuz po wykonaniu skryptu:
http://www.wklej.eu/index.php?id=59b5ec6359

I swieze logi: <OTL.txt> oraz <Extras.Txt>.


Menedzera zadan samemu wsadzilem do autostartu.
Kontroluje czasem przeplyw danych przez sieciowke podczas grania itp.
Kiedys mialem pingi w grze 25-40 oraz loss i choke 0.
Po formacie zrobilo mi sie ping +45 oraz lossy od 0-15 i choke 1-99 [Counter Strike 1.6].
Ostatnio edytowany przez SzeryfChudy, 27 Gru 2010, 18:29, edytowano w sumie 1 raz
SzeryfChudy
Forumowicz
Forumowicz
 
Posty: 7
Dołączenie: 26 Gru 2010, 15:21

Re: Prosba o sprawdzenie loga

Postprzez mateo8898 » 27 Gru 2010, 18:29

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Zrobiłem małą literówkę w skrypcie, więc poprawka jeszcze. W OTL wklej
:OTL

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Następnie:

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) -> http://www.instalki.pl/programy/downloa ... _8_XP.html

Odinstaluj starą wersję Javy:
Java(TM) 6 Update 17

i zainstaluj najnowszą -> http://www.instalki.pl/programy/downloa ... %29_6.html

Odinstaluj starą wersję czytnika .pdf:
Adobe Reader 8 - Polish

i zainstaluj najnowszą -> http://www.instalki.pl/programy/downloa ... eader.html
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Prosba o sprawdzenie loga

Postprzez SzeryfChudy » 27 Gru 2010, 18:34

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Z ta java i adobe to konieczne?
Jave uruchamia mi sie tylko jak gram "raz na rok" na kurniku.
Adobe to gora raz na miesiac. Nowsze wersje nie beda zbyt wymagajace na moje
AMD Athlon XP 2200+ 1,96GHz
[krecone z 1,8, wiecej mozna ale resetuje sie komp podczas pracy, raz po godzinie raz po 4minuntach, niewazne jakie obiciazenie], 512MB DDR ?
SzeryfChudy
Forumowicz
Forumowicz
 
Posty: 7
Dołączenie: 26 Gru 2010, 15:21

Re: Prosba o sprawdzenie loga

Postprzez mateo8898 » 27 Gru 2010, 19:02

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Z ta java i adobe to konieczne?

Konieczne, gdyż stare wersje są dziurawe.
Jeśli chodzi o Javę, na pewno nie będzie różnicy w obciążeniu, co do Adobe Readera to musisz sam sprawdzić, ewentualnie zainstaluj jakąś lekką alternatywę, np. Foxit Readera -> http://www.instalki.pl/programy/downloa ... eader.html
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Prosba o sprawdzenie loga

Postprzez SzeryfChudy » 27 Gru 2010, 20:13

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Pozniej zaktualizuje jave a zamiast adobe wgram Fine Reader bo kiedys go mialem.
CCleaner'em to czyszcze dyski i rejestr przynajmniej raz w tygodniu.

Uzywalem jeszcze jv Power Tools 2010 ale [co zapomnialem napisac na poczatku :? ] ale plik programu .exe zostal przemianowany przez MKS, poniewaz zawieral Heur.W32 [podejrzany - podejrzane dzialanie].

Jako tako wiedzialem co w nim robie ale czuje, ze bede musial sie nacieszyc
starsza wersja [o ile MKS cos i w niej nie znajdzie].

Wiec zrobilem wszystko jak szef kazal:
-wykonana poprawka w skrypcie OTL: <log>
-zeskanowalem anti-malwarem [zaktualizowanym], wynik: 1 znaleziony - <log>
-restart kompa na zyczenie anti-malware
-posrzatalem CCleaner'em
-zainstalowalem IE8, restart kompa
-posprzatalem OTL'em, restart kompa
-zniknal mi OTL z pulpitu, pobralem na nowo
-zrobilem nowiutkie logi: <OTL.txt>, <Extras.txt>
-no i na koniec defragmentacja

Podczas skanowania ani-malware, Eset znalazl infekcje [tuz po zaktuazliwaniu sie wykonuje skan]: <log z Eseta>


Z ciekawostek
-Jak wylaczyc ekran logowania gdy nie mam hasla i posiadam tylko 1 konto?
-Czy wylaczyles mi [w skrypcie do OTL] z autostartu program mixer od karty dzwiekowej C-Media?
-Denerwuje mnie takie cos jak wmiprvse.exe, spoolsv.exe, ctfmon.exe oraz wuauclt.exe
Wuauclt zawsze z opoznieniem wlacza sie po zalogowaniu do systemu. Potrzebne to? Bo zawsze klikam zakoncz zadanie i to samo robie z tymi pozostalymi. Podczas pracy w blenderze lub grania potrzeba mi "czystej pamieci".
SzeryfChudy
Forumowicz
Forumowicz
 
Posty: 7
Dołączenie: 26 Gru 2010, 15:21

Re: Prosba o sprawdzenie loga

Postprzez mateo8898 » 27 Gru 2010, 21:05

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Uzywalem jeszcze jv Power Tools 2010 ale [co zapomnialem napisac na poczatku :? ] ale plik programu .exe zostal przemianowany przez MKS, poniewaz zawieral Heur.W32 [podejrzany - podejrzane dzialanie].

Fałszywy alarm.

-Czy wylaczyles mi [w skrypcie do OTL] z autostartu program mixer od karty dzwiekowej C-Media?

Tak.

-Jak wylaczyc ekran logowania gdy nie mam hasla i posiadam tylko 1 konto?

Zobacz tu -> http://www.porady.org/wylaczenie-ekranu ... s-xpvista/

-Denerwuje mnie takie cos jak wmiprvse.exe, ctfmon.exe oraz wuauclt.exe
Wuauclt zawsze z opoznieniem wlacza sie po zalogowaniu do systemu. Potrzebne to? Bo zawsze klikam zakoncz zadanie i to samo robie z tym dwoma pozostalymi.

ctfmon.exe - Panel sterowania -> Data, godzina, język i opcje regionalne -> Opcje regionalne i językowe -> Zakładka "Języki" -> Szczegóły -> zakładka "Zaawansowane" -> zaznacz: "Wyłącz zaawansowane usługi tekstowe" -> Zastosuj.
wuauclt.exe -> to od Aktualizacji automatycznych. Jeśli nie korzystasz to wyłącz Aktualizacje automatyczne oraz usługę, czyli: Prawoklik na Mój komputer -> Właściwości -> Aktualizacje automatyczne -> zaznacz: "Wyłącz aktualizacje automatyczne" -> Zastosuj.
Później: Start -> Uruchom -> Wpisz: services.msc -> OK. Na liście znajdź usługę Aktualizacje automatyczne, wejdź w nią dwuklikiem i zmień Typ uruchomienia na Wyłączony
wmiprvse.exe -> to część usługi WMI, jak trzeba to się uruchamia i zostawić to w spokoju.

Jeśli chcesz wyłączyć zbędne usługi to tu masz obszerny poradnik -> http://www.searchengines.pl/Services-Us ... t7723.html


Autor postu otrzymał pochwałę
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966

Re: Prosba o sprawdzenie loga

Postprzez SzeryfChudy » 27 Gru 2010, 23:31

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Dziekuje bardzo za pomoc.
Rozumiem, ze komputer teraz jest czysciutki i spokojnie mozna pracowac?
SzeryfChudy
Forumowicz
Forumowicz
 
Posty: 7
Dołączenie: 26 Gru 2010, 15:21

Re: Prosba o sprawdzenie loga

Postprzez mateo8898 » 28 Gru 2010, 00:14

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13


Tak.
Awatar użytkownika
mateo8898
Moderator
Moderator
 
Posty: 15377
Dołączenie: 15 Maj 2009, 14:55
Pochwały: 966


Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników