prtcl

Dzięki śliczne. Załączam logi jakby co (ten z 2 w nazwie oczywiście pierwszy ). Fixlog.txt Fixlog-2.txt

Dzięki za pomoc Po zakończeiu skanowania konieczny był reboot. Z dobrych wieści strona startowa jest teraz czysta, przynajmniej na razie Logi w załączniku. Addition.txt Fixlog.txt FRST.txt

Hey, Zaktualizowałem sobie dziś 2 playery video, które miałem od lat nieaktualizowane - KMPlayer i VLC. Oba prosiły o aktualizację od jakiegoś czasu, ale olewałem to konsekwentnie, gdyż słusznie obawiałem się, że KMP może doinstalować jakieś śmieci (doszły mnie słuchy, że nowsze wersje są zaśmiecone i jak się okazało jest to prawdą), a VLC... zwyczajnie mi się nie chciało (traktuję go zresztą jako player rezerwowy). Do rzeczy, po aktualizacji KMP zauważyłem, że w systemie pojawiło się trochę więcej nowości niż się spodziewałem: Opera, nowy pasek w Firefoksie, zmieniła się też strona startowa na search[dot]eshield[dot]com. Stronę startową zmieniłem sam, wywaliłem też niechcianą wyszukiwarkę z przeglądarki. Odinstalowałem Operę przez programy i funkcje, z tego samego miejsca wyrzuciłem jakieś inne nieznane mi rzeczy, które miały dzisiejszą datę instalacji (ze 2 aplikacje). Jedna aplikacja (chyba właśnie ta związana z modyfikacjami przeglądarki) nie chciała się odinstalować - udało się po ubiciu powiązanego z nią procesu - to było chyba coś z TNT w nazwie,bo ADWCleaner to później doczyszczał. Z rzeczy, których ja nie instalowałem, z dzisiejszą datą mam teraz w "programy i funkcje" widoczne dwie aplikacje - Firefoksa i Chrome Remote Desktop Host - obie miałem już wcześniej w systemie i regularnie z nich korzystam - czy to możliwe, że to aktualizacja, czy może KMP w nich coś mógł namieszać i lepiej przeinstalować dla bezpieczeństwa? Po restarcie przeglądarki ustawiła mi się znów ta dziwna strona startowa. Wtedy ściągnąłem ADWCleaner i przejechałem nim system. Wywaliłem co znalazł, logi w załączniku. Strona startowa przestała się sama zmieniać, więc naiwnie uznałem sprawę za zakończoną i ściągnąłem/odpaliłem jeszcze TFC. Niestety po restarcie systemu dziwaczna strona startowa wróciła Na domiar złego w międzyczasie zanim zorientowałem się że coś jest nie tak korzystałem normalnie z przeglądarki - wpisywałem "hasło główne" i przy pomocy zapamiętywanych haseł w przeglądarce (mam ich tam sporo) logowałem się do serwisów. W związku z tym pytanie, czy istnieje ryzyko, że jakieś hasła zostały wykradzione? Czy któryś z syfów instalowanych z KMP lub obecnych w systemie działa jak keylogger lub w jakiś sposób próbuje wykradać poufne dane? Załączam logi z chyba wszystkiego co trzeba, będę wdzięczny za wskazówki. AdwCleanerC1.txt AdwCleanerS1.txt defogger_disable.txt FRST.txt Addition.txt Shortcut.txt gmer.txt

Ad 1. Done. Jeśli mogę coś zasugerować, to nie polecałbym tego softu, uruchomiłem go z pulpitu i skasował siebie, folder FRST na dysku i klucze bodajże OTL w rejestrze, ale nie ruszył w ogóle folderu z narzędziami, logów itp. Użyłem następnie starym zwyczajem opcji "sprzątanie" z OTL, która jak wiadomo usuwa co nieco, ale nie wszystko. Potem z ciekawości odpaliłem jeszcze DelFix z folderka w którym były narzędzia i logi - nie skasował nic. Przeniosłem wszystko na pulpit i dopiero wtedy zadziałał - czyli w pełni działa tylko gdy narzędzia i on sam są na pulpicie. Do tego zostawił log shortcut z FRST oraz wykonywalnego gmera. Nie wiem czy nie zostawiłby czegoś jeszcze gdybym miał pełny zestaw (część skasował wcześniej OTL). Poza kluczem z rejestru chyba pewniej byłoby instruować użytkowników, aby kasowali wszystko ręcznie niż polecać to narzędzie. Ad 2. Done. Ad 3. AVG zaktualizowane. IE niestety nie da się zaktualizować - Windows Update widzi ze 2 wersje, chyba 9 i 10 albo 10 i 11, ale żadna aktualizacja się nie powodzi (inne aktualizacje instalują się bez problemu), także ręczna próba zainstalowania IE11 pobranego ze strony MS kończy się niepowodzeniem. Swego czasu spędziłem nad tym chwilę, próbowałem instalować różne wersje, uruchamiałem jakieś automatyczne narzędzia do rozwiązywania problemów z IE od MS i nie doszedłem do żadnych sensownych wniosków. Obstawiam, że system jest umiarkowanie legalny (właściciele nie wiedzą, ktoś im kiedyś instalował itp.) i to pewnie jest przyczyna dla której nowsza wersja IE niż 8 nie chce się przyjąć :/

Splendid! Wszystko poszło jak z płatka, dowody zbrodni zapięte. Fixlog.txt FRST.txt

LIT, AVG Free wykrył Generic5.AOJM w c:/Users/Ewa/AppData/Roaming/newnext.me/nengine.dll - wcześniej wyskoczyło systemowe okno, że nie można odpalić tego pliku, dopiero później okno AVG - to przy starcie sysa. Dałem do kwarantanny czy jak to się tam u nich nazywa. Podobno komunikat wyskakuje od dawna (od ok. 2 miechów), ale jeszcze z tydzień temu korzystałem z tego kompa i nic nie widziałem, więc być może wyskakuje wybiórczo. Nie wiem czy log z OTL jest poprawny, bo 2 razy odpalałem i 2 razy opcja "Rejestr" przestawiała się w trakcie skanu na "Wszystko". Results of screen317's Security Check version 0.99.80 Windows 7 Service Pack 1 x86 (UAC is disabled!) ``````````````Antivirus/Firewall Check:`````````````` AVG Anti-Virus Free Edition 2012 Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` TweakNow RegCleaner Java 7 Update 51 Adobe Flash Player 12.0.0.77 Mozilla Firefox (27.0.1) ````````Process Check: objlist.exe by Laurent```````` AVG avgwdsvc.exe AVG avgtray.exe AVG avgrsx.exe AVG avgnsx.exe AVG avgemc.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Addition.txt defogger_disable.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Shortcut.txt

Narzędzie SystemLook nic nie znalazło, za to pojawiły się wyniki gdy szukałem analogicznego klucza dla Adobe Readera. Log w załączniku. 2 - SystemLook.txt

Dzięki za wszystko Kawał dobrej roboty Do kompa nr 2 jeszcze wrócę, ale pewnie w przyszłym tygodniu, bo w tym już nie znajdę na to czasu, więc proszę o nie zamykanie na razie tematu. Mam jeszcze dotatkowe pytanko dotyczące service packów do MS Office. Nie jestem pewien, czy pakiety są legalne, czy scrackowane - czy w tym drugim przypadku instalacja SP może zablokować pakiet? Na razie pominąłem ten krok, bo właściciele twierdzą, że jakiegoś Office kupowali, ale nie pamiętają jakiego i czekam aż znajdą jakieś info :/

Kompy nr 1 i 3 ogarnięte w pełni - dzięki jeszcze raz Kompem nr 4 zajmuję się w tej chwili (zostały mi tylko niektóre aktualizacje), gdyby jeszcze były jakieś problemy, to się odezwę, tym czasem także dzięki Gmer na wszystkich XP wyłączył DMA - nareperowane Komp nr 3 z tego powodu startował ok 5-10 minut, teraz jest OK. Co do kompa nr 2 - dzięki za radę, niestety podlinkowane narzędzie krzyczy o instalację SP-ileśtam do .NET Framework, która się wysypuje, więc narzędzia nie odpalę. Ale mam teorię - być może usunięcie folderka "Eset" spowodowało pozbycie się cracka? Lub w ogóle odinstalował się z nodem i został tylko martwy wpis w dodaj-usuń, który skasował np. TFC? Po Adobe Readerze z tego co widzę został tylko pusty folder w Program Files, który usunąłem dziś ręcznie. Być może usunął go faktycznie ktoś inny, choć wydaje mi się to mało prawdopodobne - prędzej uwierzę, że sam usunąłem "mechanicznie" i zapomniałem Można to olać, czy jakieś pozostałości mogłyby zmniejszyć bezpieczeństwo? Noda i tak nie ma, zainstalowałem już Avasta, a do pdf'ów jest Sumatra. Co do kompa nr 5 - akcje wykonane, logi w załączniku. Przy okazji zauważyłem, że to niemiłosierne mulenie powoduje proces mcshield.exe, który przez większość czasu okupuje ok 80-100% procesora, np. podczas wchodzenia do folderka, uruchamiania dowolnego programu itp. - trwa to niemiłosiernie długo i w tym czasie system strasznie zamula. Chwilami muszę czekać kilka sekund zanim wyświetli się menu kontekstowe, lub przełączy folder, bo w tle uruchamia się notatnik :/ 5 - AdwCleanerR0.txt 5 - AdwCleanerS0.txt 5 - Fixlog.txt 5 - FRST.txt

To nie cud, między liniami są odstępy, tylko pewnie sprawdzasz pod Windows zwykłym notatnikiem, albo innym edytorem, który nie rozpoznaje znaków końca linii zrobionych pod Ubuntu Dzięki za wszstkie odpowiedzi, skany z kompa nr 5 wrzucę jak znajdę chwilę żeby się nim zająć. W międzyczasie jeszcze drobna sprawa dot. kompa nr 2 - już wykonałem większość aktualizacji i zaskoczyło mnie, że na liście w dodaj/usuń nie widziałem w ogóle Adobe Readera (jest Adobe Air jedynie, w zasadzie Adobe Reader jest niepotrzebny, bo zainstalowałem Sumatrę, ale to dziwne, że go nie ma), oraz tego Fixa do Noda (w ogóle to dziwne, bo w kompie nie ma Noda) - czy to możliwe, że któreś z poprzednich kroków to wyczyściły?

Dzięki ponowne Na kompach 3-5 odpalałem FRST ściągnęte ok. tydzień temu (tuż przed analizą kompów 1-2), bo miałem problemy z dostępem do sieci w celu ściągnięcia nowszej. Dziś już użyłem świeżej i pachnącej W załącznikach logi z kompów nr 3 i 4. Tym razem bez niespodzianek, ładnie się wszystko wyczyściło i nic raczej nie pominąłem. Komp nr 5 ogarnę dziś wieczorem. Czy możesz polecić jakiegoś darmowego antywirusa, którego można zastosować na komputerach firmowych? Część to chyba domowe, będę jeszcze dopytywał. Na domowych pewnie zainstaluje Avasta, choć jestem otwarty na sugestie. Niestety do firmowych kompów raczej odpada... Dzięki jeszcze raz za pomoc i wszystkie informacje Edit: Dołączam pełen zestaw logów z kompa nr 5. 3 - Fixlog.txt 3 - FRST.txt 4 - Fixlog.txt 4 - FRST.txt 5 - Addition.txt 5 - checkup.txt 5 - defogger_disable.txt 5 - Extras.Txt 5 - FRST.txt 5 - gmer.txt 5 - OTL.Txt

Dzięki za wskazówki i info na temat robaka Jesteś nieoceniona Na kompie nr 1 (ten z Windows 7) ktoś inny w międzyczasie odinstalował przestarzałego Kaspersky'ego i McAfee Security Scan Plus oraz zainstalował Avirę. Widziałem też jakiś upierdliwy program z chomika na pulpicie, którego nie kojarzę z wcześniejszej wizyty. Kojarzysz może, czy coś takiego pakuje się jako "dodatek" przy instalacji innego programu, np. Aviry, czy może była to świadoma instalacja?) Właściciel kompa nie jest jedynym użytkownikiem i nie jest pewien :/ Nie wiem czy jeszcze coś było robione. Odinstalowałem bez problemu Ask Toolbar Updater i uTorrentBar Toolbar, z Ask Toolbar były problemy, wyskakiwał dziwny błąd "no use" lub podobnie, ale za którymś razem poszło. Logi w załączniku. Pominąłem na razie krok z resetowaniem Firefoksa - jest tam zapisanych dużo haseł - czy ten krok je wyczyści? Co z historią i zakładkami? Jest jakieś alternatywne rozwiązanie, mniej drastyczne? Na kompie nr 2 wykonałem wskazane kroki, a przynajmniej tak mi się wydawało... teraz dopiero widzę, że pominąłem krok nr 2 :/ Wykonam go w przyszłości, czy po nim będzie jeszcze raz konieczne użycie AdwCleaner i TFC? Logi w załączniku. W międzyczasie przeskanowałem 2 kolejne kompy, nr 3 - stacjonarka z XP PL i nr 4 - stacjonarka z XP EN. Widzę na nich te same objawy po włożeniu pendrive, więc prawdopodobnie na obu siedzi robak. Proszę o przejrzenie logów i wskazówki. Piąty, jeszcze jeden laptop z XP, będzie najprawdopodobniej jutro, bo to chyba najwolniejszy sprzęt jaki widziałem w życiu i skanowanie trwa wieki. Robaka chyba na nim nie ma, bo nie robi rabanu na pendrive (chyba, że jeszcze nie zdążył przemielić w tej swojej powolności ), ale dla pewności chciałbym jego też przebadać. Edit: A jednak jeszcze dziś 1 - AdwCleanerR0.txt 1 - AdwCleanerS0.txt 1 - FRST.txt 2 - AdwCleanerR0.txt 2 - AdwCleanerS0.txt 2 - Fixlog.txt 2 - FRST.txt 3 - Addition.txt 3 - checkup.txt 3 - defogger_disable.txt 3 - Extras.Txt 3 - FRST.txt 3 - gmer.txt 3 - OTL.Txt 4 - Addition.txt 4 - checkup.txt 4 - defogger_disable.txt 4 - Extras.Txt 4 - FRST.txt 4 - gmer.txt 4 - OTL.Txt

To już raczej nie będzie potrzebne, bo ostatecznie okazało się, że wszystkie dane mają kopie zapasowe i sformatowałem wszystkie pendrive'y z poziomu ubuntu. Podstawa to teraz analiza logów i kroki naprawcze.

Witam, Tym razem grubsza sprawa... Sąsiad poprosił mnie dziś o pomoc w "zduszeniu wirusa z pendrajfa". W skrócie problem polega na tym, że sąsiad ma 3 laptopy, 2 stacjonarki (na razie mam dostęp tylko do 2 laptopów, logi z pozostałych kompów przedstawię jak będę miał możliwość je wykonać), 4 pendrive'y i gdzieś skądś jakoś złapał wirusa lub wirusy, które następnie prawdopodobnie poprzenosił tymi pendrive'ami z komputera na komputer. Twierdzi, że zaniósł jednego z kompów do "firmy komputerowej", która rozwiązała problem, jednak jak się nietrudno domyślić szybko on wrócił (zresztą widząc w jakim stanie firma oddała kompa jej kompetencje pozostawię bez komentarza). Objaw: po włożeniu pendrive do kompa nie widać plików, które na nim były, tylko jakby skrót do tego samego pendrive, a dopiero po wejściu w ten skrót pojawiają się pliki. Przynajmniej tak to wygląda spod Windows. W pasku adresu po wejściu na skrót widać, że pliki są w dodatkowym podfolderze o pustej nazwie (zapewne w nazwie jest jakiś "pusty" znak ascii). Sprawdziłem to na własnym "czystym" (tzn. niezawirusowanym, ale miałem na nim pliki) pendrive - włożyłem go najpierw do kompa oznaczonego tu numerem 2, czyli tego, który naprawiała ta firma i efekt jw. Potem włożyłem go jeszcze do kompa nr 1, gdyż na tego pendrive kopiowałem logi, a potem na swoim kompie obejrzałem zawartość spod Ubuntu, aby zobaczyć dobrze jak to wygląda i widzę, że utworzył się wspomniany folder bez nazwy (niewidoczny na Windows), skrót do niego (widoczny na Windows) i wszystkie pliki, które wcześniej były na pendrive (wliczając mój spreparowany folder autorun.ini i znajdujący się w środku folder con, aby programy pod Windows nie mogły stworzyć pliku autorun.ini) przeniosły się do tego nowego foldera. Bezpośrednio na pendrive powstały ponadto pliki niewidoczne na Windows - desktop.ini, thumbs.db, autorun.inf (co ciekawe pusty) oraz jakiś plik z losowymi znaczkami w nazwie (inna nazwa na każdym pendrive) i rozszerzeniem ini lub inf (nie pamiętam w tej chwili, mogę sprawdzić jeśli to istotne). Posiadam spakowaną kopię tych 4 plików, które się utworzyły na moim pendrive, mogę gdzieś zuploadować lub podesłać jeśli to może pomóc w diagnozie. Pendrive'y póki co zabezpieczyłem w następujący sposób: - skasowałem pliki: losowy ini/inf, desktop.ini, thumbs.db, autorun.inf - utworzyłem folder autorun.inf i w środku folder o nazwie con - dzięki temu nie da się tego ruszyć spod Windows - przeniosłem z powrotem zawartość foldera o "pustej" nazwie na wierzch, skasowałem folder o "pustej" nazwie - powtórzyłem krok pierwszy (część z plików była także w folderze o "pustej" nazwie, ale tylko na jednym pendrive) Proszę o info, czy coś jeszcze trzeba robić z samymi pendrive'ami. Chodzi przede wszystkim o to, żeby zabezpieczyć je tak, aby nie przynosić na nich więcej wirusów z innych kompów - wydawało mi się, że moja metoda jest dobra, ale jak widać nie jest. Na razie pouczyłem sąsiada, aby nie wkładał ich do kompów dopóki ich nie wyczyszczę. Ogólnie problem polega na tym, że nie chcę z nich usuwać wszystkich danych, gdyż mogą tam być ważne pliki, których nie ma gdzie indziej (co do tego upewnie się jeszcze), ale chcę się upewnić, że nie zostały tam pozostałości po wirusie, na pewno będę skanował ich zawartość avastem, ale nie wiem, czy to wystarczy. Na jednym pendrive znalazłem plik .exe o nazwie wskazującej na to, że jest to instalka programu Trojan Remover firmy Simply Super Software - jak dla mnie brzmi to podejrzanie, ale prosiłbym o potwierdzenie. Info o kompach, które dotychczas zdiagnozowałem: Komp nr 1: Jest tu Win7 SP1 x64 i jakiś zdezaktualizowany Kaspersky, na który skończyła się licencja. Poniżej dokładne logi. Log z gmer wykonywałem na końcu i robiłem go 3 razy - za 1. razem zapomniałem go zapisać, za 2. razem podczas jego wykonywania pojawił się BSOD. Za 3. razem w końcu pojawił się log. W międzyczasie zorientowałem się, że zapomniałem o defoggerze - dociągnąłem go i odpaliłem przed wykonaniem loga nr 3 lub już w trakcie (nie pamiętam już, ale wydaje mi się, że nie było potrzeby użycia go, bo nie prosił nawet o restart kompa, a na kompie nie ma alcohola ani deamon tools, ale w razie czego mam dostęp do kompów i mogę wykonać ten log raz jeszcze). Komp nr 2: Jest tu WinXP SP2 bez antywirusa (sic!). Odpaliłem IE6 i zobaczyłem z 5 toolbarów - dawno nie widziałem takiego widoku. To ten komputer, który był zaniesiony niedawno do "firmy komputerowej", która podobno usunęła wirusa i stwierdziła, że komputer jest już czysty i można go spokojnie używać (sic!!!). Loga z gmer nie przedstawiam, gdyż gmer wyświetlił info, że w systemie nie ma żadnych modyfikacji. Tu również o defoggerze przypomniałem sobie po czasie i odpaliłem go już w trakcie działania gmera, być może to przyczyna, ale ponownie jak na drugim kompie odnoszę wrażenie, że nic nie zablokował. Loga z gmera już nie powtarzałem, bo generowanie pierwszego trwało bardzo długo. W ogóle system wygląda na czysty, praktycznie nie ma na nim softu, obstawiam, że "firma komputerowa" "rozwiązała problem" robiąc formata i oddając pustego kompa z SP2 bez zabezpieczeń Nie podejmowałem na razie żadnych akcji ratunkowych ani prób zabezpieczania na kompach, poziom zainfekowania jakiego się tu spodziewam to dla mnie zdecydowanie za duży hardkor. Z góry dzięki za pomoc 1-Addition.txt 1-checkup.txt 1-defogger_disable.txt 1-Extras.Txt 1-FRST.txt 1-gmer.txt 1-OTL.Txt 2-Addition.txt 2-checkup.txt 2-defogger_disable.txt 2-Extras.Txt 2-FRST.txt 2-OTL.Txt

Jest zainstalowane.