Skocz do zawartości

mlik

Użytkownicy
  • Liczba zawartości

    25
  • Rejestracja

  • Ostatnia wizyta

O mlik

  • Tytuł
    Użytkownik
  1. Witam, Mam problem z komputerem u znajomego. Uruchomił spakowany plik .rar ze swojej poczty e-mail i od tego momentu zaczęły się problemy. ESET co chwilę komunikuje zagrożenie o zablokowanym adresie: http://192.3.204.236/messageone. Szczegółowy opis błędu: ?Godzina;Skaner;Typ obiektu;Obiekt;Zagrożenie;Czynność;Użytkownik;Informacje;Skrót;Pierwsze wystąpienie 27.09.2018 10:25:49;Filtr protokołu HTTP;plik;http://192.3.204.236/messageone.php?ids=242075182&&opt=145643335551515&msname;odmiana zagrożenia Win32/TrojanDropper.Danabot.K koń trojański;połączenie zostało zakończone;DESKTOP-MB0EU5V\CS;Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Windows\System32\wscript.exe (2661E5F3562DD03C0ED21C33E2888E2FD1137D8C).;A72B0C61CEC6267DDC11230D0E11B01697B7F7B2; Wykrył też zagrożenia: - odmiana zagrożenia Win32/TrojanDropper.Danabot.K koń trojański - PowerShell/TrojanDwonloader.Agent.ATK koń trojański Proszę o pomoc i analizę załączonych logów. FRST.txt Shortcut.txt Addition.txt
  2. Dzięki za odpowiedź. Tak jak wspomniałem, zaobserwowałem, iż źródło infekcji to przede wszystkim poczta e-mail. Niestety nie mogę zmienić serwera pocztowego, bo jest on narzucony przez centrale sieci sklepów spożywczych. Ciekawe jest to, że ostatnio zmieniali serwer pocztowy, a mimo wszystko klienci w dalszym ciągu otrzymują podejrzane wiadomości. Zależy mi na wdrożeniu najlepszego rozwiązania, aby uniknąć tego typu infekcję. W moim przypadku został zainfekowany komputer na którym była baza danych MS SQL. Pierwszy raz, miałem taki przypadek, że zaszyfrowało właśnie pliki bazodanowe. Do tej pory zauważyłem, że jeśli baza jest w użyciu, wirus pomija te pliki. Uratowała mnie kopia, która codziennie wysyłana jest przez oprogramowanie Cobian na zewnętrzny serwer FTP. Co ciekawe, komputer, który został zaszyfrowany nie jest używany, ale szybko stwierdziłem, że wirus rozprzestrzenił się przez zamapowany folder sieciowy. Co do dysku NAS planuje codzienne tworzenie kopii zapasowej całego systemu, przez narzędzia systemu Windows, oraz myślałem o wykorzystaniu oprogramowania dołączonego do dysku sieciowego, aby zapisywał migawki plików. Zastanawiam się nad dyskiem producenta Synology oraz Qnap. Proszę was o opinie co do rozwiązań, aby zminimalizować ryzyko infekcji. Pozdrawiam, mlik
  3. Witam, Proszę was o pomoc w dobraniu odpowiednich narzędzi zabezpieczających przed tego typu infekcjami. Mam klientów, u których zaobserwowałem ostatnio infekcję typu ransomware: cry36, BTCWare Master. Reguła jest taka sama - klienci otrzymują wiadomości e-mail z załącznikiem, który po otwarciu szyfruje wszystkie dane na dysku. Wiem, że nie ma 100% zabezpieczenia na tego typu szkodliwe oprogramowanie, jednak chcę zminimalizować ryzyko kolejnych infekcji. Z tego co zaobserwowałem, to najsłabszym ogniwem jest serwer pocztowy, który przepuszcza bardzo dużo wiadomości SPAM lub wiadomości zawierające podejrzane pliki. Z tego forum dowiedziałem się o podstawowych zasadach bezpieczeństwa, przy tego typu infekcji, czyli aktualizowanie na bieżąco systemu, instalacja oprogramowania zabezpieczającego wraz z filtrem antyspamowym oraz tworzenie kopii na dysk zewnętrzny. U klienta wdrożyłem już oprogramowanie zabezpieczające ESET Endpoint Security, włączyłem automatyczne aktualizacje systemu Windows. W najbliższych dniach będę instalował dysk NAS, na którym będzie wykonywana kopia zapasowa całego dysku. Z ochroną od strony poczty mam problem. Myślałem o wdrożeniu konkretnego rozwiązania czyli instalacji MS Outlook z zintegrowanym filtrem antyspamowym ESETa, jednak nie jestem przekonany co do jego skuteczności. Proszę was o sugestię, jak można zabezpieczyć pocztę przed tego typu wiadomościami. Pozdrawiam, mlik
  4. Dziękuje za odpowiedź. Jeśli chodzi o dane, które zostały zaszyfrowane to akurat nie tak duże straty. Teraz najważniejszą rzeczą jest porządne zabezpieczenie sytemu przed tego typu infekcjami. Picasso czy mogłabyś polecić jakieś konkretne oprogramowanie zabezpieczające - Eset ? Kaspersky ? Bitdefender ? jakieś sugestie co do filtru antyspamowego ?. Proszę o podpowiedzi.
  5. Witam, Mój znajomy potrzebuje pomocy z infekcją typu ransomware. Z tego co udało mi się zidentyfikować jest to BTCWare Master. Twierdzi, że nic podejrzanego nie było uruchamiane, a jednak. System nie tak dawno był już raz zaatakowany tego typu szkodnikiem (inny ransom), jednak skończyło się na formacie dysku (zerowanie dysku programem diagnostycznym) i instalacji systemu na nowo. Proszę o analizę raportów i ewentualnie informację co można zdziałać w tym temacie oraz pytanie: w jaki sposób można zabezpieczyć się przed tego typu infekcjami. Komputer działa w sklepie spożywczym (zaplecze magazynu) - służy głównie do odbierania e-maili i wprowadzaniu danych do programu magazynowego. W załączniku raporty (GMER nic nie wykrył) - pusty log. FRST.txt Addition.txt Shortcut.txt
  6. Witam, Po przeniesieniu systemu na dysk SSD przeskanowałem system, aby skontrolować pliki systemowe poleceniem sfc /scannow. Wynik: Windows Resource Protection found corrupt files but was unable to fix some of them. Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. Note that logging is currently not supported in offline servicing scenarios. Proszę o analize wyniku w załączniku (przefiltrowany), czy w logu znajduję się coś niepokojącego. Komputer nowy, wczoraj wyjęty z pudełka - wykluczam jakiekolwiek infekcje. sfc.txt
  7. mlik

    Wolny start systemu

    Problem zidentyfikowany i na swój sposób rozwiązany. - krytyczny błąd Kernel-Power 41 i błąd Kernel-Boot 29 powodowane były przez włączoną opcje "Szybki start" w opcjach zasilania - wyłączenie opcji rozwiązało problem z błędami. - co do długiego startu i pojawiającym się ekranem "Czekaj" Przywróciłem system do stanu prosto po instalacji Windowsa, problem znikł. Instalując jakiekolwiek oprogramowanie, sprawdzałem czy ma wpływ na start systemu - okazało się że po instalacji SQL Server 2008 R2 Express problem powrócił. Usunięcie SQL Servera zgodnie z instrukcją z support.microsoft (usunięcie lokalnych grup zabezpieczeń, zatrzymanie usług, odinstalowanie) niestety nie pomogło rozwiązać problemu. Zlokalizowałem błąd w dzienniku systemu Windows w sekcji Aplikacja: Zdarzenie 6006 - Winlogon Subskrybent powiadomień usługi winlogon <GPClient> potrzebował 61 s, aby obsłużyć zdarzenie powiadamiania (CreateSession). Zastosowałem się do porad na forum TechNet - nie chcę podawać tutaj konkretnego artykułu lub konkretnego rozwiązania - problem ustąpił. System ładuje się normalnie. Temat do zamknięcia
  8. mlik

    Wolny start systemu

    Witam, Problem niestety powrócił mimo postawienia na nowo systemu. Znalazłem jednak jego źródło w podglądzie zdarzeń. Jest to Kernel-Power, identyfikator 41, kategoria zdarzenia 63. "System został uruchomiony ponownie bez uprzedniego czystego zamknięcia. Możliwe przyczyny błędu: system przestał odpowiadać lub uległ awarii albo nastąpiła nieoczekiwana utrata zasilania." Błąd w systemie oraz ekran "Czekaj" pojawia się tylko w tedy kiedy uruchomię ponownie system. Po jego wystąpieniu muszę 2 razy zamknąć system (poprzez Start-zamknij), wtedy wszystko wraca do normy. Próbowałem szukać rozwiązania na stronie MS i znalazłem jedynie to: https://support.microsoft.com/pl-pl/kb/2028504 Żadne z opisanych rozwiązań nie pasuje do mojego problemu: BugcheckCode 0 (szczegóły błędu)
  9. mlik

    Wolny start systemu

    Problem rozwiązany. Pomogła reinstalacja systemu. Temat do zamknięcia.
  10. mlik

    Wolny start systemu

    Na laptopie będzie przeinstalowywany system. Dam znać czy coś to dało.
  11. mlik

    Wolny start systemu

    Po wyłączeniu wszystkich 6 usług o których wspomniał Groszexx system ładuje się jeszcze szybciej. Ekran z napisem "Czekaj" pojawia się na 1 sek., po czym pojawia się ekran logowania. Załączam jeszcze jedną analizę po wyłączeniu 6 usług: http://www68.zippyshare.com/v/aGaLvoCg/file.html
  12. mlik

    Wolny start systemu

    Wyłączenie 2 usług: Network List Service i Network Location Awareness powoduje, że system ładuje się znacznie szybciej. Ekran z napisem "Czekaj" pojawia się na ok 10 sek. Nowa analiza po wyłączeniu powyższych 2 usług: http://www53.zippyshare.com/v/gEVKFAVZ/file.html
  13. Witam, Mam problem z powolnym startem systemu Windows 10 Enterprise na laptopie Dell Latitude E7440 z dyskiem SSD. Przestój na mniej więcej 30-40 sekund jest na niebieskim ekranie z napisem "Czekaj" - pojawia się między logiem Windows, a ekranem logowania. W środowisku czystego rozruchu problem także występuje. Wszystkie sterowniki zostały zaktualizowane. BIOS jest najnowszy. Proszę o pomoc. W załączniku raporty podstawowe. Raport zaawansowany: Analiza długiego startu systemu za pomocą Windows Performance Toolkit Link: http://www41.zippyshare.com/v/wbF6ehyD/file.html Pozdrawiam, mlik Addition.txt FRST.txt Shortcut.txt
  14. mlik

    BSoD - 0x000000F4

    Sterownik chipsetu nie był ruszany od początku instalacji systemu tak więc nie sądzę, że wina leży po jego stronie. Od jakiegoś czasu mam z tym komputerem problemy. Jakieś 2 miesiące temu pojawiły się problemy z uruchomieniem komputera. Zawieszał się przy starcie - jak w załączniku PRSCR1.jpeg lub wyskakiwał komunikat Disk Boot Failure-PRSCR2.jpeg. Sprawdziłem wtedy dysk programem diagnostycznym i nie wykazał błędów- jedynie w SMART mogłem zwrócić uwagę na pozycje C7. Proszę zauważyć, że przez ten okres liczba błędów wzrosła z 3 do 26. Problem (uruchomienie komputera) ustępował po dociśnięciu tasiemki do płyty, co sugeruje, że są z nią problemy. Zacznę od wymiany kabelka dysk-płyta główna i będę obserwować sytuację. Ewentualnie proszę o sugestię co do sterownika do chipsetu.
  15. mlik

    BSoD - 0x000000F4

    Błąd ATAPI w załączniku. W załączniku raport z Everest potwierdzający wersję sterownika chipsetu v9.1.1.1019. Wygląda na to, że jest to najnowszy stabilny sterownik do tej płyty dostępny od dostawcy. Szczerze, to boje się instalować wersję alpha. Co ciekawe intel na swojej stronie dla systemu Windows Xp Embedded ma jedną wersję sterownika 9.0.0.1008 dla chipsetu Mobile Intel® 945GSE Express Chipset https://downloadcenter.intel.com/product/35553/Mobile-Intel-945GSE-Express-Chipset raport_EVEREST.txt
×
×
  • Dodaj nową pozycję...