Sanch0

Załączam nowe logi:

All processes killed

========== OTL ==========

Prefs.js: "Web Search..." removed from browser.search.defaultenginename

Prefs.js: radiobar@toolbar:1.0.0 removed from extensions.enabledItems

Prefs.js: "http://radiobar.toolbarhome.com/search.aspx?srch=ku&q=" removed from keyword.URL

C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\mm1z4ahd.default\extensions\radiobar@toolbar\META-INF folder moved successfully.

C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\mm1z4ahd.default\extensions\radiobar@toolbar\components folder moved successfully.

C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\mm1z4ahd.default\extensions\radiobar@toolbar\chrome folder moved successfully.

C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\mm1z4ahd.default\extensions\radiobar@toolbar folder moved successfully.

C:\Users\Konrad\AppData\Roaming\Mozilla\Firefox\Profiles\mm1z4ahd.default\searchplugins\daemon-search.xml moved successfully.

C:\Users\Konrad\AppData\Roaming\Mozilla\Firefox\Profiles\mm1z4ahd.default\searchplugins\web-search.xml moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3829192350-1106481819-3590728672-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3829192350-1106481819-3590728672-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Power2GoExpress deleted successfully.

Registry key HKEY_USERS\S-1-5-21-3829192350-1106481819-3590728672-1000_Classes\.exe\ deleted successfully.

Registry key HKEY_USERS\S-1-5-21-3829192350-1106481819-3590728672-1000_Classes\dc\ deleted successfully.

HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!

C:\Users\Konrad\AppData\Local\06ewu38qj7mc806pf85h12 moved successfully.

C:\ProgramData\06ewu38qj7mc806pf85h12 moved successfully.

C:\Users\Konrad\AppData\Local\rumoxbosr.exe moved successfully.

========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 80055 bytes

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

User: Konrad

->Temp folder emptied: 1516460593 bytes

->Temporary Internet Files folder emptied: 13306086 bytes

->Java cache emptied: 1822442 bytes

->FireFox cache emptied: 66556182 bytes

->Flash cache emptied: 23164 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 4409474 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes

RecycleBin emptied: 62386391 bytes

Total Files Cleaned = 1 588,00 mb

OTL by OldTimer - Version 3.2.31.0 log created on 12272011_221351

Files\Folders moved on Reboot...

C:\Users\Konrad\AppData\Local\Temp\radE889D.tmp\bin\Gadget.Interop.dll moved successfully.

C:\Users\Konrad\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Ad-Report-SCAN1.txt

OTL.Txt

Extras.Txt

Dzisiaj dostałem komputer w którym aplikacja ta zaczęła się pojawiać. Na czas skanu OTL zabiłem proces o nazwie pit.exe dzięki czemu na chwilę był spokój. Niczego więcej nie ruszałem ponieważ nie maiłem pewności czy coś jeszcze siedzi oraz nie chciałem zacierać śladów.

Użytkownik twierdzi, że nic podejrzanego nie instalował... Ja chwilowo też nie moge dojść skąd się ta aplikacja u niego wzięła.

Results of screen317's Security Check version 0.99.30

Windows 7 x64 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

Avira Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Java™ 6 Update 24

Java version out of date!

Adobe Flash Player 9 Flash Player out of date!

Adobe Flash Player 10.1.82.76 Flash Player out of Date!

Adobe Reader 9 Adobe Reader out of date!

Mozilla Firefox (9.0.1)

Mozilla Thunderbird (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

Teraz strony microsoftu działają i komputer nie wykazuje niepokojących objawów.

Po trasie pakietów wynika, że problem leży po stronie dostawcy internetu. Adres IP wskazuje na www.internet.piotrkow.pl Czy to Twój dostawca? Mali dostawcy radiowego internetu często nie dbają o sieć albo nie są w stanie zapewnić stabilnych połączeń.

Witam, na komputerze uruchomiłem na początku Combofix ponieważ po instalacji Microsoft Security Essentials nie mógł zaktualizować bazy sygnatur wirusów. Zauważyłem, że nie ma możliwości wejścia na strony microsoft. Log w tym przypadku niewiele powiedział więc zamieszczam komplet logów z innych programów. Dodatkowo komputer infekuje pendrivy a Avast wykrywa plik zainfekowany jako Win32:Confi [Wrm] (plik z rozszerzeniem vmx).

Results of screen317's Security Check version 0.99.24

Windows XP Service Pack 3 x86

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

McAfee Security Scan Plus

Microsoft Security Essentials

```````````````````````````````

Anti-malware/Other Utilities Check:

Java™ 6 Update 24

Out of date Java installed!

Adobe Flash Player ( 10.3.181.14) Flash Player Out of Date!

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Windows Defender MSMpEng.exe

Microsoft Security Essentials msseces.exe

Microsoft Security Client Antimalware MsMpEng.exe

``````````End of Log````````````

Matke chociaż zaa 2 stroną monitora ale i tak matka.

Z jakiej galaktyki przybywasz, że darzysz niepewnością tu obecnych?

Z naprawdę użytecznych funkcji w poszczególnych wersjach Windows 7 możemy wyróżnić:

Basic

Home Premium - Aero Glass

Professional - Aero Glass, pulpit zdalny, Windows XP Mode

Ultimate - Aero Glass, pulpit zdalny, Windows XP Mode, BitLocker

Jeśli chodzio wybór 64b czy 32b to jeśli nie ma naprawdę jakichś szczególnych wymagań aby to była wersja 32b wtedy nie ma się nad czym zastanawiać i brać x64

Hmmm, ale to jest tam napisane na stronie samy.pl. W tych dwóch punktach HTML5 kieruje przecież do artykułu: DOM Storage

Rzeczywiście wszystko było pod nosem tylko ja zacząłem iść okrężną drogą ponieważ już source code Firefox'a ściągnąłem

Tu nie jest raczej problemem jak to wyczyścić partiami, tylko jak to zrobić dostatecznie sprawnie w jednym podejściu, by przerwać łańcuch samorekonstrukcji, bo widzę ten fragment: ...

Zgadza się, ja szukałem właśnie miejsca gdzie konkretnie lądują elementy o których wcześniej wspomniałem. Czy rzeczywiście jest je tak trudno usunąć? Z pewnością nie , ale dla "zwykłego" usera jest to raczej ciężki orzech do zgryzienia.

W każdym razie dziękuję za pomoc.

Może napiszę inaczej. Nie szukam rozwiązania w jaki sposób zabezpieczyć się przed tym ponieważ jest wiele sposobów na przeciwdziałanie temu mechanizmowi. Interesuje mnie gdzie konkretnie są zapisywane dane HTML5 Local Storage oraz HTML5 Global Storage.

Evercookie to API w JavaScript, którego zadaniem jest stworzenie (i odradzanie) ciastka identyfikującego internautę. Evercookie zapobiega usunięciu ciastka (tzn. wykrywa usunięcie ciasteczka i natychmiast odtwarza je na nowo). Evercookie wykorzystuje wszystkie dostępne w przeglądarce metody przechowywania danych po stronie użytkownika:

 

• 
   
  
• standardowe ciastka HTTP
  
• Local Shared Objects (czyli Flash Cookies)
  
• Automatycznie generowane wartości RGB przy pomocy force-cached PNG i HTML5 Canvas (do odczytu)
  
• Histori Web (CSS)
  
• HTML5 Session Storage
  
• HTML5 Local Storage
  
• HTML5 Global Storage
  
• HTML5 Database Storage via SQLite
  

http://niebezpiecznik.pl/post/niezniszczalne-ciasteczka-evercookie/

http://www.dobreprogramy.pl/Prawie-nieusuwalne-ciasteczka,Aktualnosc,20517.html

Strona na której można dla testów zasadzić u siebie evercoockie:

http://samy.pl/evercookie/

Wykonując czyszczenie zaczynam od:

1. Usunięcia standardowych plików coockie.

2. Wyczyszczenia historii.

3. Usunięcia pamięci podręcznej.

4. Usunięcia cache flash za pomomocą:

http://www.macromedia.com/support/documentation/pl/flashplayer/help/settings_manager07.html

Pozostają jeszcze elementy takie jak localStorage i globalStorage które przechowują dane. Jak wyczyścić te elementy?

Oczywiście jednym z rozwiązań może być przeglądanie danych stron za pomocą trybu prywatnego przeglądarki oczywiście jeśli taki oferuje.

Edytowałem poprzedni post i dorzuciłem link do Studio 1749.

Zwróć uwagę, że są różne konfiguracje Inspiron 1764 także z HD5450. A jeśli to będzie za mało to może Studio 1749 z HD5650

Każdy z tych 4 laptopów ma kartę graficzną ATI i innej nie chcę.

Można wiedzieć czemu?

Moja propozycja to:

DELL Inspiron 1764

Konfiguracja do wyboru zależnie ile możesz maksymalnie wydać.

lub

DELL Studio 1749

Ale tutaj ceny zaczynają się od górnej granicy którą podałeś.

Nawet nie będe próbował, moje zdanie jest takie; awaryjność HP to jakis mit, byly mniej udane serie Pavilionow i tyle.

Jakość laptopów HP ostatnio poleciała niesamowicie w dół. Dzisiaj dostałem kolejnego HP (dv6000) do serwisu z uszkodzeniem sprzętowym. Ze starszymi modelami HP też nie jest zbyt rewelacyjnie ale na pewno lepiej niż obecnymi wypustami HP. Miałem okazję pewien czas pracować w dużej instytucji gdzie laptopy HP dosyć często zjeżdżały na serwis, były to głównie starsze modele ale porównując do obecnej sytuacji to nie było tego aż tak wiele.

Mam sąsiada któremu w modelu dv9000 wymieniana była dwa razy płyta główna...

Na moje oko jest już czysto. Dzięki za pomoc.

Zostawiłem kompa dzieciakom na dwa dni i to był błąd... Pewnie któraś z pobieranych gier musiała zawierać jakiś malware. Ogólnie komputer nie wykazuje żadnych niepokojących objawów ale skan MBAM który wykonałem po powrocie pokazał:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Wersja bazy: 4052

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

2010-06-07 23:47:46

mbam-log-2010-06-07 (23-47-46).txt

 

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|H:\|)

Przeskanowano obiektów: 334079

Upłynęło: 38 minut(y), 20 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 1

Zainfekowanych kluczy rejestru: 2

Zainfekowanych wartości rejestru: 1

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 2

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

C:\Users\Damian\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

 

Zainfekowanych kluczy rejestru:

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

 

Zainfekowanych wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\halo2 (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

 

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

 

Zainfekowanych plików:

C:\Users\Damian\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Avira znalazła taki plik:

C:\Users\Damian\AppData\Local\Mozilla\Firefox\Profiles\3fkaml5n.default\Cache\6FA37558d01

[DETECTION] Contains a recognition pattern of the (harmful) BDS/AFNU back-door program

[NOTE] The file was deleted!

Co do pliku Chr.exe znajduje się w kataogu temp i jest uruchamiany ze startem systemu. Wraz z tym plikiem znajdowały się dwa o podobnej trzyliterowej nazwie które usunąłem bez problemów. Po usunięciu wpisu autostartu kierującego do pliku Chr.exe odnawia się. Z pewnością poleciał by po killu wszystkich procesów ale nie chciałem zacierać śladów.

It's my favorite clip but I can't find lyrics

http://www.youtube.com/watch?v=6G1uEPtumI0

In the comments section I found how to make lyrics:

People asking the same thing over and over again about the lyrics!! Seriously if you really want to know what he's saying then do these 4 simple steps

1- Open Microsoft Word

2- Roll Face on keyboard from left to right 3 times

3- Check for spellings

4- Save document

You got the lyrics saved up.

yeeeeaaaa I'm quite sure they were:) and every girl there waved to me because I'm handsome, right?

...and every cow in the Netherlands want to kiss you

It can be true in Germany but in the Netherlands hmmm... let's wait for answer

I want to start this topic because we have one (I think one and everyone knows who he is ) user on the forum from Netherlands.

First question:

Is it true that in the Netherlands are more bikes than people?

Softwarowe zabezpieczenia to tylko część w zabezpieczeniu komputera. Najbardziej podatnym ogniwem jest człowiek a dokładniej jego świadomość na zagrożenia. Osobiście nie używam firawall'i firm trzecich a jedynie systemowego. W sprawie bezpieczeństwa jestem wyczulony. Wszystkie nieznane pliki wykonywalne często sprawdzam na virustotal.com lub na wirtualnym systemie Nigdy nie czułem potrzeby zakupu do domowego kompa komercyjnego softu zabezpieczającego skoro mamy dostępne całkiem dobre darmowe wersje tego typu oprogramowania. Jako podstawę bezpieczeństwa w sieci uważam aktualizowany na bieżąco system oraz oprogramowanie antywirusowe i oczywiście rozsądek w tym gdzie i czym pełzamy po sieci.

Dobrym odseparowanym zabezpieczeniem od systemu operacyjnego jeśli chodzi o ataki z zewnątrz jest np. router z wbudowanym firewallem.

Także jestem za ograniczeniami co do sygnaturki. Przegięciem jest wstawianie ogromnych sygnatur gdzie 90% miejsca to obrazki a reszta tekst... Chyba nie chcemy upodabniać się do for pokroju... chyba wszyscy wiedzą

Kto mieczem wojuje ten od miecza ginie

Jeśli nic mi nie umknęło to teoretycznie wszystko potrzebne do udostępniania zasobów masz włączone. Wychodzi na to, że twórca tej instalki coś namieszał...

Z tymi kombinowanymi instalkami często są problemy.

Sprawdź czy w połączeniu sieciowym włączony masz składnik: Udostępnianie plików i drukarek w sieciach Microsoft Networks

Więcej informacji o Microsoft Networks:

http://technet.microsoft.com/pl-pl/library/cc739330%28WS.10%29.aspx

Na Twoim miejscu zostałbym przy XP. Windows 7 powinien uruchomić się bez problemów ale z komfortową pracą już nie będzie tak wesoło.