Skocz do zawartości

muzyk75

Użytkownicy
  • Postów

    796
  • Dołączył

  • Ostatnia wizyta

Odpowiedzi opublikowane przez muzyk75

  1. Task: {1C08E4D1-EFF3-4940-AA61-2A3904034D8C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {38373046-E2D0-4137-8996-A3AF7E5C6E85} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {3FF2FD2A-3A07-4252-B606-CEF9CFBEDCFE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {40BC321C-D687-4845-AFD5-6F7740124111} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {5BE21560-76FB-45CB-BC06-C4A831B986D0} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {749A2046-5111-42CF-BBF6-B3CEE9B173A9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {89C7DF0E-376F-4755-AA5D-7A16843CC95C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {8A0CEAD3-D6D5-44E2-AC6A-F292413C8DBA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Task: {94989FD0-C9B8-4928-BBF6-31441283104A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {C6C1EBA2-63EE-49E6-977C-8B8776108BF8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {F00B2141-1015-40CF-85E9-82144B8D3845} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA

    Empty Temp:

    Tak na szybko - to co jest w ramce wklej do notatnika i zapisz jako Fixlist w tym samym folderze gdzie jest FRST. W FRST kliknij NAPRAW.

    Program poprosi o restart systemu. Kliknij OK.

     

    Ja wykonałem po aktualizacji czystą instalację z płyty CD. Zawsze możesz spróbować odzyskania systemu: Wszystkie ustawienia -> Aktualizacja i zabezpieczenia -> Odzyskiwanie -> Resetuj ustawienia komputera do stanu początkowego. Wybierz czystą instalację. Twoje pliki zostaną usunięte.

     

    Poprzedni źle przekopiowało się to co było w cytacie. Teraz jest poprawnie.

  2. Tytułem wstępu:

     

     

    LOKI jest darmowym narzędziem (licencja GNU) do skanowania typu Indicator of Compromise, stworzonym przez Floriana Rotha i służy m.in. do wykrywania niebezpiecznych plików malware, trojanów typu RAT oraz różnych innych narzędzi hakerskich a także wszelkich ich śladów po włamaniach do systemów informatycznych. LOKI oferuje prosty skaner, który wykryje w systemie tego typu niebezpieczne pliki.

    To wersja darmowa portable. Pełna wersja Nazywa się THOR i kosztuje 4500 euro. 

    Więcej TU

  3. Wykonaj reset protokołu TCP/IP tym narzędziem Fix it 50199 .

     

    Uruchom Wiersz poleceń jako Admin i wklep po kolei ( po każdym enter  ):

     

    netsh interface ip delete arpcache - czyszczenie ARP

    ipconfig /flushdns  - czyszczenie DNS

    sfc /scannow  - skan poprawności plików

     

    Występuje taki błąd:

    Error: (05/16/2014 00:59:18 PM) (Source: WcesComm) (EventID: 7) (User: )
    Description: Nawiązanie połączenia z urządzeniem z systemem Windows Mobile nie powiodło się z powodu błędu Fatal (0x80004005) (patrz dane dotyczące kodu błędu).

    Error: (05/16/2014 00:59:13 PM) (Source: WcesComm) (EventID: 7) (User: )
    Description: Nawiązanie połączenia z urządzeniem z systemem Windows Mobile nie powiodło się z powodu błędu Fatal (0x80004005) (patrz dane dotyczące kodu błędu).

    Error: (05/16/2014 00:59:07 PM) (Source: WcesComm) (EventID: 7) (User: )
    Description: Nawiązanie połączenia z urządzeniem z systemem Windows Mobile nie powiodło się z powodu błędu Fatal (0x80004005) (patrz dane dotyczące kodu błędu).

     

    Zobacz ten artykuł: KLAK i przetłumaczony: KLAK

     

    Poprzez Panel sterowania -> Programy i funkcje - odinstaluj: VideoPerformer

     

    Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

     

    Uruchom TFC - Temp Cleaner. Naciśnij Start i rozpocznie się usuwanie plików tymczasowych.

     

    Napisz jak po tym wygląda sytuacja i załącz nowe logi z FRST i Addition oraz OTL i Extras i AdwCleaner.

  4. Zobacz czy masz dobrze ustawiony protokół TCP/IP v4. Przykład:

    post-6291-0-54882800-1400275606_thumb.jpg

     

    DNS który masz ustawiony jest z Aero2:

     

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0685FAAC-77F5-4704-99C3-86DE5E5152C2}: NameServer = 193.41.112.18 193.41.112.14
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B6B39464-16D6-45A8-9202-517C3BCC2AFF}: NameServer = 193.41.112.14 193.41.112.18

     

    Wykonaj jeszcze reset Winsock. Uruchom Wiersz poleceń jako Administrator i wpisz: netsh winsock reset i klik enter.

  5. Kaspersky Rescue Disk ( Debian ) - rezultat: 0

     

    Standardowe skany narzędziami przeznaczonymi do szukania różnego rodzaju niepożądanego oprogramowania już przerobiłem z ( chyba ) każdej strony.

     

    Jest jeszcze Kali Linux i polska edycja Kali: KLAK . Tu potrzebna jest znajomość konsoli. Mogę odpalać go tylko z płyty. Na instalację na tym komputerze mam za mało RAM - potrzeba 4 GB.

     

    Tu jest ciekawa strona na której są podane programy do zabezpieczenia swojej prywatności.

  6. Zainstalowałem na starym lapku Zorin 8 Lite. Jest to trochę przerobione Lubuntu. Od strony graficznej dużo lepiej się prezentuje. W podstawowej instalacji brak programu czytającego formatki  Exela. Jeszcze nie podłączyłem się z tym wynalazkiem do internetu i nie pobierałem aktualizacji.

     

    Zdjęcia systemu:

    post-6291-0-36035100-1400162266_thumb.jpgpost-6291-0-17285100-1400162290_thumb.jpgpost-6291-0-28222600-1400162313_thumb.jpg

     

    A to fotka archaicznego laptopa na którym testuję ten system:

    post-6291-0-04785100-1400162391_thumb.jpg

     

    Ciekawostka: Linux Mint 13 nie chodzi na tej konfiguracji sprzętu.

     

    Na chwilę obecną system pobiera aktualizacje dla Ubuntu 13. Jest pakiet ( osobny ) aplikacji dedykowanych do systemu Zorin, zawierających: arkusz kalkulacyjny, WINE, Vlc Player, program podobny do Painta, program do kolekcjonowania zdjęć, muzyki i filmów oraz gry znane z Windowsa. Oczywiście jest też menadżer pobierania aplikacji podobny do tego z Lubuntu ( Ubuntu ).

     

    Dziwne jest to że system jest mniej zasobożerny niż jego protoplasta Lubuntu. Filmy z DVD można oglądać bez żadnych problemów. Ustawienie głośności na max powoduje wydobycie dźwięku kilka krotnie głośniejszego niż w Windowsie, na tych samych standardowych głośnikach wbudowanych w laptopa.

     

    Zorin Lite nie zawiesza się na tym starym sprzęcie. W Lubuntu zawiesiłem Firefoxa, co chyba jest rzadkością.

     

    Uruchamianie i wyłączanie systemu jest kilku krotnie szybsze niż dowolnego Windowsa, ale w systemach bazujących na Linuksie to chyba normalne.

  7. KolegaDudysa ( dlaczego nie kumpel ? ) Keyscrambler szyfruje uderzenia w klawiaturę. Mam i używam. Zemana AntiLogger - jest dużo słabszy od SpyShelter, używałem pełną wersję. Co jakiś czas dostępne są promocje pełnych rocznych licencji tego softu.

     

    Piotreek - w routerze DNS ustawione są automatycznie. Sniffing - WPA2 , 61 znakowe hasło ? Zauważyłem że router ma otwarty port NetBios.

    Jest też pierwszy pozytyw tego tematu, uaktywniłes się na forum.

  8. Piotreek - Spyshelter nie może być używany jako podstawowe narzędzie utrudniające osobom trzecim / szkodliwym programom ingerencję w system. Co prawda w jednej z wersji dorobił się firewalla, ale to jeszcze za mało. Nie lubi się z Kaspersky 2014, którego mam aktualnie zainstalowanego. Instalacja SS razem z EMETem to może być mała masakra dla systemu. Wszystko będzie blokowane. Dzięki za podpowiiedź. :)

     

    Bonifacy - mam zainstalowany MBAM Premium ( dostałem licencję jako prezent ) i też nic.

     

    KolegaDydusa - zabrałem się teraz za Metasploit wersja free. Muszę zobaczyć jak to się je. Sądzę że trochę czasu się z tym pomęczę, zanim wszystko ogarnę. :)

  9. Witam dzisiaj zauważyłem, że ktoś mi ukradł pieniądze z Paypala....

    Znając życie w Polsce to kradzież kwoty/mienia do 400 zł są uważane za wykroczenie, a mi ktoś ukradł 120 zł z konta więc na Policję nie ma co iść, bo wiadomo Polska ...

    Jeżeli ukradł Tobie ktoś (?) kasę z PayPal, to aby tej kradzieży dokonać musiał włamać się na twoje konto. Za włam kodeks karny przewiduje karę do 10 lat pozbawienia wolności + dochodzi jeszcze kradzież Twojej własności ( może to być nawet szczoteczka do zębów, lub 2 zł z konta ). Tak więc zasuwaj to zgłosić. Policjant lub prokurator ma obowiązek przyjąć od Ciebie zgłoszenie popełnienia przestępstwa na twoją szkodę. Tym bardziej że PP dysponuje logami połączeń i wiedzą gdzie te pieniądze poszły, a tym samym nazwiskiem potencjalnego złodzieja. Nawet za włam na Twarzoksiążkę otrzymasz wyrok.

  10. Dzięki za odzew i propozycje detekcji. :)  Testowanie wszystkiego co polecacie zajmie mi kilka chwil.

     

    KolegaDudysa - EMET gryzie się z Kaspersky KIS 2014. Wersja EMET 5 wyszła chyba na początku marca. Testowałem EMET 5 razem z firewallem Comodo ( system postaiony od 0 - zerowanie, format, instalacja, konfiguracja ). Comodo ma dużo lepsze możliwości jeżeli chodzi o konfigurowanie reguł firewalla, ale zaliczyłem chyba crash tej zapory, zniknęły wszystkie reguły i ściana ogniowa ustawiła się na przepuszczaj wszystko. Nie wiem czy był to jakiś błąd Comodo czy celowe działanie.

     

    Oto reguły jakie ustawiłem:

     

    post-6291-0-29003900-1399987911_thumb.jpg

     

    Do crashu było wszystko ( chyba ) ok.

     

    SNORT ma płatne reguły. Poszukałem też innych IDS-ów, jednak darmowych i na windę jest niewiele.

     

    ichito, Bonifacy - potestuję i zobaczę co z tego wyjdzie.

  11. WinRE - wypal płytę zastosuj pierwszą opcję " Narzędzie do naprawy systemu podczas uruchamiania " - może udua się naprawić bootloader, wtedy system powinien startować normalnie. Jak to nie zadziała zobacz tu: KLAKKLAK

    KLAK  Extremalnie możesz usunąć bootloader używając GParted i naprawić to używając WinRE.

     

     

     

                                                                                                                                                    

  12.  

     Czy aktywność sieciowa + dysk mają miejsce cały czas? Skanowałeś dysk jakimś AV offline'owo?

    Nie, tylko podczas wlogowywania się osoby trzeciej. AV Kaspersky i nic. Dlatego zakładam że musi być wykorzystywany jakiś proces systemowy. Exploita nie da się zidentyfikować tak jak zwykłego wirusa, malware czy tym podobne dziadostwo.

     

    Jak wygląda w logu karta sieciowa, czy jest coś dziwnego, coś co nie pasuje do całości.

     

    Czy są jeszcze jakieś inne logi, zrzuty pamięci, systemu, które można poddać analizie ?

     

     

    dodaj sobie zarówno w górnym jak i dolnym pane kolumnę 'Verified Signer' i posortuj po niej

    Nie bardzo chwytam. Poza tym weryfikacja pozytywna. Brak czegokolwiek przy: System Idle Process, System, Interrupts, smss.exe, csrss.exe, wininit.exe, services.exe, WmiPrvSe.exe, unsecapp.exe, audiodg.exe, lsm.exe, csrss.exe, winlogon.exe, taskmgr.exe, conime.exe.

  13. @Joopiter w logach widoczne problemy z dyskiem twardym:

     

    Error: (05/11/2014 06:26:52 PM) (Source: Disk) (User: ) (EventID: 7)
    Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

    Error: (05/11/2014 06:26:47 PM) (Source: Disk) (User: ) (EventID: 7)
    Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

    Error: (05/11/2014 06:26:42 PM) (Source: Disk) (User: ) (EventID: 7)
    Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

    Error: (05/11/2014 06:26:38 PM) (Source: Disk) (User: ) (EventID: 7)
    Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

    Error: (05/11/2014 06:26:33 PM) (Source: Disk) (User: ) (EventID: 7)
    Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

    Error: (05/11/2014 06:26:28 PM) (Source: Disk) (User: ) (EventID: 7)
    Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

    Error: (05/11/2014 06:26:22 PM) (Source: Disk) (User: ) (EventID: 7)
    Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

     

    Wykonaj diagnostykę via MHDD i przedstaw tu wyniki. Podaj też raporty niezbędne do diagnostyki problemu, jakimi posługują się użytkownicy w dziale Hardware

  14.  

    Konkretnie chodzi mi o te ustawienia: KLIK.

    Wszystko już dawno wykonane. Od siebie jeszcze mogę dorzucić, aby przy logoweniu  lub zmianie haseł odlączyć router od internetu i wyłączyć wi-fi.

     

     

    Jak jest skonfigurowany router (o ile jest do niego dostęp) w obszarze zabezpieczeń?

    WPA2 ( 61 znaków ) i ma zmienione hasło logowania ( 30 znaków ).  Dostęp z sieci wyłączony. Hasła zapisane w Keepass. Router zaktualizowany - Linksys X3000

     

     

    Czy ten komputer jest częścią jakiegoś większego zespołu sieciowego / LAN?

    Nie. Grupa robocza zmieniona na inną ze standardowej. Hasło do komputera ( 61 znaków ). Ustawione automatyczne logowanie fizyczne ( netplwiz ).

     

    Zrzut pamięci RAM programem DumpIt: "priv" @mgrzeg jest biegły w odczytach.

  15. OpenVPN wykluczam ( zainstlowana najnowsza wersja ). Po deinstalacji ( testowo ) obu VPNów nic się nie zmieniło.

     

    W TCPView  widoczne były obce nazwy komputerów ( zakładka Local Address - protocol TCP ) - pojawiały się i od razu zwiększała się aktywność dysku twardego.

     

    Pliki PDF z danymi lub z Exela. Można także wyciągnąć pliki usunięte poprzez kosz. Możliwość taka znika po usunięciu pliku poprzez Shift+Del.

    Wygląda to tak jakby atakujący miał swobodny dostęp do wszystkich plików i folderów, mimo że na ekranie nie widzę żadnych otwieranych lub przeglądanych plików. Na początku widoczne były ruchy wskaźnikiem po ekranie ( odłączyłem mysz, wyłączyłem touchpad ) i włączająca się sama kamera ( zapalało sie światełko aktywności ) .

     

    Najprawdopodobniej możliwy jest też dostęp do schowka ( hasła kopiuj / wklej )

     

    Jakie pliki i w jaki sposób zdiagnozowano wycieki, "zdalny podgląd" i nieautoryzowane logowanie (na podstawie jakich danych innych niż TCPView)?

    Informacje z "zewnątrz" - wiarygodne. Wybacz ale nie opiszę sposobu uzyskania.

     

    Możliwe że za kilka lat Kaspersky lub inny lab ogłoszą znalezienie "nowego" exploita działającego od dłuższego czasu w systemach Windows.

     

    Wykonałem jeszcze zrzut pamięci RAM programem DumpIt, jak wrzucę na hosting to podam linka.

  16. Cześć Picasso, czy jest jakiś sposób aby zidentyfikować w systemie działający exploit ( wykorzystujący najprawdopodobnie procesy systemowe ). Umożliwia dostęp do systemu, przeglądanie folderów, pobieranie plików zapisanych w komputerze. Kaspersky Internet Security 2014 i Malwarebytes Premium niczego nie identyfikują, mimo to z komputera wyciekają kolejne pliki. Tylko ja mam do niego fizyczny dostęp. Zdalny dostęp jest wyłączony.

     

    W TCPViev były widoczne obce nazwy komputerów, w Menadżerze zadań w grafikach połączeń były widoczne pakiety danych przychodzących / wychodzących. Dysk twardy wariuje.

     

    W przypadku używania VPN następują wycieki. Połączenie jest tunelowane - jednak zdalnie można wszystko widzieć.

     

     Jest coś jeszcze do maszyny możne  wlogować się osoba nieuprawniona nawet gdy wyłączę Wi Fi. Możliwość tą atakujący traci przy wyłączeniu karty sieciowej.

     

    Logi, zakladam że nic szczgólnego w nich nie zobaczysz ( przynajmniej Mnie się nie udało ):

     

     

    FRST.txt

    Addition.txt

    Shortcut.txt

    OTL.Txt

    Extras.Txt

×
×
  • Dodaj nową pozycję...