Skocz do zawartości
Nadchodzące zmiany w logowaniu

Olleo

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    23

  • Dołączył

  • Ostatnia wizyta

  1. Olleo
    Wyglada na to, ze na innych kompach sa takie same polisy.
  2. Olleo
    Wygląda na to, że problem się już nie pojawia - jedyne kłopoty z siecią w Operze ostatnio miałem po wybudzeniu kompa ze Standby. Dziękuję serdecznie za pomoc.
  3. Olleo
    Bede obserwowal sytuacje - poki co bylem 3 dni bez netu, bo ktos zajumal kabel Dialogu, a podczas tego procederu nastapilo prawdopodobnie jakies spiecie i sfajczylo mi router.
  4. Olleo
    Tak, po zmianach NameSpace. Czy procz importu reg jeszcze reset powinien pojsc z jakiejs komendy? Z drugiej strony po drodze robilem 2 pelne restarty.
  5. Olleo
    Problem przed infekcja nie wystepowal. Nie rozumiem pytania o reset Winsock. Ciezko stwierdzic, czy TrendMicro nie miesza, ale wczesniej nie mieszal. Akamai usunac nie moge - na codzien go uzywam (w pracy) i jeszcze bede przez jakies pol roku uzywac.
  6. Olleo
    Sprobuje to potwierdzic, choc predko to pewnie nie bedzie, bo obecnie nie bardzo wiadomo nawet u kogo Co moze byc przyczyna, ze od czasu do czasu Opera nagle traci polaczenie z siecia (wszystkie inne programy maja net w dalszym ciagu) i pomaga tylko jej restart?
  7. Olleo
    Przepraszam, uzywam na codzien Opery, ale akurat fixitpc.pl otwieralem na MSIE. Wykonalem kroki, jak zalecalas. NameSpace na wszelki wypadek zrobilem export klucza, zanim zaimportowalem nowy, bo widzialem, ze jest tam NameSpace dla bluetootha. W zalaczniku log z FSS. Swoja droga pare lat pracowalem na emergency (ale dla aplikacji i to na zupelnie innych platformach) i jestem pod wrazeniem wiedzy i doswiadczenia. FSS.txt
  8. Olleo
    Chodzi o skrypty - kopiuje z Opery. Jak dam cytuj, to widze, ze tresc skryptow jest w tagach formatujących - z cytatu w trybie edycji da rade skopiowac ze znakami konca linii.
  9. Olleo
    Jak tylko poloze syna spac, to zaczne dalsze akcje, a tymczasem mam pytanie - jak kopiuje ctrl+c/v te tresci, to brak znakow konca linii i wkleja mi sie w jedna linijke. Cos zle robie, czy za kazdym razem mam parse'owac recznie?
  10. Olleo
    ProxyCapem nie ma co sie przejmowac, bo instalowalem to na potrzeby BlueStacksa, ale nie dziala, wiec przed chwila usunalem. Wklejam log z FSSa - zdaje sie, ze wciaz jest problem. Sprawdze tez na innych sluzbowych kompach, czy to przypadkiem nie jest jakas regula. Problem z tamtym rootkitem zostal "rozwiazany" przez format C: niestety. Polityka firmy nie uwzglednia czegos takiego, jak grzebanie w systemie - za duze koszty, za male oszczednosci, wiec recovery z pointseciem jest niedostepny. Jednak to tylko u mnie jest problem. W ogole ostatnio firma poinstalowala nam mnostwo smieci - citrixa, trzeci juz korporacyjny komunikator, cisco anyconnecty i takie tam - efekt jest taki, ze system swiezo zrestartowany mocno przymula. Moze jeszcze raz puscic OTLa? FSS.txt
  11. Olleo
    Flasha odinstalowalem i zainstalowalem na nowo najnowsza wersje, wiec teraz juz w scheduled taskach go nie mam. Rejestr naprawiony, services odzyskane (mam nadzieje, ze nie mialem powylaczanych niektorych serwisow przez korpo-IT), log z FSS w zalaczniku. I pytanie: ZeroAccess to rootkit, a ja mam kompa szyfrowanego PointSeciem. Raz juz byla walka z upierdliwym rootkitem i latwo nie bylo. Czy to moze sie powtorzyc? I w zwiazku z tym pytanie pochodne - czy na takim korpo-laptopie szyfrowanym nie ma problemow z Sandboxie, jakbym chcial Opere w nim odpalac? FSS.txt
  12. Olleo
    Drugi krok wykonalem bez desktopa, ale musialem go wykonac recznie w regedicie - z jakiegos powodu klucz do usuniecia nie zostal znaleziony, a do dodania byl access denied. Pierwszy usunalem, a drugi zamiast stworzyc, zmienilem Default na sciezke "C:WINDOWS\system32\wbem\fastprox.dll". (Default) byl REG_SZ, a nie REG_EXPAND_SZ, ale tego sie nie dalo zmienic. Po restarcie desktop sie odpalil i pojawil sie log: All processes killed ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully. ========== FILES ========== D:\userdata\WRO01692\Application Data\skype.dat moved successfully. D:\userdata\WRO01692\Application Data\skype.ini moved successfully. C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully. C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully. C:\Program Files\Enigma Software Group folder moved successfully. ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-1593251271-2640304127-1825641215-96630\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideSCAHealth deleted successfully. Service esgiguard stopped successfully! Service esgiguard deleted successfully! File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: CLEARC_SVC003_PL ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: wro01692 ->Temp folder emptied: 139178345 bytes ->Temporary Internet Files folder emptied: 85421175 bytes ->Java cache emptied: 1525607 bytes ->Opera cache emptied: 89076221 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 2309332 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 104389 bytes RecycleBin emptied: 9914 bytes Total Files Cleaned = 303,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 04252013_095351 Files\Folders moved on Reboot... File\Folder C:\Users\wro01692\AppData\Local\Temp\hsperfdata_wro01692\11188 not found! C:\Users\wro01692\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RU9D2YW6\17213-ransomware-po-fińsku[1].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RU9D2YW6\fastbutton[1].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\P1DAEVOE\search[2].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\L72XDCL3\xd_arbiter[1].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\L72XDCL3\xd_arbiter[2].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\K73K9L1T\fastbutton[3].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\K73K9L1T\like[2].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\K73K9L1T\xd_arbiter[3].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BK1T5EIE\calendar[1].htm moved successfully. C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\36U91LL5\blank[4].htm moved successfully. File move failed. C:\WINDOWS\temp\tm_icrcL_A606D985_38CA_41ab_BCD9_60F771CF800D scheduled to be moved on reboot. PendingFileRenameOperations files... Registry entries deleted on Reboot... ale jednoczesnie pojawil sie znow update Adobe Flash Player, od ktorego sie wszystko zaczelo i nie wiem, czy to Adobowy, czy fake'owy updater: Jak to sprawdzic i ewentualnie sie tego pozbyc, jesli to fake'owy? Procz tego nie odpala mi sie Cisco Anyconnect, co sie wczesniej nie zdarzalo: Jade z krokami w miedzyczasie dalej. Log z drugiego uruchomienia OTL zalaczony. Log z Farbar Service Scanner: Farbar Service Scanner Version: 14-04-2013 Ran by wro01692 (administrator) on 25-04-2013 at 11:30:05 Running from "C:\Users\wro01692\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GNOMFQLM" Windows 7 Professional Service Pack 1 (X64) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Attempt to access Google IP returned error. Google IP is offline Attempt to access Google.com returned error: Google.com is offline Attempt to access Yahoo IP returned error. Yahoo IP is offline Attempt to access Yahoo.com returned error: Yahoo.com is offline Windows Firewall: ============= mpsdrv Service is not running. Checking service configuration: The start type of mpsdrv service is OK. The ImagePath of mpsdrv service is OK. MpsSvc Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist. bfe Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist. Firewall Disabled Policy: ================== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] "EnableFirewall"=DWORD:0 System Restore: ============ System Restore Disabled Policy: ======================== Action Center: ============ wscsvc Service is not running. Checking service configuration: The start type of wscsvc service is OK. The ImagePath of wscsvc: "C:\WINDOWS\System32\svchost.exe -k LocalServiceNetworkRestricted". The ServiceDll of wscsvc service is OK. Windows Update: ============ Windows Autoupdate Disabled Policy: ============================ [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"=DWORD:1 Windows Defender: ============== WinDefend Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Other Services: ============== Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist. Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist. Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist. Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist. File Check: ======== C:\Windows\System32\nsisvc.dll => MD5 is legit C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit C:\Windows\System32\dhcpcore.dll => MD5 is legit C:\Windows\System32\drivers\afd.sys => MD5 is legit C:\Windows\System32\drivers\tdx.sys => MD5 is legit C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit C:\Windows\System32\dnsrslvr.dll => MD5 is legit C:\Windows\System32\mpssvc.dll => MD5 is legit C:\Windows\System32\bfe.dll => MD5 is legit C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit C:\Windows\System32\SDRSVC.dll => MD5 is legit C:\Windows\System32\vssvc.exe => MD5 is legit C:\Windows\System32\wscsvc.dll => MD5 is legit C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit C:\Windows\System32\wuaueng.dll => MD5 is legit C:\Windows\System32\qmgr.dll => MD5 is legit C:\Windows\System32\es.dll => MD5 is legit C:\Windows\System32\cryptsvc.dll => MD5 is legit C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit C:\Windows\System32\ipnathlp.dll => MD5 is legit C:\Windows\System32\iphlpsvc.dll => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\rpcss.dll => MD5 is legit **** End of log **** Ciekawy, bo wg niego dostep do sieci jest niemozliwy, a net jest, wiec moze chodzi o to, ze nie potrafi sie przedostac przez Proxy. Log z System Looka: SystemLook 30.07.11 by jpshortstuff Log created at 11:33 on 25/04/2013 by wro01692 (Limited User) ========== dir ========== C:\$Recycle.Bin - Parameters: "/s" ---Files--- None found. C:\$Recycle.Bin\S-1-5-21-1593251271-2640304127-1825641215-96630 d--hs-- [09:03 25/04/2013] desktop.ini --ahs-- 129 bytes [09:03 25/04/2013] [09:03 25/04/2013] ========== reg ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{003e0278-eca8-4bb8-a256-3689ca1c2600}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{3BF043EF-A974-49B3-8322-B853CF1E5EC5}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{566296fe-e0e8-475f-ba9c-a31ad31620b1}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{68ddbb56-9d1d-4fd9-89c5-c0da2a625392}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{7007ACCF-3202-11D1-AAD2-00805FC1270E}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{7849596a-48ea-486e-8937-a2a3009f31a9}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{900c0763-5cad-4a34-bc1f-40cd513679d5}] (No values found) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{A1607060-5D4C-467a-B711-2B59A6F25957}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{AAA288BA-9A4C-45B0-95D7-94D524869DB5}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{C2796011-81BA-4148-8FCA-C6643245113F}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{C51F0A6B-2A63-4cf4-8938-24404EAEF422}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{DA67B8AD-E81B-4c70-9B91-B417B5E33527}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{EF4D1E1A-1C87-4AA8-8934-E68E4367468D}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F08C5AC2-E722-4116-ADB7-CE41B527994B}] @="Bluetooth Authentication Agent SSO" "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F20487CC-FC04-4B1E-863F-D9801796130B}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{fbeb8a05-beee-4442-804e-409d6c4515e9}] "AutoStart"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{ff363bfe-4941-4179-a81c-f3f1ca72d820}] @="HomeGroup SSO" "AutoStart"="" -= EOF =- Prosze rowniez o porade, jak sie ustrzec przed powrotem tego policyjnego wirusa (procz nieotwierania zalacznikow, odwiedzania podejrzanych stron itd.). Jakas latka? Soft blokujacy? Trend Micro Office niestety przed niczym nie chroni. OTL.Txt
  13. Olleo
    Mam problem - nie wiem, czy to wykonanie skryptu, czy update'y Windowsa sprawily, ale po restarcie po 1 kroku nie odpala mi sie desktop - komp dziala, da sie odpalic task managera i create new task - tak otworzylem Internet Explorera, ale sam explorer, mimo ze proces odpalony, desktopu nie pokazuje, dysku eksplorowac nie pozwala (mozliwe za pomoca total commandera).
  14. Olleo
    Cześć, od paru dni próbował mi się aktualizowac (wyskakujące powiadomienie) Adobe Flash Player, ale go odsyłałem na świętego nigdy z braku czasu, aż zaktualizował się na siłę. Ściągnął, co tam miał ściągnąć, po czym zaczął się instalować. Pod koniec instalacji Trend Micro Office Scan zaczął protestowac wywalając kolejne wirusy dołączone do instalki, ale widać nie ze wszystkim sobie poradził, bo po jakimś czasie pojawił się znany skąd inąd (czyli z tego wątku już zamkniętego) ransomware, czyli "blokada komputera przez fińską policję celem wyciągnięcia od użytkownika paru euro". Proszę ponownie o pomoc i o radę, jak się tego ustrzec, gdy nie mogę zainstalować innych antywirusów, niż Trend Micro Office, a na żadne podejrzane strony nie wchodzę, podejrzanych treści nie ściągam, załączników też nie otwieram nieznanych. Ponoć jakieś świństwo mogło się we Flashu przemycić. Extras.Txt OTL.Txt
  15. Olleo
    Dzięki wielkie za pomoc.
×
×
  • Dodaj nową pozycję...