Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wyłączona kontrola konta użytkownika w Windows 7 Starter

exik

Przez exik
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

exik

exik

Opublikowano
Opublikowano

Witam niedawno avira wykryła u mnie wirusa jak wszedłem na pewną stronę. Usunąłem go (remove), użyłem TFC następnie zapodałem logi otl i gmer dzięki którym usunięte zostały pozostałości po infekcji. Po wszysatkim kazano mi użyć progsu security check wyczyścić pkt przywracania i sprzątnąć otl. Problem w tym, że program security check chyba nie wyświetlił należycie raportu i z tym właśnie kazano mi się zgłosić do was. Tutaj cała sprawa:

http://forum.programosy.pl/wirus-adspy-adspy-gen2-adware-logi-do-sprawdzenia-vt133132.html

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Na temat:

 

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\User\AppData\Local\Temp\afrcaaob.sys -- (afrcaaob)

 

a to nie jest przypadkiem sterownik on programu "technologia intel my fifi" ? (...) To jest jakiś zainfekowany proces/ślad wirusa czy po prostu nie działający sterownik (prawdopodobnie od technologii intel my wifi) który można usunąć/dezaktywować

 

Bzdury, i widzę że sprytnie tam przemilczano co to za komponent odpowiadając "To ślad po tym pliku, a ten plik nieistnieje." (bez wyraźnego zaznaczenia co utworzyło ten plik i jaki jest jego faktyczny status). To jest sterownik tymczasowy GMER i w logu z GMER stoi jak byk pod jakimi nazwami startował:

 

GMER 1.0.15.15641 - "http://www.gmer.net"

Rootkit scan 2012-09-11 18:52:59

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.PBBO

Running: 9nwgnwy2.exe; Driver: C:\Users\User\AppData\Local\Temp\afrcaaob.sys

 

Ten sterownik sam zanika, gdy GMER w pełni ukończy pracę. Dlatego skrypt OTL nie znalazł go:

 

All processes killed

========== OTL ==========

Error: No service named afrcaaob was found to stop!

Service\Driver key afrcaaob not found.

File C:\Users\User\AppData\Local\Temp\afrcaaob.sys not found.

 

 

Problem w tym, że program security check chyba nie wyświetlił należycie raportu i z tym właśnie kazano mi się zgłosić do was.

 

Do diagnozy tego nawet SecurityCheck niepotrzebny, to już log z OTL o tym mówi:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0

 

 

Ja osobiście nic takiego nie wyłączałem, nie moge sie nawet dostać do tego co na screenie w linku bo nigdzie tego nie moge znaleźć. Mam windows 7 starter. Moge tylko powiedziec że jak wchodze na swoje konto to jest jako administartor, bez hasła. Może uruchomic program z prawokliku jako admin? Czy to nie w tym rzecz?

 

Czy na pewno nie widzisz tego: Panel sterowania > Konta użytkowników i filtr rodzinny > Konta użytkowników > Zmień ustawienia funkcji Kontrola konta użytkownika?

 

 

.

Odnośnik do komentarza
exik

exik

Opublikowano
  • Autor
Opublikowano
Bzdury, i widzę że sprytnie tam przemilczano co to za komponent odpowiadając "To ślad po tym pliku, a ten plik nieistnieje." (bez wyraźnego zaznaczenia co utworzyło ten plik i jaki jest jego faktyczny status). To jest sterownik tymczasowy GMER i w logu z GMER stoi jak byk pod jakimi nazwami startował:

 

GMER 1.0.15.15641 - "http://www.gmer.net"

Rootkit scan 2012-09-11 18:52:59

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.PBBO

Running: 9nwgnwy2.exe; Driver: C:\Users\User\AppData\Local\Temp\afrcaaob.sys

 

Ten sterownik sam zanika, gdy GMER w pełni ukończy pracę. Dlatego skrypt OTL nie znalazł go:

 

All processes killed

========== OTL ==========

Error: No service named afrcaaob was found to stop!

Service\Driver key afrcaaob not found.

File C:\Users\User\AppData\Local\Temp\afrcaaob.sys not found.

Czy w takim przypadku należy uznać gmera za uszkodzonego i zainstalować oraz odinstalować ponownie bo może na przyszłość nie funkcjonować należycie, czy to już przeszłość i nie należy do tego wracać?

 

Do diagnozy tego nawet SecurityCheck niepotrzebny, to już log z OTL o tym mówi:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0

Nie rozumiem, chodzi o to że diagnoza securitycheck nie zostaała należycie wyraportowana. Dodam że dzięki twoim wskazówkow faktycznie, nareszcie znalazłem kontrolę kont.. Jest ustawiona na najniższy poziom, czyli "nie powiadamiaj nigdy" Na jaki poziom przestawić bym mógł tutaj jak widze najlepiej, przedstawić raport o aktualności programów?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Czy w takim przypadku należy uznać gmera za uszkodzonego i zainstalować oraz odinstalować ponownie bo może na przyszłość nie funkcjonować należycie, czy to już przeszłość i nie należy do tego wracać?

 

Nie, żadnych rzeczywistych uszkodzeń tu nie ma. Tak działa GMER i przy każdym jego uruchomieniu będzie się pojawiał losowo generowany obiekt (za każdym razem inna nazwa) widziany w OTL jako "not found". GMER podczas pracy tworzy tymczasowy sterownik. Słowo klucz "tymczasowy". GMER odładowuje i usuwa ten sterownik samodzielnie. Jak postępuję widząc sterownik GMER w cudzym logu: odpuszczam go w skrypcie OTL, użytkownik wykonuje zalecone jakieś tam instrukcje i podaje nowy log z OTL, a w tymże można się spodziewać, że już tego sterownika nie ma (zanik). GMER to nie jedyny program do wykrywania rootkitów, który tak się zachowuje. Jest multum aplikacji, które operują na tymczasowych sterownikach.

 

W skrócie: nie ma się tu czym zajmować ...

 

 

Nie rozumiem, chodzi o to że diagnoza securitycheck nie zostaała należycie wyraportowana.

 

SecurityCheck raportuje dokładnie to samo co OTL, a zaznaczam to, bo Ci o tym powiedziano dopiero na podstawie loga z SecurityCheck, podczas gdy już w OTL widać tę funkcję wyłączoną (albo nikt nie zwrócił na to uwagi, albo nie wiedzą co to jest EnableLUA). Wartość EnableLUA na zerze w OTL = UAC is disabled! w SecurityCheck. A w kwestii "należycie": owszem, wyłączony UAC to nie jest domyślne ustawienie systemu. I ja podejrzewam jedno z dwóch: sam to kiedyś wyłączyłeś lub jakiś tweaker to zrobił za Ciebie. W dostarczonych materiałach brak silnych podstaw, by twierdzić, że robiła to infekcja.

 

 

Dodam że dzięki twoim wskazówkow faktycznie, nareszcie znalazłem kontrolę kont.. Jest ustawiona na najniższy poziom, czyli "nie powiadamiaj nigdy" Na jaki poziom przestawić bym mógł tutaj jak widze najlepiej, przedstawić raport o aktualności programów?

 

Właśnie, dlatego w/w programy mówią, że UAC jest wyłączony. Włączony UAC to suwak wyżej, trzeci ząbek to ustawienie domyślne systemu ("Domyślnie - powiadamiaj mnie tylko wtedy, gdy programy próbują wprowadzać zmiany na komputerze"). UAC nie ma związku z aktualnością programów, jest to inna historia. Odczuwam, że się sugerujesz formą raportu z SecurityCheck, ten raport bierze pod uwagę kilka różnych nie związanych ze sobą rzeczy (opis w przyklejonym: KLIK). I prawdę mówiąc, SecurityCheck nie musiałeś uruchamiać na tym etapie rozważań, bo oni mieli wszystko na tacy od pierwszego posta = SecurityCheck powiela pewne dane, które już są w logach z OTL (log główny OTL pokazuje status aktualizacji systemu + status UAC a po datach sterowników można ocenić np. aktualność antywirusów, log OTL Extras zaś wersje zainstalowanych programów). Felerem tej aplikacji jest też nie zawsze szybka aktualizacja danych, czasami SecurityCheck opowiada, że wszystko aktualne, ale na podstawie OTL już można stwierdzić, że to nieprawda. Tu na forum traktuję ten log jako opcjonalny, a gdy ktoś go nie załączy, i tak mam dane.

 

 

EDIT: I jest pewna nieścisłość między danymi OTL a SecurityCheck. OTL Extras mówi o dwóch wtyczkach do dwóch różnych przeglądarek:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox)

 

Wersja wtyczki IE nieznana, natomiast wg OTL wtyczka Adobe Flash załadowana w Firefox to wersja:

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll ()

 

Podczas gdy SecurityCheck widzi wersję rozbieżną: Adobe Flash Player 11.4.402.278. Log z OTL pokazałby:

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll ()

 

Albo albo: między ostatnim z logów OTL a SecurityCheck nastąpiła jakaś zmiana we wtyczkach, albo SecurityCheck podaje nieadekwatne dane.

 

 

 

.

Odnośnik do komentarza
exik

exik

Opublikowano
  • Autor
Opublikowano

SecurityCheck raportuje dokładnie to samo co OTL, a zaznaczam to, bo Ci o tym powiedziano dopiero na podstawie loga z SecurityCheck, podczas gdy już w OTL widać tę funkcję wyłączoną (albo nikt nie zwrócił na to uwagi, albo nie wiedzą co to jest EnableLUA). Wartość EnableLUA na zerze w OTL = UAC is disabled! w SecurityCheck. A w kwestii "należycie": owszem, wyłączony UAC to nie jest domyślne ustawienie systemu. I ja podejrzewam jedno z dwóch: sam to kiedyś wyłączyłeś lub jakiś tweaker to zrobił za Ciebie. W dostarczonych materiałach brak silnych podstaw, by twierdzić, że robiła to infekcja.

Czyli najlepszym rozwiązaniem będzie ustawić na drugi/trzeci ząbek czy zostawić jak jest? Oraz raport securitycheck - zapodawać czy darować to sobie? BTW wg otl są jakieś poważne nieaktualne wersje progsów?

 

EDIT: I jest pewna nieścisłość między danymi OTL a SecurityCheck. OTL Extras mówi o dwóch wtyczkach do dwóch różnych przeglądarek:

Czy znaczy to tyle, że flash player jest źle zainstalowany/uszkodzony czy jakas pomyłka otl lub Securitycheck? Bo szczerze powiem, że nie przypomnę sobie w tej chwili czy w tamtym dniu i między czasie aktualizowałem flasha...

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Oraz raport securitycheck - zapodawać czy darować to sobie?

 

Mnie tu niepotrzebny, ja już mam wszystkie dane.

 

 

Czyli najlepszym rozwiązaniem będzie ustawić na drugi/trzeci ząbek czy zostawić jak jest?

 

Podałam co jest ustawieniem domyślnym, skoro sam nie wiesz czego chcesz, ustaw domyślnie.

 

 

BTW wg otl są jakieś poważne nieaktualne wersje progsów?

 

Gdyby było coś rażącego, już byś otrzymał tę informację.

 

 

Czy znaczy to tyle, że flash player jest źle zainstalowany/uszkodzony czy jakas pomyłka otl lub Securitycheck? Bo szczerze powiem, że nie przypomnę sobie w tej chwili czy w tamtym dniu i między czasie aktualizowałem flasha...

 

Uszkodzony nie, to prędzej wina jednego ze skanerów (zły pobór wersji). Sprawdź to z poziomu przeglądarek per se:

- Otwórz Firefox, wejdź do zarządzania Dodatkami, przejdź do sekcji wtyczek, podświetl Shockwave Flash i powiedz jaką wersję widać.

- Analogicznie z Internet Explorer: Opcje internetowe > Programy > Menedżer dodatków > przestaw na rozwijanej liście na pokazywanie wszystkich dodatków > podświetl Shockwave Flash Object i podaj jaką wersję widzisz.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...