sylwek1982 Opublikowano 30 Września 2012 Zgłoś Udostępnij Opublikowano 30 Września 2012 Witam! Mam przypuszczenie żeby sądzić że na moim komputerze jest keyloger( nie mam pewności, jestem niedoświadczonym użytkownikiem). Przykładem tego jest choćby mail wysłany z mojej poczty przez inną osobę( nie z mojego komputera). Czas otwierania systemu wydłużył się o ok. 30-40s. Niekiedy kursor zwalnia strasznie. Przyznaję się że użyłem ComboFixa i zrobiłem to bez uprzedniego zapoznania się z zasadami. Jako załączniki dodałem log z combofixa i dwa z OTL. Pozdrawiam, liczę na wyrozumiałość i pomoc. ComboFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2012 Zgłoś Udostępnij Opublikowano 1 Października 2012 ComboFix owszem kasował obiekty infekcyjne, ale trudno stwierdzić czy to zazębia się z opisem: ADS - Windows: deleted 192 bytes in 1 streams..((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..D:\resycledd:\resycled\boot.com W logach z OTL brak oznak infekcji. Tylko pytanie, czy blokada dostępu do apletów Panelu sterowania to celowe działania (?): O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 1 = Microsoft.ActionCenterO7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 5 = Microsoft.BitLockerDriveEncryptionO7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 6 = Microsoft.ColorManagementO7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 14 = Microsoft.EaseofAccessCenterO7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 16 = Microsoft.FontsO7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 22 = Microsoft.LocationandOtherSensorsO7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 37 = Microsoft.SyncCenterO7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 36 = Microsoft.SpeechRecognitionO7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 44 = Microsoft.WindowsUpdate Czyli na teraz nasuwają się tylko ogólne działania: 1. Przez SHIFT+DEL skasuj ten drobny plik adware: C:\Users\Sylwek\AppData\Roaming\mozilla\firefox\profiles\6dvcn9ij.default\searchplugins\conduit.xml 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Sylwek\Desktop\ComboFix.exe /uninstall 3. Na wszelki wypadek zrób pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś, przedstaw raport. Przykładem tego jest choćby mail wysłany z mojej poczty przez inną osobę( nie z mojego komputera). Zmień dane logowania do poczty. Czas otwierania systemu wydłużył się o ok. 30-40s. Niekiedy kursor zwalnia strasznie. "Niestety" główny podejrzany wysuwający się z logów to ESET. Dodatkowo, co dopiero został doinstalowany TrueCrypt i też nie wykluczam tu jakiejś interferencji. I pozbądź się okropnego archaizmu ACE Mega CoDecS Pack. Gdzie z czymś takim na nowoczesnym Windows 7 x64! . Odnośnik do komentarza
sylwek1982 Opublikowano 2 Października 2012 Autor Zgłoś Udostępnij Opublikowano 2 Października 2012 Niestety, nie mogę odinstalować ComboFixa( staje pod koniec), być może gryzie się w jakiś sposób z SpySchelter'em, KeyScrambler'em- nie mam pojęcia? mbam-log-2012-10-02 (02-09-35).txt Odnośnik do komentarza
picasso Opublikowano 2 Października 2012 Zgłoś Udostępnij Opublikowano 2 Października 2012 W MBAM nic ciekawego, crack do ESET (a fe). Niestety, nie mogę odinstalować ComboFixa( staje pod koniec), być może gryzie się w jakiś sposób z SpySchelter'em, KeyScrambler'em- nie mam pojęcia? Spróbuj ponowić próbę z poziomu Trybu awaryjnego Windows. . Odnośnik do komentarza
sylwek1982 Opublikowano 2 Października 2012 Autor Zgłoś Udostępnij Opublikowano 2 Października 2012 Witam Jeszcze jeden log, już po prawidłowo dokończonym odinstalowaniu CF( dzięki za radę jak odinstalować). Mam pytanie- czy mimo tego że WBAM znalazł coś w pliku NOD'a mogę go używać, czy jest groźny? Pozdrawiam i dziękuję za profesjonalna pomoc i zainteresowanie moim problemem. Dołączony log jest już przeprowadzony z poprawnie odinstalowanym dyskiem virtualnym. Mam nadzieję że teraz analiza będzie wiarygodniejsza. mbam-log-2012-10-02 (17-46-08).txt mbam-log-2012-10-02 (18-57-42).txt Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 Odinstalowanie ComboFix oraz dysków wirtualnych nie ma żadnego wpływu na wyniki MBAM, akcje nie mają zazębienia. Te raporty nie są potrzebne. Wracając do meritum: czy historie z e-mail się powtórzyły, czy zmieniłeś dane logowania do poczty? Mam pytanie- czy mimo tego że WBAM znalazł coś w pliku NOD'a mogę go używać, czy jest groźny? Nie powinieneś mi zadawać tego pytania, ponieważ oczekujesz ode mnie zachęty, co jest wysoce sprzeczne z rolą którą pełnię w tym dziale. Ja za żadnego cracka głowy nie podłożę i gwarancji nie dam, ponadto w takich przypadkach nie poświęcam czasu na analizę, czy to "bezpieczny crack", tylko staram się odwodzić od używania takiego rodzaju oprogramowania w pierwszej kolejności. Powody: zabezpieczanie systemu crackowanym programem jest zaprzeczeniem zabezpieczania, ponieważ jest używana droga, która może prowadzić do infekcji, użytkownik praktykując określone działania mimowolnie nabiera znieczulicy na zjawisko "crack" i następnym razem może sobie zainstalować coś naprawdę niedobrego. . Odnośnik do komentarza
sylwek1982 Opublikowano 3 Października 2012 Autor Zgłoś Udostępnij Opublikowano 3 Października 2012 Mail był wysłany tylko raz, wówczas nabrałem podejrzeń i od razu interweniowałem-zmiana passów we wszystkich kontach( poczta, bank, allegro, etc.etc, zainstalowanie m.in. keysambler'a, keepass'a, mkafee siteadvisor, SpySchelter'a, Hitman,a. Czy w windowsowskim menadżerze zadań, w zakładce usługi usługa o dziwnej nazwie"Rasman" lub "Rasauto" nie powinna mnie zastanawiać( gdy ją wyłączam i zretartuję komputer ta usługa po starcie windowsa jest znów uruchomiona)? Czy bezpieczne jest posiadać np.Linuxowe Ubuntu i z poziomu LiveCd logować się i dokonywać np.transakcji bankowych? Jeżeli ten post powinien być w innym dziale to bardzo przepraszam, ale chciałbym dowiedzieć się jak najwięcej nie zaśmiecając przy tym forum. Bardzo dziękuję za pomoc i analizę mojego problemu, jeszcze dziś odinstalowuję Eset'a i triala instaluję ze strony producenta. Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 3 Października 2012 Zgłoś Udostępnij Opublikowano 3 Października 2012 Jeszcze na wszelki wypadek zrób skan w Kaspersky TDSSKiller. Czy w windowsowskim menadżerze zadań, w zakładce usługi usługa o dziwnej nazwie"Rasman" lub "Rasauto" nie powinna mnie zastanawiać( gdy ją wyłączam i zretartuję komputer ta usługa po starcie windowsa jest znów uruchomiona)? RasMan (Menedżer połączeń usługi dostęp zdalny) + RasAuto (Menedżer autopołączenia dostępu zdalnego) to są standardowe usługi Windows. W jaki sposób je "wyłączasz"? Jeśli w menedżerze zadań, to tylko sesyjne wyłączenie i po restarcie usługa znów się uruchomi, jeśli coś jej będzie wymagać (czynne współdzielenie czy typ połączenia np. VPN). Konfiguracja uruchomienia usług odbywa się w przystawce services.msc. Te dwie usługi domyślnie mają ustawiony Typu uruchomienia na Ręczny. Czy bezpieczne jest posiadać np.Linuxowe Ubuntu i z poziomu LiveCd logować się i dokonywać np.transakcji bankowych? Owszem, jest to jedna z opcji alternatywnego dostępu do kont. Są też różne distro specjalizowane pod kątem anonimizacji / bezpieczeństwa np. Tails. . Odnośnik do komentarza
sylwek1982 Opublikowano 4 Października 2012 Autor Zgłoś Udostępnij Opublikowano 4 Października 2012 Po mojej deklaracji zainstalowania legalnego triala AV zainstalowałem Kasperskiego, który to znalazł mi ok. 10 infekcji-usunąłem. Pojawił się "mały" problem, w dzienniku kasperskiego zobaczyłem że nie mógł się dostać do plików, które znajdują się na D:\System Volume Information. Tego folderu nie widać w partycji D( pokazywanie ukrytych plików aktywne) i nie mogę go otworzyć( wciskałem komendę "uruchom" i wklejając tam ścieżkę do SVI nie otwiera mi tego ze względu na brak uprawnień). W jaki sposób mogę się tam dostać i pousuwać śmieci? Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 4 Października 2012 Zgłoś Udostępnij Opublikowano 4 Października 2012 Czy sprawdziłeś skan w TDSSKiller? Po mojej deklaracji zainstalowania legalnego triala AV zainstalowałem Kasperskiego, który to znalazł mi ok. 10 infekcji-usunąłem. Pokaż raport co znalazł i gdzie. Pojawił się "mały" problem, w dzienniku kasperskiego zobaczyłem że nie mógł się dostać do plików, które znajdują się na D:\System Volume Information. Tego folderu nie widać w partycji D( pokazywanie ukrytych plików aktywne) i nie mogę go otworzyć( wciskałem komendę "uruchom" i wklejając tam ścieżkę do SVI nie otwiera mi tego ze względu na brak uprawnień). W jaki sposób mogę się tam dostać i pousuwać śmieci? System Volume Information to foldery Przywracania systemu. Są na każdej partycji. Niedostępność folderów naturalna. Po pierwsze mają atrybuty HS (ukryty systemowy) i widać je dopiero po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego. Po drugie są zablokowane przerz uprawnienia. I nie grzebie się tam ręcznie. Foldery czyści się poprzez opcje Windows: KLIK. . Odnośnik do komentarza
sylwek1982 Opublikowano 5 Października 2012 Autor Zgłoś Udostępnij Opublikowano 5 Października 2012 Dzięki za info. Skan TDSSkillerem robiłem jeszcze przed skanem kasperskiego - nic nie znalazł. Logów z Kasperskiego niestety nie mam, skasowałem omyłkowo :/ wiem że wykrył m.in. backdoory, trojany i w szukaniu pod kątem rootkitów znalazł bodajże 4 szt. Mam jeszcze pytanie o wersje dystrybucji jakiegoś Linuxa, który miałby tak jak np. Kaspersky Rescue Disc zaimplementowany antivirus? Bardzo zależy mi na możliwości bezpiecznego logowania się do banku, allegro, itd. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 5 Października 2012 Zgłoś Udostępnij Opublikowano 5 Października 2012 Skan TDSSkillerem robiłem jeszcze przed skanem kasperskiego - nic nie znalazł. To i log mi niepotrzebny, bo nie ma co analizować. Usuwam zalącznik. Mam jeszcze pytanie o wersje dystrybucji jakiegoś Linuxa, który miałby tak jak np. Kaspersky Rescue Disc zaimplementowany antivirus? Bardzo zależy mi na możliwości bezpiecznego logowania się do banku, allegro, itd. W tej materii to raczej osobna płyta specjalizowana tylko pod kątem usuwania wirusów, czyli Kaspersky Rescue Disk i podobne. Pełna lista: KLIK. W LiveCD ogólnego przeznaczenia można się spodziewać mniej sprawnych lub niszowych skanerów. . Odnośnik do komentarza
sylwek1982 Opublikowano 6 Października 2012 Autor Zgłoś Udostępnij Opublikowano 6 Października 2012 Bardzo dziękuję picasso za pomoc w analizie i wytłumaczeniu pewnych spraw. Temat można zamknąć. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi