hiro12 Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 witam 1 raz sie mi zdarza takie cos nie wiem jak sie zainfekowal moj komputer bo przez tyle lat tego nie mialem a mam chyba najlepszy firewall kerio, jak ktos moze wie to niech napisze z czego sie to wzielo no i oczywiscie pomoze! logi OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 To nie jedyna infekcja. Jest jeszcze dodatkowa uruchamiana przez Harmonogram, która odpowiada za przekierowanie wyszukiwań Google. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\GamerX\wgsdgsdgdsgsd.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\GamerX\Menu Start\Programy\Autostart\runctf.lnk C:\WINDOWS\System32\vdmredirk.dll C:\WINDOWS\tasks\Baukd.job :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL O4 - HKLM..\Run: [TPSA_McciTrayApp] "C:\Program Files\TPSA\pcTrayApp.exe" File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\GamerX\Pulpit\TubeHunter_Ultra_4.0.1423_Incl._Keygen\sterownik.sys -- (sterownik) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS -- (MRENDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS -- (MREMPR5) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdźrestart systemu. 2. Przez Panel sterowania odinstaluj przestarzały soft Kerio Personal Firewall 2.1.5. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. jak ktos moze wie to niech napisze z czego sie to wzielo no i oczywiscie pomoze! Nawigacja po zainfekowanej stronie www (może to być strona prawidłowa, która została zainfekowana przez luki serwera), klik w reklamę omyłkowo etc. etc. Podrzucam też dyskusję: KLIK. a mam chyba najlepszy firewall kerio Jesteś w średniowieczu. Na Boga, zapora sprzed 10 lat! Datowanie komponentów na rok 2003, zapora dziurawa i nieaktualizowa (Kerio już nie istnieje w wersji którą dysponujesz). I Ty tym chcesz wojować? Czasy się bardzo zmieniły. Nie masz żadnego oprogramowania zabezpieczającego innej natury (antywirus / antymalware z systemem prewencji / HIPS, wirtualne środowiska). . Odnośnik do komentarza
hiro12 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 otoz runctf jest dalej w autostarcie po uruchomieniu kompa wyskakuje komunikat rundull brak pliku wgsdsdsdsdsd co do kerio to lepszego nieznam z mozliwoscia tak szybkiego zarzadzania polaczeniami. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Błąd stąd, że skrypt się nie wykonał w całości i skrót infekcji nadal na dysku. Poprawka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\GamerX\Menu Start\Programy\Autostart\runctf.lnk Klik w Wykonaj skrypt. 2. Przedstaw log z usuwania, tyle wystarczy, nowy skan OTL nie jest potrzebny. A że log krótki = wklej wprost w poście. co do kerio to lepszego nieznam z mozliwoscia tak szybkiego zarzadzania polaczeniami. Może i z poziomu "user interface" nie znasz, ale to jest obecnie bardzo kiepskie zabezpieczenie. Jak mówię: sprzed 10 lat. Strach stosować. Pierwsza lepsza nowoczesna infekcja i tyle widzieliśmy Kerio (nokaut sterowników). Należy zapomnieć o wszystkich zaporach, które są od lat nieaktualizowane. To złudzenie bezpieczeństwa. W Twoim logu nadal widzę uruchomione Kerio, czy to stan po "deinstalacji"? Co się aktualnie liczy z darmowych np.: PrivateFirewall, Online Armor Free, COMODO Firewall (wszystkie mają moduł HIPS). Ale to i tak nie załatwia wszystkiego, zapora to za mało na dzień dzisiejszy. . Odnośnik do komentarza
hiro12 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 ========== FILES ========== C:\Documents and Settings\GamerX\Menu Start\Programy\Autostart\runctf.lnk moved successfully. OTL by OldTimer - Version 3.2.69.0 log created on 01102013_163928 co do kerio to nie deinstaluje bo to 1 narzedzie ktore znam przed laczeniem sie programow z kompa z siecia i na odwrot ale mam w planach przesiadke na komodo . a jeszce tam wczesniej pisales cos czy mam malware spyware anti vira odpowiadam jedyna ochrona mojego kompa jest kerio i wlaczona ochrona systemoowa. nie mam tego swinstwa WIELKIE DZIEKI w planach mialem format na jutro zaplanowany ale sie udalo , tak na koniec jak bys mogl zobaczyc moje screeny z procesow uruchomionych czy sa dobre te wlaczone czy nie. aha tam u innych pisales aby wlaczyli sprzatanie w otl czy ja tez mam tak zrobic? Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. co do kerio to nie deinstaluje bo to 1 narzedzie ktore znam przed laczeniem sie programow z kompa z siecia i na odwrot ale mam w planach przesiadke na komodo . Nie rozumiem tego zdania, do czego zmierzasz. A przesiadka = nie zwlekaj. a jeszce tam wczesniej pisales cos czy mam malware spyware anti vira odpowiadam jedyna ochrona mojego kompa jest kerio i wlaczona ochrona systemoowa. Wiem o tym co masz obecnie, przecież w logu widać... Ja mówię, że firewall to za mało i powinieneś uzupełnić o osłonę rezydentną zdolną wykrywać zagrożenia, które nie są w sferze tematycznej zapory. na koniec jak bys mogl zobaczyc moje screeny z procesow uruchomionych czy sa dobre te wlaczone czy nie Apropos "mógł" = jestem kobietą. Co do msconfig: obrazki nie są mi potrzebne, przecież w raporcie OTL mam zestaw startu i to bardziej szczegółowy (również usługi i sterowniki). Tam nie ma już nic podejrzanego. Jeden wyjątek: nie powiedziałeś, że już wyłączałeś wcześniej skrót infekcji runctf.lnk, czyli w rejestrze jest jeszcze klucz wpisu wyłączonego do usunięcia. Adresuję to poniżej w punkcie 1. OTL tego nie pokazuje domyślnie, bo wpis nie jest ładowany (aka mało istotny, poziom "kosmetyczny"). Tak swoją drogą to nie dałeś raportu z GMER, o który prosiłam. W kwestii czyszczenia = akcja wykonana, czyli możemy kończyć: 1. Usuń ten wpis wyłączony w msconfig. Start > Uruchom >regedit i wkluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder Skasuj wartość kierującą do runctf.lnk. 2. W OTL uruchom Sprzątanie, które skasuje kwarantannę z trojanami i sam OTL jako taki. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji poniżej wyliczone programy, są nowsze wersje: KLIK ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () Ten stary Firefox to kolejny przykład na luki. Wersja nierozwijana, niewspierana i żadne łaty bezpieczeństwa nie są już dostarczane. 5. O oprogramowaniu zabezpieczającym już mówiłam. Zainteresuj się jeszcze środowiskami typu piaskownice np. SandBoxie, GeSWall Freeware. . Odnośnik do komentarza
hiro12 Opublikowano 11 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Jeszcze raz wielkie dzieki za pomoc wszystko chodzi super. Tylko mam takie pytanie czy do win7 te firewalle ktore wymienilas sie nadaja bo slyszalem ze 7 posiada wlasna dobra zapore, ale tez wiem ze dodawanie wyjatkow w niej to koszmar a ja wolalbym by tak jak w kerio 1 kliknieciem mogl zablokowac program, czy usluge. Odnośnik do komentarza
picasso Opublikowano 11 Stycznia 2013 Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 Tylko mam takie pytanie czy do win7 te firewalle ktore wymienilas sie nadaja bo slyszalem ze 7 posiada wlasna dobra zapore, ale tez wiem ze dodawanie wyjatkow w niej to koszmar Tak, nadają się dla Windows 7. A zapora wbudowana w system, choć bardziej rozwinięta niż w XP (i jest dwukierunkowa), nadal dość słaba i mało odporna. Zresztą pierwsze co robi konkretna infekcja to ... usunięcie lub wyłączenie zapory wbudowanej w system. Ostatnio na forum grasuje rootkit ZeroAccess, który bez trudu uziemia cały układ (kompletna kasacja usług Zapory z rejestru) i tyleśmy ją widzieli. . Odnośnik do komentarza
hiro12 Opublikowano 11 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2013 to zapore mam juz wybrana ale co do av to sie bardzo zwiodlem nawet wczoraj po aktualizacji najnowszej bazy avira czy avast nie potrafil mi wykryc ani usunac tego dziadostwa. wiec stawiam tylko na fW. Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2013 Zgłoś Udostępnij Opublikowano 12 Stycznia 2013 Z firewallem może być niestety podobnie. Zainteresuj się jeszcze wirtualizacją / sandboxami: SandBoxie, GeSWall Freeware. . Odnośnik do komentarza
hiro12 Opublikowano 13 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2013 a ty czym chronisz kompa? ja testuje wlasnie sandboxie Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 hiro12, duplikat postów niemile widziany. Ja wiem gdzie nie ma odpowiedzi, więc nie odświeżaj w taki sposób. a ty czym chronisz kompa? Ja mam specyficzne środowisko, którym nie należy się wzorować. Prowadzę różne eksperymenty z malware, trenując metody usuwania. Nie mam klasycznego układu "ochronnego", działam w wirtualnych maszynach. . Odnośnik do komentarza
Rekomendowane odpowiedzi