Comodo blokuje Skype - Czy coś się dzieje u mnie?

[ssdd]

Witam,

mam pewien problem a mianowicie - ostatnio skanowałem MalwareBytes i wykryło mi 3 trojany (na innym forum podali mi skrypt do OTL'a i wszystko było w porządku aż do dziś). Mianowicie zacząłem mieć problemy ze Skypem który nonstop się włamuje do ctfmon lub innych albo chce bezpośredni dostęp do klawiatury. Oczywiście skończyło się na tym że Comodo zablokował jednak Skype w codziennym funkcjonowaniu jest mi bardzo potrzebny i nie wiem co robić

 

Dołączam logi z ComboFixa który usunął 5 plików (ponadto nie mogę usunąć pliku BackEnv który jest pusty - pisze że odmowa dostępu) Czy warto robić format ?

 

P.S Dodaję też logi z OTL'a i Extrasa

ComboFix.txt

Extras.Txt

OTL.Txt

[picasso]

Po pierwsze: uruchamianie ComboFix na własną rękę to igranie z ogniem i nie powinieneś tego robić, jeśli nie umiesz rozwiązać problemu samodzielnie (KLIK) i program użyty tu niepotrzebnie (brak pozytywnych efektów). Po drugie: niepełny zestaw logów, gdyż zabrakło obowiązkowego GMER. Po trzecie: system w ogóle nie przygotowany do uruchomienia ani ComboFix ani GMER, tzn. jest czynny Alcohol i jego sterownik (KLIK):

 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-09-25 436792]

 

To co otrzymałam nie pokazuje czynnej infekcji, widzę tu coś jakby odpadki po rootkicie (w następnym poście podam instrukcje usuwające):

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7212:TCP"= 7212:TCP:*:Disabled:gsijq
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
gxxktec

Co nasuwa skojarzenia z tym, że nie wyczyszczono wtedy do końca:

 

ostatnio skanowałem MalwareBytes i wykryło mi 3 trojany (na innym forum podali mi skrypt do OTL'a i wszystko było w porządku aż do dziś)

 

Proszę mi pokazać zarówno ten raport z wtedy, jak i temat gdzie podawano skrypt. Ocenię poziom zagrożenia i stopień zaawansowania udzielających pomocy.

 

 

Mianowicie zacząłem mieć problemy ze Skypem który nonstop się włamuje do ctfmon lub innych albo chce bezpośredni dostęp do klawiatury. Oczywiście skończyło się na tym że Comodo zablokował jednak Skype w codziennym funkcjonowaniu jest mi bardzo potrzebny i nie wiem co robić

 

To o niczym jeszcze nie świadczy. Równie dobrze to może być przeczulenie ustawień Comodo i nieprawidłowa blokada programu. Pokaż precyzyjnie raporty z Comodo przedstawiające te blokady. A tu z forum Comodo przykładowy problem na linii SkypeDefense+: KLIK.

Skoro jesteśmy przy Comodo, to uwaga spoza: COMODO GeekBuddy to nie jest darmowy składnik tylko trial i za jakiś czas poczęstuje Cię komunikat o potrzebie zakupu. Jeśli ten komponent instalowałeś w sposób nieświadomy, nie przykładając wagi do tego co tak naprawdę wprowadzasz w system, odinstaluj go.

 

 

ComboFixa który usunął 5 plików

 

Tylko, że tu są wątpliwości, czy ocenił prawidłowo pliki i czy to naprawdę była infekcja. Co było kasowane:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0415.exe
c:\windows\system32\sstray.exe
c:\windows\usgwmt
D:\install.exe
D:\RealPlayer.exe
 
- - - - USUNIĘTO PUSTE WPISY - - - -
.
HKLM-Run-nForce Tray Options - sstray.exe

• Wyniki z dysku D: ComboFix ma rutynę kasowania plików wykonywalnych leżących w root dysków. Rutyna ta jest omylna, tym sposobem ComboFix potrafi usunąć instalatory programów / czy programy jednoplikowe, które są tak położone. I z wyników na to wygląda, że został usunięty plik instalatora RealPlayer oraz jakiś drugi (tylko nie wiem od czego).
  
• Folder c:\windows\usgwmt wprawdzie jest w różnych źródłach klasyfikowany jako malware, tylko że ja widzę iż to wchodzi także jako prawidłowy składnik trainerów gier. Materiały: KLIK / KLIK / KLIK. Poza tym tu i tak bez znaczenia wynik, wedle spisu usuwany folder był pusty, tzn. nie widać że był w nim plik BReWErS.dll, ComboFix powinien pokazać co usuwał z folderu, jeśli był on niepusty.
  
• Plik IsUn0415.exe to mógł być także niewinny deinstalator którejś aplikacji, przykład loga gdzie to widać: KLIK.
  
• Plik sstray.exe jak widać uruchamiał się jako "nForce Tray Options", bo też i ten wpis powinien pochodzić ze sterowników nVidia (KLIK) .... Niejasne dlaczego plik usunięty.
  

Jeśli próbowałeś usuwać folder Qoobox (co sugeruje poniższy cytat), to pozamiatane (kwarantanna poleciała do nieba), ani nie można przesłać plików do analizy, ani ich przywrócić. Wszystkie wyniki poza sstray.exe mało istotne, ale odtworzenie sstray.exe to już inna historia.

 

 

(ponadto nie mogę usunąć pliku BackEnv który jest pusty - pisze że odmowa dostępu)

 

Tak, bo do licha nieprawidłowo usuwasz ComboFix. Nie wystarczy usunąć Qoobox, by naprawdę usunąć program. Zostają inne ślady w systemie i komponenty ekstraktowane z ComboFix. Jeśli już skasowałeś ComboFix, pobierz go ponownie w to samo miejsce gdzie był uprzednio (katalog Dokumentów) i w Start > Uruchom > wklej komendę:

 

"c:\documents and settings\Pawel\Moje dokumenty\ComboFix.exe" /uninstall

 

Ta operacja jest jedyną prawidłową metodą deinstalacji ComboFix i po niej nie ma niespodzianek z zablokowanym BackEnv.

 

 

Czy warto robić format ?

 

Żarciki się Ciebie trzymają.

 

 

 

.

[ssdd]

Dodaję log z GMERa wykonany dokładnie tego samego dnia - nie mogłem przesłać bo wtedy też wyjechałem na tydzień

 

Dodam też że combofixa zdeinstalowałem bo doszło do tego że nawet przez internet połączyć się nie mogłem

GMER OBA DYSKI.txt

[picasso]

W logu z GMER nie ma żadnych znaków czynności infekcyjnych (głównie aktywność hooków COMODO). Skan "obu dysków" nie był potrzebny.

 

Pytam ponownie:

 

Proszę mi pokazać zarówno ten raport z wtedy, jak i temat gdzie podawano skrypt. Ocenię poziom zagrożenia i stopień zaawansowania udzielających pomocy.

 

(...)

 

Pokaż precyzyjnie raporty z Comodo przedstawiające te blokady.

 

 

Dodam też że combofixa zdeinstalowałem bo doszło do tego że nawet przez internet połączyć się nie mogłem

 

Objaśnij. Deinstalacja ComboFix nie powinna mieć związku z "niemożnością połączenia przez internet". W raportach jest za to obiekt związany z układem sieciowym = COMODO.

 

 

.

[ssdd]

Jeszcze raz najmocniej przepraszam - popełniłem błąd (ach te wakacje) i miałem napisać COMODO

 

A tu temat http://forum.cdaction.pl/index.php?act=findpost&pid=2224406 (tam też mówię o tychże blokadach COMODO )

 

A zapomniałbym - miała Pani mi podać instrukcje odnośnie tego otwartego portu (tylko przypominam nie ponaglam )

[picasso]

Temat na tamtym forum: Załączników nie mogę obejrzeć, bo nie mam tam konta, czyli nie wiem jak wyglądały tamte logi i raport MBAM (wygrzeb ten raport z MBAM, co to było). Mogę ocenić tylko podany skrypt do OTL (co jest oceną ściśle na oko, bo nie widzę oryginalnych raportów). W skrypcie owym nie zostało zadane nic szczególnego do usuwania, a jedynym wpisem od infekcji było mapowanie MountPoints2 powstałe po podpięciu zainfekowanego USB (i nawet nie wiem czy katalog RECYCLER, czyli Kosz, miał obiekty infekcji w sobie). Ale usuwanie tego to błąd analizującego:

 

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

Ten wpis jest w 100% poprawny. To tylko OTL widzi "not found". Trzeba to rekonstruować.

 

Temat tu: czyli jakie aktualnie problemy są (bądź też już ich nie ma)? Czy odinstalowałeś w prawidłowy sposób ComboFix? I podaję to obiecane mikro sprzątanie + poprawka po błędzie na tamtym forum.

 

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
  00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
  6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
  00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
  53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
  00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
  76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
  49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
  00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
  76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
  00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
  73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
  00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
  00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
  00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
  74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
  00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
  63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
  00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
  4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
  00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
  00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
  00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
  32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
  00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
  00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
  00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\
  61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\
  00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\
  65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\
  00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\
  73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\
  00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"7212:TCP"=-

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Przedstaw nowe logi z OTL.

 

 

 

.

[ssdd]

Odnośnie tej infekcji to wszystko skanowałem (czyt. pamięć telefonu i zewnętrzną i nic nie wykryło jednak mój brat mógł coś podpinać a nie mogę jego pendrive'a ani dysku sprawdzić ponieważ wyjechał i zabrał je ze sobą

[ssdd]

Dodaję logi dopiero teraz gdyż nie miałem dostępu do internetu do teraz (burza a później dostawca coś pokombinował).

 

A odnośnie błędów to jak na razie żadnych nie odnotowałem (jak do czasu fixa miałem czasami lekkie przesuwanie do góry czasami ale to może moje palce były )

mbam_log_2011_07_06__12_36_31_.txt

OTL.Txt

Extras.Txt

[picasso]

W raportach ogólnie nie notuję nic podejrzanego. Na teraz nie mam tu nic więcej do roboty na temat hasła "infekcja" i wysuwam tezę, że wolny start systemu (na który narzekałeś w pierwszym temacie) to możliwe że sprawka Comodo, podobnie jak jego przeczulenie na temat komunikacji Skype.

 

Odnośnie tej infekcji to wszystko skanowałem (czyt. pamięć telefonu i zewnętrzną i nic nie wykryło jednak mój brat mógł coś podpinać a nie mogę jego pendrive'a ani dysku sprawdzić ponieważ wyjechał i zabrał je ze sobą

 

To jak wróci zgłoś się tu, to będziemy oglądać raport z jego urządzeń.

 

 

Komentując dane:

 

1. Mówiłeś o (już zażegnanym) problemie łączenia z internetem. Widzę to w logu OTL Extras w postaci błędów:

 

Error - 2011-07-20 15:39:21 | Computer Name = PAWEL-E39A0C6A8 | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DHCP zależy od usługi NetBios przez TCP/IP, której nie
 można uruchomić z powodu następującego błędu:   %%1058
 
Error - 2011-07-20 15:39:21 | Computer Name = PAWEL-E39A0C6A8 | Source = Service Control Manager | ID = 7001
Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi NetBios przez TCP/IP,
 której nie można uruchomić z powodu następującego błędu:   %%1058

Na przyszłość: Rozwiązanie tego było proste. Wystarczyło w owym momencie tylko włączyć sterownik NetBios przez TCP/IP via Menedżer urządzeń (pokazuje się po włączeniu w menu Widok pokazywania ukrytych, w sekcji Sterowniki niezgodne z Plug and Play).

 

2. Te stare wyniki MBAM: znalezisko w rejestrze pod hasłem PUM.Hijack.System.Hidden odpowiada niemożliwości zaznaczenia pokazywania ukrytych plików w opcjach Widoku. Tę modyfikację prowadzą infekcje przenoszone via urządzenia USB. Natomiast te dwa "zainfekowane pliki" to mam silne wątpliwości czy to było rzeczywiste zagrożenie.

 

3. Mój fiks się prawidłowo wykonał: wartość BootExecute wróciła na miejsce, podejrzana autoryzacja w zaporze Windows zniknęła i nie wątpię że (niewidoczne na standardowych warunkach) NetSvcs także jest poprawione. Dokasuj te foldery z dysku (pierwszy to kopia rejestru zrobiona przez ComboFix, reszta oczywista):

 

[2011-07-12 21:36:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011-07-07 16:50:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Pawel\DoctorWeb
[2011-07-06 17:07:21 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dokumenty\COMODO
[2011-07-03 16:53:26 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Agnitum Shared
[2011-07-15 21:00:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Comodo

4. Wykonaj sobie jeszcze drobne aktualizacje oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 24
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

- Podstawy aktualizacyjne (Java / Adobe i OpenOffice.org): INSTRUKCJE.

- Proponuję też rozważyć wymianę Nowego Gadu czymś mniej głodnym. W temacie Darmowe komunikatory są opisane liczące się na dzień dzisiejszy alternatywy obsługujące sieć Gadu: AQQ (nie spełnia warunku braku reklam), Kadu, WTW i Miranda. Polecam WTW: dobra obsługa cech GG10, import archiwum widzianej tu wersji Gadu, zero reklam i portable.

 

 

 

.

[ssdd]

Mam jeszcze jeden problem - jak wklejam Find Flash Player to mi pisze:

 

Your Player Version: WIN 10,2,159,1

Debug Player: No

 

oraz jak instaluję Adobe Reader to nie mogę zainstalować (po jakimś czasie pisze mi że nie można zainstalować - zatrzymuje się na 73%)

 

Również po kliknięciu w instalator Adobe Readera X i gdy następowała instalacja nagle ikonka mi zniknęła (to normalne ? )

 

Tak samo jak mam System Volume Information na dysku D to mi pisze - odmowa dostępu

[picasso]

Mam jeszcze jeden problem - jak wklejam Find Flash Player to mi pisze:

 

Your Player Version: WIN 10,2,159,1

 

W której przeglądarce stronę otworzyłeś? A tu podany wynik mówi, że wtyczka Flash w tejże przeglądarce nie jest najnowsza. Podałam już link do pobierania najnowszego Flash, ową stronę masz uruchomić w przeglądarce w której wykryto zdezaktualizowany Flash. Instalatory Flash są różne dla Opera i Internet Explorer.

 

 

oraz jak instaluję Adobe Reader to nie mogę zainstalować (po jakimś czasie pisze mi że nie można zainstalować - zatrzymuje się na 73%)

 

Czy poprzedni Adobe Reader usunąłeś z systemu przed instalacją nowego?

 

 

Również po kliknięciu w instalator Adobe Readera X i gdy następowała instalacja nagle ikonka mi zniknęła (to normalne ? )

 

Jaka ikonka / gdzie?

 

 

 

 

.

[ssdd]

Ikonka na pulpicie - nagle podczas rozpoczęcia instalacji mi zniknęła

[picasso]

Ikonka na pulpicie - nagle podczas rozpoczęcia instalacji mi zniknęła

 

Nie wiem czy to normalne, nie mogę tego sprawdzić teraz. Ale ponawiam pytanie: czy poprzedni Adobe deinstalowałeś przed uruchomieniem nowego instalatora? I czy poradziłeś sobie już z aktualizacją wtyczki Flash?

 

 

EDIT:

 

Nie zauważyłam tej edycji:

 

 

Tak samo jak mam System Volume Information na dysku D to mi pisze - odmowa dostępu

 

Ale to normalne. To ukryty katalog Przywracania systemu (tworzony na każdej partycji) i domyślnie na systemie plików NTFS dostęp doń dla Administratorów systemu jest odmówiony. Te foldery czyści się w taki sposób (a nie ręcznie): KLIK.

 

 

 

.

[ssdd]

Jeszcze nie a poprzedniego nie deinstalowałem - jednak przypominam sobie że mój brat kiedyś jak instalował też mu się tak zdarzyło tak więc jest w porządku A za chwilę będę deinstalował Flasha i Adobe'a

 

Zaś po wstukaniu w IE find flash player wyskoczyło mi

 

Your Flash Player : WIN 10,1,102,64

Debug Player: NO

 

A adobe flash player mam tylko Adobe Flash Player Plugin i Adobe flash Player ActiveX (mam też jakiś Adobe AIR)

 

I dla mnie to trochę dziwne że Adobe Flash Player się zainstalował pomyślnie a Adobe Reader nie Może restart coś wskóra

 

Dodaję coś co mnie niepokoi otóż - restart wskórał tylko tyle że instalacja doszła do 96 %, później instalator się włączył sam i podczas instalacji mi pisało że brakuje pliku Data1.cab i opis błędu w załączniku

Edytowane 21 Lipca 2011 przez picasso
Posty połączone. //picasso

[picasso]

Proszę edytuj posty, jeśli nikt jeszcze nie odpisał pod Tobą. Posty sklejam.

 

 

Zaś po wstukaniu w IE find flash player wyskoczyło mi

 

Your Flash Player : WIN 10,1,102,64

Debug Player: NO

 

Czy zaktualizowałeś Flash także w IE? Jak mówiłam, strona z pobieraniem najnowszej wersji musi być otworzona dwa razy, po kolei w Opera i Internet Explorer, gdyż instalatory wtyczek są inne.

 

 

Dodaję coś co mnie niepokoi otóż - restart wskórał tylko tyle że instalacja doszła do 96 %, później instalator się włączył sam i podczas instalacji mi pisało że brakuje pliku Data1.cab i opis błędu w załączniku

 

Nie wydaje mi się, że to jest problem w rozumieniu czegoś poważnego w systemie. A sam błąd nasuwa mi skojarzenia, że może niekompletnie instalator został pobrany .... Wyłącz strażnik Avira i ponów pobieranie pliku instalatora od początku.

 

 

 

.

[ssdd]

Dobra - znalazłem plik 10.1 bez pobierania (wystarczyło przejść na górę i wybrać inne niż to co podałaś - inną wersję). Teraz wszystko ok jest - wszystko zainstalowane i zaaktualizowane.

 

P.S Chodzi o link pod nazwą - do you have a diffrent language or operating system

 

I mam jedno pytanie - co oznacza ten Debug Player ?

[picasso]

Dobra - znalazłem plik 10.1 bez pobierania (wystarczyło przejść na górę i wybrać inne niż to co podałaś - inną wersję).

 

Przyznam, słowa "bez pobierania" zupełnie nie rozumiem. Owszem, strona otworzona w Operze a strona otworzona w Internet Explorer wykazują różnicę i o tym mowa była tu: KLIK. Czyli zakładając, że pobierałeś przez Operę (Operze nie są podawane żadne oferty dodatkowe), to wychodzi na jedno i to samo czy klik w przycisk od razu (zakładam, że strona wykonała detekcję polskiego XP) czy z menu rozwijanego wybierasz "Inne języki i systemy" i wskazujesz dokładnie ten sam polski XP. I jeśli szło to przez Operę, to ja prędzej przypuszczam, że poprzednio pobrany instalator był źle pobrany.

 

 

I mam jedno pytanie - co oznacza ten Debug Player ?

 

To jest alternatywna developerska wersja Flash. Normalnie w systemie instaluje się tradycyjną wersję.

 

 

 

.

[ssdd]

Aha, dziękuję za udzieloną pomoc Do zamknięcia

[picasso]

Temat zostawię otwarty ze względu na ten wątek:

 

Odnośnie tej infekcji to wszystko skanowałem (czyt. pamięć telefonu i zewnętrzną i nic nie wykryło jednak mój brat mógł coś podpinać a nie mogę jego pendrive'a ani dysku sprawdzić ponieważ wyjechał i zabrał je ze sobą

 

To jak wróci zgłoś się tu, to będziemy oglądać raport z jego urządzeń.

 

No chyba, że się już tu wcale nie zgłosisz, to do miesiąca temat zostanie zamknięty.

 

 

 

.

[ssdd]

No raczej nie bo zapomniałem dodać że brat wyjechał do listopada lub grudnia za Ocean tak więc wniosek nasuwa się sam Można tymczasowo zamknąć

[ssdd]

Witam, dziś u mnie pojawił się tajemniczy proces pod nazwą INSTALLATION.EXE - nie wiem za co on odpowiadał jednak dał się zamknąć. Czy możliwe że jest u mnie jakiś wirus znowu ? Bo tylko wsadzałem płytkę z oryginalną grą i tyle (nie wiem co się dzieje z moją nagrywarką - wcześniej szło wszystko normalnie a po usunięciu sptd nie ma autorunu).

Również zauważyłem że gdy włączam komputer to tak jakby Avira mi się sama aktualizowała tyle że bez internetu ! (dość często jest też że na starcie mi pisze - żadna zapora nie jest włączona)

Poza tym nie wiem też o co chodzi z folderem FAILSAFE w Avirze - co on ma za zadanie itd. ?

Dodam też że wcześnie kamerka działa wyłączona (system jej nie wykrywał) a teraz po zrobieniu logów znowu widnieje m.in w skypie

Dodam też że nie wiem czemu ale na dysku c pojawił mi się plik PA207.DAT

Daję log z OTL'a i GMERa

 

P.S Sorki że tak wieczorową porą ale sami pewnie wiecie jak długo się log z GMERa robi

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Twój opis problemów jest daleki od "infekcji", a w logach brak takowych śladów. Ale temat doklejam do poprzedniego, bo przynajmniej jeden z "problemów" to konsekwencja akcji w poprzednim temacie, a także wcześniej przeze mnie zakreślone błędy wcale nie zanikły:

 

 

Error - 2011-08-08 04:59:21 | Computer Name = PAWEL-E39A0C6A8 | Source = Service Control Manager | ID = 7001
Description = Usługa Klient DHCP zależy od usługi NetBios przez TCP/IP, której nie
 można uruchomić z powodu następującego błędu:   %%1058
 
Error - 2011-08-08 04:59:21 | Computer Name = PAWEL-E39A0C6A8 | Source = Service Control Manager | ID = 7001
Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi NetBios przez TCP/IP,
 której nie można uruchomić z powodu następującego błędu:   %%1058

Czy Ty przypadkiem nie stosowałeś Windows Worms Doors Cleaner? Są błędy w Dzienniku, więc włącz NetBIOS. Start > Uruchom > devmgmt.msc i w menu Widok włącz pokazywanie ukrytych. Ujawni się lista Sterowników niezgodnych z Plug and Play, na której masz wyszukać i dwukliknąć w NetBios przez TCP/IP, wejść do karty Sterownik i Typ startowy ustawić na System + sterownik uruchomić przyciskiem.

 

 

Również zauważyłem że gdy włączam komputer to tak jakby Avira mi się sama aktualizowała tyle że bez internetu ! (dość często jest też że na starcie mi pisze - żadna zapora nie jest włączona)

Poza tym nie wiem też o co chodzi z folderem FAILSAFE w Avirze - co on ma za zadanie itd. ?

 

Nie mam pod ręką Aviry, więc nie mogę sprawdzić opcji, ale z tą aktualizacją na oko nic dziwnego nie widzę, tzn. logicznym mi się wydaje, że Avira skonfigurowana do aktualizacji zawsze powinna to próbować robić, niezależnie od tego czy jest połączenie z siecią .... Komunikat o "wyłączonej zaporze" = gdzie?

Failsafe to folder kopii zapasowych Avira, umożliwiający przywrócenie statusu antywirusa / jego plików w razie problemów.

 

 

dziś u mnie pojawił się tajemniczy proces pod nazwą INSTALLATION.EXE - nie wiem za co on odpowiadał jednak dał się zamknąć. Czy możliwe że jest u mnie jakiś wirus znowu ? Bo tylko wsadzałem płytkę z oryginalną grą i tyle

 

Toteż nasuwa się pytanie, czy przypadkiem ów INSTALLATION.EXE (wg nazwy wyglądający na instalator) to nie jest proces pochodzący właśnie z płyty z grą ...

 

 

(nie wiem co się dzieje z moją nagrywarką - wcześniej szło wszystko normalnie a po usunięciu sptd nie ma autorunu)

 

Usunięcie SPTD bez związku, ten proces nie dotyka w ogóle Autoodtwarzania. Musiałeś uruchamiać coś innego, co wyłączyło Autoodtwarzanie, bo w logu są polisy równoznaczne z wyłączeniem Autoodtwarzania dla wszystkich dysków:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

I wiadomo co to było = ComboFix. Uruchomienie ComboFix jest równoznaczne z zablokowaniem Autoodtwarzania, zawsze to robi, niezależnie od tego czy coś jest usuwane czy też nie. Korektę poczyni Autoplay Repair Wizard.

 

 

Dodam też że nie wiem czemu ale na dysku c pojawił mi się plik PA207.DAT

 

Plik Pixel Art: KLIK. Niewątpliwie tu jest w systemie:

 

DRV - [2006-11-20 08:48:40 | 000,506,112 | ---- | M] (PixArt Imaging Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PFC027.SYS -- (PAC207)
 
O4 - HKLM..\Run: [Monitor] C:\WINDOWS\PixArt\Pac207\Monitor.exe (PixArt Imaging Incorporation)

 

Dodam też że wcześnie kamerka działa wyłączona (system jej nie wykrywał) a teraz po zrobieniu logów znowu widnieje m.in w skypie

 

Nie rozumiem w czym tu jest problem?

 

 

 

.

[ssdd]

Komunikat o wyłączonej zaporze zazwyczaj znajduje się w dymku Alerty Zabezpieczeń systemu Windows (taka tarcza mała).

 

A odnośnie kamerki to chodzi o to że ma tzw. kaprysy (raz się włącza a raz wyłącza)

[picasso]

Włączyłeś NetBIOS i Autoodtwarzanie?

 

 

Komunikat o wyłączonej zaporze zazwyczaj znajduje się w dymku Alerty Zabezpieczeń systemu Windows (taka tarcza mała).

 

Kolejny skutek uruchamiania ComboFix. ComboFix zawsze resetuje wszystkie ustawienia zabezpieczeń do poziomu domyślnego, co oznacza że przywraca także alerty Centrum zabezpieczeń. Zapora przypuszczanie została wyłączona dużo wcześniej (choćby przez goszczący tu poprzednio COMODO, gdyż dwie zapory to przesada i programy zabezpieczające dbają o deaktywację tego w Windowsie), tylko nie były aktywne zgłoszenia Centrum. Po użyciu ComboFix alerty atakują od nowa. Jeśli nie chcesz ich oglądać, jedno z dwóch:

 

• Całkowicie wyłączyć powiadomienia Centrum, jak opisane w tym tutorialu: KLIK (w sekcji Wyłączenie wbudowanego firewalla i Centrum Zabezpieczeń)
  
• Nie wyłączać powiadomień, ale za to przywrócić zaporę Windows.
  

Tak przy okazji to masz tu całkiem niezły arsenał w temacie co robi ComboFix nie dając Ci wyboru w tej kwestii. Jego używanie w domu to nie ten kierunek.

 

 

A odnośnie kamerki to chodzi o to że ma tzw. kaprysy (raz się włącza a raz wyłącza)

 

Mam za mało danych, by to zdiagnozować. Trudno mi nawet określić czy to problem poziomu software czy hardware.

 

 

 

.

[ssdd]

Tak włączyłem NetBios i AutoOdtwarzanie (widzę że to jednak było przyczyną wyłączania się kamerki bo odżyła) - teraz jest już wszystko w porządku

 

Poza tym jest ona dość wątpliwej i mało znanej firmy Canyon (china) więc za niedługo będę kupować jakąś lepszą kamerkę