LeonZawodowiec Opublikowano 18 Lutego 2013 Zgłoś Udostępnij Opublikowano 18 Lutego 2013 Witam, prosiłbym o przeanalizowanie logów. Wczoraj moje konto na poczcie wp zostało zablokowane a Specjalista ds. obsługi klienta napisał mi, że na moim komputerze jest wirus, który przechwycił hasło do skrzynki pocztowej oraz prawdopodobnie rozsyła spam. Tak więc proszę o pomoc. :| Zauważyłem również aktywność pliku .services.exe, ESET wykrywa jego działania: "2013-02-18 14:48:30 C:\Windows\System32\services.exe Zmiana ustawień uruchamiania HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\TrustedInstaller\Start dozwolone Tryb automatyczny " "2013-02-18 14:27:59 C:\Windows\System32\services.exe Zmiana ustawień uruchamiania HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\tunnel\Start dozwolone Tryb automatyczny " Wcześniej takiego czegoś nie było, a na dodatek niczego nie instalowałem w tamtym momencie. W ogóle jakoś od 1-2 miesiąca komputer znacznie zmniejszył swoją wydajność.. Logi z OTL w załączniku. Jak będzie trzeba to dołączę jeszcze GMER'a. Pozdrawiam. #Edit Aby później nie tracić czasu załączam jeszcze log z GMER'a. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Wczoraj moje konto na poczcie wp zostało zablokowane a Specjalista ds. obsługi klienta napisał mi, że na moim komputerze jest wirus, który przechwycił hasło do skrzynki pocztowej oraz prawdopodobnie rozsyła spam. Cóż, ja tu nie widzę żadnych oznak infekcji. Jedyne co się kojarzy z zagadnieniem, to te pliki, nie wiem co to jest, choć formuła sugeruje odwrotność podejrzeń (pliki związane z szyfrowaniem PGP): [2012-04-08 15:48:16 | 000,000,270 | ---- | C] () -- C:\Users\ZawodowieC\paw.2@wp.pl (0x5B0FC92E) rev.asc [2012-04-08 15:22:23 | 000,000,270 | ---- | C] () -- C:\Users\ZawodowieC\paw.2@wp.pl (0xB35F5A72) rev.asc [2012-04-08 02:33:01 | 000,005,977 | ---- | C] () -- C:\Users\ZawodowieC\secret-key-BEF6EFA9.asc [2012-04-08 02:26:09 | 000,005,977 | ---- | C] () -- C:\Users\ZawodowieC\secret-key-1F8B4C0D.asc Czy to jedyny komputer z poziomu którego logowałeś się do poczty? Zauważyłem również aktywność pliku .services.exe, ESET wykrywa jego działania: "2013-02-18 14:48:30 C:\Windows\System32\services.exe Zmiana ustawień uruchamiania HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\TrustedInstaller\Start dozwolone Tryb automatyczny " "2013-02-18 14:27:59 C:\Windows\System32\services.exe Zmiana ustawień uruchamiania HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\tunnel\Start dozwolone Tryb automatyczny " Wcześniej takiego czegoś nie było, a na dodatek niczego nie instalowałem w tamtym momencie. Pierwszy klucz to kluczowa usługa systemu związana z aktualizacjami, drugi zaś skorelowany z siecią. Na razie nic dziwnego tu nie widzę, przykładowo tymczasowa zmiana Typu uruchomienia TrustedInstaller to planowana w systemie procedura. W ogóle jakoś od 1-2 miesiąca komputer znacznie zmniejszył swoją wydajność.. A jesteś pewny, że to nie ESET Smart Security? . Odnośnik do komentarza
LeonZawodowiec Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Te pliki to klucze PGP, używam Thunderbirda w którym mam zapamiętane hasła do wszystkich moich e-maili (Znacznie ułatwia pracę). Jeżeli jestem poza domem i muszę ściągnąć jakiś plik to używam do tego telefonu. ESET'a mam od 2 lat i jak do tej pory nie sprawiał kłopotów. btw. Kiedyś już tu byłem i napisałem: Napisano 20-06-2011 - 03:33Na pewno wrócę tu za 1-2 lata jak znowu narobie syfu Strasznie długo uruchamiają się programy takie jak Steam czy Google Chrome, system też się ładuje około 5 minut a potem zamula jeszcze z 2.. Może syf w rejestrze? Parametry komputera to: 4gb ddr3, intel i5 i gf 330m; Więc powinien chyba szybciej się odpalać. :/ Jakimś cudem ktoś uzyskał dostęp do mojej skrzynki i rozsyłał z niej spam więc gdzieś musi być problem.. zwłaszcza, że Thunderbirda mam od prawie roku (więc ostatni raz wtedy wpisywałem to hasło na klawiaturze mojego laptopa) - na dodatek używam do tej poczty unikalnego hasła. Więc albo to jakiś wirus albo wp mnie okłamuje :| Dzięki za sprawdzenie. Chyba pozostanie mi tylko format dla pewności a jednocześnie odświeżenie systemu. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 ESET'a mam od 2 lat i jak do tej pory nie sprawiał kłopotów. + Strasznie długo uruchamiają się programy takie jak Steam czy Google Chrome, system też się ładuje około 5 minut a potem zamula jeszcze z 2.. Może syf w rejestrze? Wcześniejszy brak problemów z ESET nie jest dowodem, program nie jest constant (aktualizacje). Ja jednak obstaję za sprawdzeniem koncepcji ESET Smart Security, który conajmniej start może opóźniać. Tym bardziej, że w Dzienniku zdarzeń męczy masowo takie błędy: [ System Events ]Error - 2013-02-17 15:32:26 | Computer Name = ZawodowieC-Komp | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi ESET Service z powodu następującego błędu: %%2 Dodatkowo masz błędy: Error - 2013-02-17 15:50:08 | Computer Name = ZawodowieC-Komp | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: TKFWFV Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. W sekcji Sterowniki niezgodne z Plug and Play wyszukaj TKFWFV (Tachyon Firewall LW Filter Driver) i odinstaluj. Error - 2013-02-17 16:22:12 | Computer Name = ZawodowieC-Komp | Source = Disk | ID = 262155Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Artykuł wyjaśniający: KLIK. . Odnośnik do komentarza
LeonZawodowiec Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Ok, wymienię ESET'a na Avasta a potem dam odpowiedź czy coś przyspieszyło. Co do tego sterownika "TKFWFV", nie posiadam takowego albo jestem jakiś ślepy: Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Ok, wymienię ESET'a na Avasta a potem dam odpowiedź czy coś przyspieszyło. Najpierw to się upewnij, że system bez żadnego antywirusa uzyskuje sprawność, a nie od razu z ESET do Avasta. Co do tego sterownika "TKFWFV", nie posiadam takowego albo jestem jakiś ślepy: Posiadasz, tylko nazwa wyświetlana inna niż przewidywałam: nProtect Firewall Core Driver z wykrzyknikiem to ten sterownik zgłaszany na błędzie. Do kolekcji są jeszcze te: TKCtrl, TKFWVT, TkIdsVt. Na Twojej liście zainstalowanych widzę taką pozycję: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{A3B4BDAA-7B03-43B1-804C-54B451EF9668}" = nProtect Security Platform Wygląda na to, że jest tu zainstalowany produkt tej serii: KLIK. Skoro zgłaszany jest błąd, odinstaluj podaną wyżej pozycję + restart, następnie sprawdź menedżer urządzeń czy sterowniki zostały zlikwidowane. . Odnośnik do komentarza
LeonZawodowiec Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Ok, wszystkie wymienione sterowniki usunięte. Coś jeszcze? Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 No czekam na wyniki z testem ESET, czy coś da jego tymczasowe usunięcie. Odnośnik do komentarza
LeonZawodowiec Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Trochę przyspieszył ale nieznacznie, programy uruchamiają się minimalnie szybciej (nie ma takiej zwiechy) ale windows nadal długo się ładuje. Może defragmentacja dysku coś temu zaradzi.. No cóż dzięki za poświęcony czas. Odnośnik do komentarza
nietoperz13 Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 A jesteś pewny, że to nie ESET Smart Security? Pozwolę sobie zabrać głos ja również mam Eset i jestem z niego zadowolony nie zamula mi systemu ani nic z tych rzeczy Odnośnik do komentarza
Rekomendowane odpowiedzi