Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Java, Google update łączą się z dziwnymi adresami

Adohaha

Przez Adohaha
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Adohaha

Adohaha

Opublikowano
Opublikowano

Parę dni temu Comodo Firewall zaczął być zalewany połączeniami przez Java, Google Update, WerConCpl.dll z różnymi, ciągle nowymi adresami, jak ten:

xxx 23.43.128.60

 

W trakcie skanowania GMER'em, otrzymuję komunikat:

Program C:\Windows\system32\certsentry.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd. - niezależnie od tego czy Comodo jest otwarty czy nie.

log.

 

Zasady forum przeczytałem poniewczasie, więc komputer przeszedł też przez ComboFix.

 

Tak więc dołączam logi z ComboFix i OTL ale bez GMER'a

 

 

Proszę o pomoc

OTL.Txt

log.txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

ComboFix uruchomiony niepotrzebnie, nic nie robił. W raportach brak oznak infekcji.

 

 

Parę dni temu Comodo Firewall zaczął być zalewany połączeniami przez Java, Google Update, WerConCpl.dll z różnymi, ciągle nowymi adresami, jak ten:

xxx 23.43.128.60

 

Na razie nie widzę tu nic dziwnego. Podany adres IP to od siatki Akamai (któryś updater mógł się do tego odwołać). Zaś WerConCpl.dll łączy się z siecią, jeśli zostanie uruchomiona funkcja Windows wyszukiwania rozwiązań online dla zaistniałych w systemie błędów.

 

 

W trakcie skanowania GMER'em, otrzymuję komunikat:

Program C:\Windows\system32\certsentry.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd. - niezależnie od tego czy Comodo jest otwarty czy nie.

log.

 

COMODO cały czas jest otwarty w tle. To że okno zamknięte nie oznacza, że nie działa. Jest masa załadowanych składników w tle (moduły czy sterowniki), których nie ubija zamknięcie okien czy proste odfajkowanie ze startu. A komunikat się zgłasza podczas skanu GMER, ponieważ GMER uzyskuje dostęp do tego pliku. Biblioteka certsentry.dll należy do COMODO, komunikat świadczy, że plik jest uszkodzony = COMODO do przeinstalowania. Wg raportu oba wystąpienia (32-bit + 64-bit) są na świeżo modyfikowane i nie mają sygnatury COMODO:

 

========== Files - Modified Within 30 Days ==========
 
[2013-03-01 16:05:05 | 000,056,072 | ---- | M] () -- C:\Windows\SysNative\certsentry.dll
[2013-03-01 16:05:05 | 000,047,368 | ---- | M] () -- C:\Windows\SysWow64\certsentry.dll

 

W Dzienniku zdarzeń sypie też błędami:

 

Error - 2013-03-07 11:13:40 | Computer Name = Igor-Komputer | Source = Microsoft-Windows-TaskScheduler | ID = 413
Description = Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania
 usługi. Dane dodatkowe: Wartość błędu: 2147942402.
 
Error - 2013-03-07 11:13:55 | Computer Name = Igor-Komputer | Source = Service Control Manager | ID = 7009
Description = Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się
 z usługą COMODO Dragon Update Service.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

USBFix to nie jest skaner pracujący w oparciu o sygnatury, działa wg najgorszych z możliwych metod, tzn.: po nazwach oraz lokalizacji (root dysku), a dysponuje tylko bardzo limitowaną listą kombinacji. Tym sposobem wywala na systemie użytkownika m.in. folder o nazwie MUZA z plikami zgromadzonymi przez użytkownika, bo ocenia tylko nazwę i lokalizację (jest infekcja tworząca folder o takiej nazwie) a nie zawartość zasadniczą. Na którymś etapie rozwoju skrewił jeszcze bardziej, kwalifikując omyłkowo kluczowy plik systemu services.exe jako "szkodliwy", a po usunięciu skutki oczywiste (Windows w ogóle się nie ładuje). Wierzyć mu nie wolno na ślepo. Tak więc czym tu jest wubi.exe, czy nie jest to aby dokładnie to co nazwa wskazuje, czyli Wubi?

 

A plik autorun.inf i jego kopię to już widziałam w OTL:

 

O32 - AutoRun File - [2012-08-23 18:13:48 | 000,000,134 | -H-- | M] () - H:\autorun.inf -- [ FAT32 ]

O32 - AutoRun File - [2012-08-23 18:13:48 | 000,000,134 | ---- | M] () - H:\AUTORUN_.INF -- [ FAT32 ]

 

Plik ma tylko atrybut H (a nie HS), co zmniejsza prawdopodobieństwo, że jest szkodliwy. Dla świętego spokoju otwórz go w Notatniku i podaj co widzisz.

 

 

 

.

Edytowane przez picasso
17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...