Dziennik zdarzeń - błędy i ostrzeżenia (XP SP3 Home)

[Mysza]

  W dniu 28.10.2010 o 17:06, 3oo napisał(a):

Sprzatałaś już autos

tart więc powinnaś się domyślić, że coś się da do niego dorzucić.

No jasne, że się nie tylko domyślałam, nawet byłam pewna, że jak coś usunę to i mogę dodać do AUTOSTARTU - ale raczej moja wyobraźnia ograniczała się tylko do gotowych programów zainstalowanych na komputerze, a nie przyszłoby mi do głowy, że mogę sama tworzyć jakieś "wykonywalne pliki" i je tam umieszczać

 

  W dniu 28.10.2010 o 17:06, 3oo napisał(a):

Do skryptu dodałem linijkę:

 

COMPACT %magazyn% /c

Niejako ustawia atrybut folderu na skompresowany. Wszystko co do niego wpada także ulega kompresji - co oszczędza miejsca na dysku. Żeby to zadziałało folder skaner musi być wcześniej usunięty, o ile nie został utworzony przez skrypt z tą poprawioną wersją.

 

Folder skaner usunęłam - dzisiaj - i tak był pusty ...

Nic mi się dzisiaj nie uruchomiło i nie zadziałało, ale sama zauważyłam, co zrobiłam źle - POPRAWIŁAM BŁĄD - no i znowu zobaczymy - JUTRO

 

Właściwie to dopiero dzisiaj tak do końca do mnie dotarło o co chodzi z tymi dwoma plikami - wczoraj błędnie zasugerowałam się, że w autostarcie umieszczam plik, który będzie tworzył informacje o połączeniach TCP - teraz rozumiem :

plik *vbs nie jest umieszczony w autostracie po to, by uruchamiać przeszukiwanie połączeń (ostrzeżenia TCP), ale po to by uruchamiać inny plik, który to robi (*bat) - czyli plik *vbs uruchamia plik *bat, który mam z kolei w jakimś katalogu na dysku

[Meir]

@Mycha69 (czaderski nick )...a tak konkretnie to o co Ci chodzi z tym : Dziennikiem zdarzeń ?

Ja od urodzenia mam w nim różne błędy i nigdy z tego powodu nie odczułem żadnego dyskomfortu ...system Ci przestał działać czy co ? Bo za bardzo nie ogarniam...

[3oo]

  W dniu 28.10.2010 o 22:02, mycha69 napisał(a):

Właściwie to dopiero dzisiaj tak do końca do mnie dotarło o co chodzi z tymi dwoma plikami - wczoraj błędnie zasugerowałam się, że w autostarcie umieszczam plik, który będzie tworzył informacje o połączeniach TCP - teraz rozumiem :

plik *vbs nie jest umieszczony w autostracie po to, by uruchamiać przeszukiwanie połączeń (ostrzeżenia TCP), ale po to by uruchamiać inny plik, który to robi (*bat) - czyli plik *vbs uruchamia plik *bat, który mam z kolei w jakimś katalogu na dysku

Ech, nie zauważyłem Twojej edytki...

Tak. Plik vbs uruchamia plik bat i przy okazji ukrywa okienko konsoli. Plik bat ma wykonać Twoje zadanie. Ale to nie plik vbs powinnaś dodać do autostartu, ale link/skrót do niego - linki mają rozszerzenie lnk, nazwa może być dowolna. PPM na pliku *.lnk > Właściwości i poprzeglądaj sobie zakładki... Znajdziesz tam informacje o lokalizacji pliku do którego odnosi się link.

 

Owszem, plik vbs mogłabyś dodać do autostartu gdybyś korzystała wewnątrz niego z jawnej ścieżki dostępu.

oShell.run "cmd /C .\Twoja_nazwa_pliku.bat",0

tzn. zamiast .\Twoja_nazwa_pliku.bat byłoby literka_dysku:\ścieżka\do\Twojego\pliku\skryptu\Twoja_nazwa_pliku.bat.

Zapis

.\

powoduje, że vbs szuka pliku w bieżącej lokalizacji. Jeśli vbs zostanie wrzucony do autostartu to będzie szukał pliku bat w katalogu Autostsartu. Nie znajdzie, więc nic się nie uruchomi.

 

Tworzenie linków już znasz...

PPM na pliku lub katalogu > Utwórz skrót.

Jeśli zamierzasz wrzucić potem taki link do katalogu Pulpit (żeby był widoczny na pulpicie) to prościej wykonasz to poprzez:

PPM na pliku lub katalogu > Wyślij do > Pulpit (utwórz skrót).

[Mysza]

  W dniu 29.10.2010 o 03:02, Meir napisał(a):

czaderski nick

Dziękuję za komplement i w 100% się zgadzam

 

  W dniu 29.10.2010 o 03:02, Meir napisał(a):

...a tak konkretnie to o co Ci chodzi z tym : Dziennikiem zdarzeń ?

Ja od urodzenia mam w nim różne błędy i nigdy z tego powodu nie odczułem żadnego dyskomfortu ...system Ci przestał działać czy co ? Bo za bardzo nie ogarniam...

O co mi chodzi ?

raz - ja od urodzenia nie mam komputera, więc nadrabiam zaległości

dwa - jak nie interesowałam się "bebechami" komputera, a tylko korzystałam z worda, excela i poczty to nie myślałam o tym, żeby zaglądać do plików systemowych, rejestru i dziennika zdarzeń - to i błędy mi nie przeszkadzały

trzy- zgodnie z radami otrzymanymi na forum, że powinnam w miarę możliwości starać się sprawdzać i eliminować błędy dziennika zdarzeń - właśnie to robię i zaczęłam od błędu związanego z TCP

cztery - system działa, ale problemy nadal są - mam sytuacje wieszania się połączeń internetowych kończące się resetowaniem komputera; dwa dni temu, przy korzystaniu z pliku excel system przestał reagować z komunikatem - brak odpowiedzi- inne ikony też nie reagowały - pomógł reset

pięć - względy estetyczne - bez błędów jest ładniej

sześć - drążę dalej temat połączeń TCP, pomimo pobrania programu TCP-Z - bo to polowanie na czarownice ( jak to nazwał @300 ) to bardzo ciekawe rzeczy, dowiaduję się czegoś, o czym nie miałam pojęcia i wciąga mnie to ...

siedem - po prostu lubię wiedzieć dlaczego coś się dzieje tak a nie inaczej

osiem - jestem KOBIETĄ - a kobiety ponoć trudno zrozumieć

 

  W dniu 29.10.2010 o 10:52, 3oo napisał(a):

Ale to nie plik vbs powinnaś dodać do autostartu, ale link/skrót do niego

Sorki za wprowadzenie w błąd - to był skrót myślowy analogicznie jak w stosunku do innych programów uruchamianych w autostarcie np. antywirus, dla których to nie jest faktyczna lokalizacja - oczywiście wkleiłam do Autostartu SKRÓT

 

  W dniu 29.10.2010 o 10:52, 3oo napisał(a):

Tworzenie linków już znasz...

PPM na pliku lub katalogu > Utwórz skrót.

Jeśli zamierzasz wrzucić potem taki link do katalogu Pulpit (żeby był widoczny na pulpicie) to prościej wykonasz to poprzez:

PPM na pliku lub katalogu > Wyślij do > Pulpit (utwórz skrót).

 

@300 aż tak źle to ze mną nie jest - powyższą lekcję mam opanowaną od dłuższego czasu ....

 

 

Miałam zamiar napisać coś wczoraj o rezultatach działania plików, ale jak już zwolniło się dla mnie miejsce, to nie dało rady nawiązać połączenia internetowego - być może to był tylko problem po stronie TPSA i przeciążenie linii , ale w końcu przeskanowałam komputer i wyszły mi dwie infekcje , poniżej zapisy z dziennika ESET:

 

Dziennik skanowania
Wersja bazy sygnatur wirusów: 5576 (20101029)
Data: 2010-10-29 Godzina: 23:27:14
Skanowane dyski, foldery i pliki: Pamięć operacyjna;C:\Sektor startowy;C:\;D:\Sektor startowy;D:\

C:\System Volume Information\MountPointManagerRemoteDatabase - błąd podczas otwierania [4]

C:\System Volume Information\_restore{0B0F63DB-06AD-446F-AD8D-1621C2D8CCE7}\RP92\A0364140.exe » NSIS » script.nsi - Win32/Adware.ShopperReports aplikacja
C:\System Volume Information\_restore{0B0F63DB-06AD-446F-AD8D-1621C2D8CCE7}\RP92\A0364140.exe » NSIS » InstallerHelperPlugin.dll - prawdopodobnie odmiana wirusa Win32/Adware.Agent.GYZXBEF aplikacja

C:\System Volume Information\_restore{0B0F63DB-06AD-446F-AD8D-1621C2D8CCE7}\RP92\A0364140.exe » NSIS » script.nsi - Win32/Adware.ShopperReports aplikacja - był częścią usuniętego obiektu
C:\System Volume Information\_restore{0B0F63DB-06AD-446F-AD8D-1621C2D8CCE7}\RP92\A0364140.exe » NSIS » InstallerHelperPlugin.dll - prawdopodobnie odmiana wirusa Win32/Adware.Agent.GYZXBEF aplikacja - był częścią usuniętego obiektu

Liczba przeskanowanych obiektów: 617906
Liczba znalezionych zagrożeń: 2
Liczba wyleczonych obiektów: 2
Godzina zakończenia: 00:45:07 Całkowity czas skanowania: 4673 s (01:17:53)

Uwagi:
[4] Nie można otworzyć obiektu. Może on być używany przez inną aplikację lub system operacyjny.

Usunęłam te pliki, dodatkowo robiąc logi - chyba nic w nich nie ma

 

 

EDIT :

Teraz wyniki poszukiwań .

W dzienniku zdarzeń mam zapisane ostrzeżenie TCP - z dnia 29.10.2010 , godzina 21.12

Porównałam to z wszystkimi zapisami pliku *.bat z tej samej minuty - zapisów pojawiła się straszna ilość ...

Przerobiłam ten plik tekstowy na excel i mogę wyświetlać dane np. wg stanu połączenia

mam takie stany + PID:

 

 

  Pokaż ukrytą zawartość

CZAS_OCZEKIWANIA 0

OSTATNIE_POTW 1200

OCZEKIWANIE_FIN__1 1200

OCZEKIWANIE_FIN__2 1200

OCZEKIWANIE_FIN__2 2328

OCZEKIWANIE_FIN__2 2372

OCZEKIWANIE_ZAMKN 1200

OCZEKIWANIE_ZAMKN 1248

OCZEKIWANIE_ZAMKN 2328

OCZEKIWANIE_ZAMKN 2372

USTANOWIONO 1200

USTANOWIONO 2328

USTANOWIONO 2372

WYSŁANO_SYN 1200

ZAMYKANIE 1200

 

 

Wnioski :

Jeśli dobrze myślę, to ostrzeżenie zapisuje się w dzienniku w związku ze stanem połączenia WYSŁANO_SYN - to w tej minucie pod PID 1200 krył się proces ekrn.exe - szukałam w google i wyszło mi, że ten plik to składnik programu antywirusowego, czyli, że chyba wszystko jest OK i mogłabym przestać tropić

[3oo]

  W dniu 30.10.2010 o 16:09, mycha69 napisał(a):

@300 aż tak źle to ze mną nie jest - powyższą lekcję mam opanowaną od dłuższego czasu ....

Myk z katalogiem SendTo też przerobiłaś?

 

  W dniu 30.10.2010 o 16:09, mycha69 napisał(a):

Jeśli dobrze myślę, to ostrzeżenie zapisuje się w dzienniku w związku ze stanem połączenia WYSŁANO_SYN - to w tej minucie pod PID 1200 krył się proces ekrn.exe - szukałam w google i wyszło mi, że ten plik to składnik programu antywirusowego, czyli, że chyba wszystko jest OK i mogłabym przestać tropić

Oh-jo... jak mawia krecik. Czas wystąpienia możesz sobie wyliczyć co do (prawie) sekundy, ale matematyki chyba nie trza tutaj przerabiać? Czyli teraz możesz spróbować wykorzystać to polecenie z filtrowaniem, które podarował Ci KolegaDudysa... To jest o tyle fajne, że raczej nie będziesz musiała martwić się o ilość miejsca na dysku.

 

A po to te logi? Temat został zprzyciskowany (! Raportuj) do działu pomocy doraźnej?

[Mysza]

  W dniu 30.10.2010 o 17:28, 3oo napisał(a):

Myk z katalogiem SendTo też przerobiłaś?

No to musiałam się chwilkę zastanowić o jaki "myk" chodzi z tym SendTo - i doszłam to tego, że chodzi o tę drugą metodę:

 

PPM na pliku lub katalogu > Wyślij do > Pulpit (utwórz skrót).

więc odpowiedź brzmi - TAK, ten myk również znam, na zwykłych plikach potrafię pracować, nie zgłębiałam tylko nigdy tajników tego, co działa w tle i sprawia, że reszta programów funkcjonuje jak należy

 

  W dniu 30.10.2010 o 17:28, 3oo napisał(a):

Czas wystąpienia możesz sobie wyliczyć co do (prawie) sekundy, ale matematyki chyba nie trza tutaj przerabiać? Czyli teraz możesz spróbować wykorzystać to polecenie z filtrowaniem, które podarował Ci KolegaDudysa...

Dodałam filtr, mam nadzieję, ze prawidłowo,

WYSŁANO_SYN - tak dokładnie się zapisał stan połączenia w pliku *.txt

 

NETSTAT -NABV | FINDstr ".exe .dll WYSŁANO_SYN" >> %fanzine%

nie wiem tylko, czy tę linijkę powinnam teraz usunąć, czy nie ma to znaczenia

 

TASKLIST >> %fanzine%

LOGI dodałam tak sobie - nie chciałam od razu zakładać tematu w Dziale Pomocy Doraźnej, chyba nie ma takiej potrzeby, a już bywałam z tego działu przenoszona...

Po usunięciu zarażonych plików zastosowałam wyłączenie punktu przywracania systemu i przeskanowałam Malware..., który też wykrył dwa zarażone pliki.

Dzisiaj system już działa normalnie.

[3oo]

No prawie... Można dodać swoją pozycję (skrót do katalogu), która będzie widoczna w menu kontekstowym Wyślij do.

 

  W dniu 30.10.2010 o 19:37, mycha69 napisał(a):

Dodałam filtr, mam nadzieję, ze prawidłowo,

WYSŁ¥ANO_SYN - tak dokładnie się zapisał stan połączenia w pliku *.txt

NETSTAT -NABV | FINDstr ".exe .dll WYSŁANO_SYN" >> %fanzine%

nie wiem tylko, czy tę linijkę powinnam teraz usunąć, czy nie ma to znaczenia

TASKLIST >> %fanzine%

 

TASKLIST jest niepotrzebne bo NETSTAT zwróci Ci potrzebne informacje. Czas w sumie też. Możesz też użyć tej krótszej wersji skryptu bez tworzenia plików. Nie wiem jak powinnaś zapisać Ł (jakiś symbol fi widziałem wcześniej...), ale dowiesz się przy... kolacji... tzn. o ile coś skrypt wyłapie.

[Mysza]

  W dniu 30.10.2010 o 20:01, 3oo napisał(a):

TASKLIST jest niepotrzebne bo NETSTAT zwróci Ci potrzebne informacje. Czas w sumie też. Możesz też użyć tej krótszej wersji skryptu bez tworzenia plików.

Czy po wyrzuceniu NETSTAT i CZASU i powrocie do krótszej wersji pliku - ograniczając plik *.bat do niezbędnego minimum, dobrze będzie jak będzie tak : ?

 

:Skorpion
NETSTAT -NABV | FINDstr ".exe .dll WYSŁANO_SYN" >> .\syn_sent.txt
GOTO Skorpion

Przy okazji filtrowania zdarzeń, powodujących ostrzeżenie - każdorazowo wychodzi plik ekrn.exe, czyli odpowiedzialny jest program antywirusowy ESET, więc raczej nie ma niepokojących wyników. Poniżej wycinek z pliku wynikowego:

 

 

  Pokaż ukrytą zawartość

 

C:\Program Files\ESET\ESET Smart Security\ekrnEpfw.dll

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\system32\ADVAPI32.dll

[ekrn.exe]

TCP 83.27.167.44:1074 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1076 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1078 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1080 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1083 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1084 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1087 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1089 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1090 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1092 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

 

 

 

A na koniec jeszcze trochę TEORII - za samodzielne tworzenie plików *.bat raczej się nie mam zamiaru zabierać, bo pewnie i tak by mi nie wyszło , ale chciałabym mniej więcej rozumieć zasadę tworzenia i działania tego "mojego" pliku *.bat, skoro mi buszuje w komputerze...

Spodobał mi się ten artykuł KLIK, ale generalnie to ciężko trafić w Google na temat wyjaśniający tworzenie czegoś od A do Z ...

 

... i teraz dla rozjaśnienia i uporządkowania mojego pojmowania :

@ECHO off - czy w tym wierszu można w ogóle pominąć "off" lub "on" , skoro na początku jest małpka-@, która i tak nie pozwoli na włączenie lub wyłączenie wyświetlania poleceń ?

 

@ECHO off
SET magazyn=.\skaner
SET katalog=1
SET licznik=0
SET nStoper=600

IF NOT EXIST %magazyn% (
MKDIR %magazyn%
COMPACT %magazyn% /c
) ELSE (
FOR /f "tokens=*" %%G IN ('DIR %magazyn% /b') DO SET /a katalog+=1
)
CD %magazyn%

:Petla
IF %licznik% EQU 0 (
SET fanzine=.\syn_sent%katalog%.txt
)
TIME /T >> %fanzine%
NETSTAT -NABV | FINDstr ".exe .dll WYSŁANO_SYN" >> %fanzine%
SET /a licznik+=1
ECHO. >> %fanzine%
IF %licznik% EQU %nStoper% (
SET licznik=0
SET /a katalog+=1
)
GOTO Petla

dalej :

- zmienną magazyn - mogę, zdaje się, zastąpić jakimkolwiek innym wyrazem, byle by nie powtórzyło się z tym , co jest dalej w pętli ?

- wyrazy Petla - pomimo, że to jest "klamra" dla faktycznej pętli, chyba też mogłabym zastąpić innymi wyrazami, byleby były to te same dwa wyrazy na początku i na końcu pętli i nadal pętla będzie pętlą ?

- to samo ze zmienną fanzine - tez mogę zmienić na inny wyraz ?

- różnicę między > a >> już mi wyjaśniałeś

- rozumiem, że skrypt mówi mniej więcej coś takiego, że wyniki maja się zapisywać w katalogu scaner, a po przekroczeniu limitu dopisywanie ma się zatrzymać i jeśli plik wynikowy się zapełnił, tworzony jest nowy, który otrzymuje numer o 1 większy od poprzedniego, licznik się zeruje w nowym pliku i tak w kółko ...

- gdzieś tam trafiłam na wyjaśnienie, co znaczy ELSE lub EQU , ale nie jest dla mnie jasne użycie tych wszystkich nawiasów okrągłych - jakie ma znaczenie, że" )" jest w osobnej linii, albo, że " (" zamyka linię , albo, że ELSE jest między nawiasami - czy to są sztywne reguły, czy też mogłabym np. nawias z przedostatniej linii przenieść piętro wyżej ?

- no i ten zapis "FOR /f "tokens=*" %%G IN" - nie za bardzo mogę sobie wytłumaczyć

 

no i pewnie niedługo zwiększę limit połączeń i zacznę męczyć kolejny błąd w dzienniku zdarzeń

[3oo]

Jak pierwszy raz wspomniałaś o ostrzeżeniach w dzienniku zdarzeń to nie miałaś chyba na pokładzie ESET'a... ale to nieistotne. Los czarownic w Twoich rękach, narzędzia tortur masz.

Jeśli polecenie z filtrowaniem wykonuje się w pętli (rzadziej lub) mniej więcej co sekundę, to równie dobrze możesz etykiety pętli wyrzucić i dopisać parametr -1 (analizę co 1 s) tak jak pokazał Ci to KolegaDudysa. Zależy, czy te informacje co znajdą się w pliku pozwolą Ci zweryfikować sprawcę (stąd propozycja "przemyślenia" usunięcia również czasu).

 

Jeśli chcesz przetestować jakiś fragment kodu użyj/dopisz po jakimś fragmencie kodu np.:

 

echo Jestem tutaj...
echo %nazwa_badanej_zmiennej%
pause
exit 1

Wyświetli Ci się napis jestem tuataj... wartość nazwa_badanej_zmiennej (np. magazyn, katalog, licznik, nStoper, fanzine) i napis Naciśnij dowolny klawisz aby kontynuować.... Po naciśnięciu dowolnego klawisza polecenie exit (z wartością 1 lub 0) kończy badany fragment skryptu. Jeśli zmienisz lokalizację nawiasu np. po IF lub ELSE i coś nie zadziała... dostaniesz swoją odpowiedź. magazyn, Petla, fanzine, także licznik, katalog, nStoper = TAK, możesz zmienić na dowolną nazwę.

 

[Mysza]

  W dniu 3.11.2010 o 19:07, 3oo napisał(a):

Jak pierwszy raz wspomniałaś o ostrzeżeniach w dzienniku zdarzeń to nie miałaś chyba na pokładzie ESET'a... ale to nieistotne. Los czarownic w Twoich rękach, narzędzia tortur masz.

zgadza się , miałam wtedy Avirę, a jeszcze przedtem Avasta, ale kupiłam gazetkę z darmową płytą i teraz testuję ESET .... jak na razie podoba mi się ten program

 

  W dniu 3.11.2010 o 19:07, 3oo napisał(a):

A skrypt przetłumaczony na polski podeślę Ci, w wolnej chwili, na PW. Tłumaczenie tego tutaj do niczego nie prowadzi.

DZIĘKI WIELKIE za tłumaczenie na nasze - pracę jako nauczyciel masz na bank