Skocz do zawartości

Dziennik zdarzeń - błędy i ostrzeżenia (XP SP3 Home)


Mysza

Rekomendowane odpowiedzi

Sprzatałaś już autos

tart więc powinnaś się domyślić, że coś się da do niego dorzucić.

No jasne, że się nie tylko domyślałam, nawet byłam pewna, że jak coś usunę to i mogę dodać do AUTOSTARTU - ale raczej moja wyobraźnia ograniczała się tylko do gotowych programów zainstalowanych na komputerze, a nie przyszłoby mi do głowy, że mogę sama tworzyć jakieś "wykonywalne pliki" i je tam umieszczać :D

 

Do skryptu dodałem linijkę:

 

COMPACT %magazyn% /c
Niejako ustawia atrybut folderu na skompresowany. Wszystko co do niego wpada także ulega kompresji - co oszczędza miejsca na dysku. Żeby to zadziałało folder skaner musi być wcześniej usunięty, o ile nie został utworzony przez skrypt z tą poprawioną wersją.

 

Folder skaner usunęłam - dzisiaj - i tak był pusty ...

Nic mi się dzisiaj nie uruchomiło i nie zadziałało, ale sama zauważyłam, co zrobiłam źle - POPRAWIŁAM BŁĄD - no i znowu zobaczymy - JUTRO ;)

 

Właściwie to dopiero dzisiaj tak do końca do mnie dotarło o co chodzi z tymi dwoma plikami - wczoraj błędnie zasugerowałam się, że w autostarcie umieszczam plik, który będzie tworzył informacje o połączeniach TCP - teraz rozumiem :

plik *vbs nie jest umieszczony w autostracie po to, by uruchamiać przeszukiwanie połączeń (ostrzeżenia TCP), ale po to by uruchamiać inny plik, który to robi (*bat) - czyli plik *vbs uruchamia plik *bat, który mam z kolei w jakimś katalogu na dysku :)

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Właściwie to dopiero dzisiaj tak do końca do mnie dotarło o co chodzi z tymi dwoma plikami - wczoraj błędnie zasugerowałam się, że w autostarcie umieszczam plik, który będzie tworzył informacje o połączeniach TCP - teraz rozumiem :

plik *vbs nie jest umieszczony w autostracie po to, by uruchamiać przeszukiwanie połączeń (ostrzeżenia TCP), ale po to by uruchamiać inny plik, który to robi (*bat) - czyli plik *vbs uruchamia plik *bat, który mam z kolei w jakimś katalogu na dysku :)

Ech, nie zauważyłem Twojej edytki...

Tak. Plik vbs uruchamia plik bat i przy okazji ukrywa okienko konsoli. Plik bat ma wykonać Twoje zadanie. Ale to nie plik vbs powinnaś dodać do autostartu, ale link/skrót do niego - linki mają rozszerzenie lnk, nazwa może być dowolna. PPM na pliku *.lnk > Właściwości i poprzeglądaj sobie zakładki... Znajdziesz tam informacje o lokalizacji pliku do którego odnosi się link.

 

Owszem, plik vbs mogłabyś dodać do autostartu gdybyś korzystała wewnątrz niego z jawnej ścieżki dostępu.

oShell.run "cmd /C .\Twoja_nazwa_pliku.bat",0
tzn. zamiast .\Twoja_nazwa_pliku.bat byłoby literka_dysku:\ścieżka\do\Twojego\pliku\skryptu\Twoja_nazwa_pliku.bat.

Zapis

.\
powoduje, że vbs szuka pliku w bieżącej lokalizacji. Jeśli vbs zostanie wrzucony do autostartu to będzie szukał pliku bat w katalogu Autostsartu. Nie znajdzie, więc nic się nie uruchomi.

 

Tworzenie linków już znasz...

PPM na pliku lub katalogu > Utwórz skrót.
Jeśli zamierzasz wrzucić potem taki link do katalogu Pulpit (żeby był widoczny na pulpicie) to prościej wykonasz to poprzez:

PPM na pliku lub katalogu > Wyślij do > Pulpit (utwórz skrót).
Odnośnik do komentarza

czaderski nick

Dziękuję za komplement i w 100% się zgadzam ;)

 

...a tak konkretnie to o co Ci chodzi z tym : Dziennikiem zdarzeń ?

Ja od urodzenia mam w nim różne błędy i nigdy z tego powodu nie odczułem żadnego dyskomfortu ...system Ci przestał działać czy co ? Bo za bardzo nie ogarniam...

O co mi chodzi ?

raz - ja od urodzenia nie mam komputera, więc nadrabiam zaległości

dwa - jak nie interesowałam się "bebechami" komputera, a tylko korzystałam z worda, excela i poczty to nie myślałam o tym, żeby zaglądać do plików systemowych, rejestru i dziennika zdarzeń - to i błędy mi nie przeszkadzały

trzy- zgodnie z radami otrzymanymi na forum, że powinnam w miarę możliwości starać się sprawdzać i eliminować błędy dziennika zdarzeń - właśnie to robię i zaczęłam od błędu związanego z TCP

cztery - system działa, ale problemy nadal są - mam sytuacje wieszania się połączeń internetowych kończące się resetowaniem komputera; dwa dni temu, przy korzystaniu z pliku excel system przestał reagować z komunikatem - brak odpowiedzi- inne ikony też nie reagowały - pomógł reset

pięć - względy estetyczne - bez błędów jest ładniej

sześć - drążę dalej temat połączeń TCP, pomimo pobrania programu TCP-Z - bo to polowanie na czarownice ( jak to nazwał @300 ) to bardzo ciekawe rzeczy, dowiaduję się czegoś, o czym nie miałam pojęcia i wciąga mnie to ...

siedem - po prostu lubię wiedzieć dlaczego coś się dzieje tak a nie inaczej

osiem - jestem KOBIETĄ - a kobiety ponoć trudno zrozumieć :P

 

Ale to nie plik vbs powinnaś dodać do autostartu, ale link/skrót do niego

Sorki za wprowadzenie w błąd - to był skrót myślowy analogicznie jak w stosunku do innych programów uruchamianych w autostarcie np. antywirus, dla których to nie jest faktyczna lokalizacja - oczywiście wkleiłam do Autostartu SKRÓT

 

Tworzenie linków już znasz...

PPM na pliku lub katalogu > Utwórz skrót.
Jeśli zamierzasz wrzucić potem taki link do katalogu Pulpit (żeby był widoczny na pulpicie) to prościej wykonasz to poprzez:

PPM na pliku lub katalogu > Wyślij do > Pulpit (utwórz skrót).

 

@300 :lol: aż tak źle to ze mną nie jest :lol: - powyższą lekcję mam opanowaną od dłuższego czasu ....

 

 

Miałam zamiar napisać coś wczoraj o rezultatach działania plików, ale jak już zwolniło się dla mnie miejsce, to nie dało rady nawiązać połączenia internetowego - być może to był tylko problem po stronie TPSA i przeciążenie linii , ale w końcu przeskanowałam komputer i wyszły mi dwie infekcje , poniżej zapisy z dziennika ESET:

 

Dziennik skanowania
Wersja bazy sygnatur wirusów: 5576 (20101029)
Data: 2010-10-29 Godzina: 23:27:14
Skanowane dyski, foldery i pliki: Pamięć operacyjna;C:\Sektor startowy;C:\;D:\Sektor startowy;D:\

C:\System Volume Information\MountPointManagerRemoteDatabase - błąd podczas otwierania [4]

C:\System Volume Information\_restore{0B0F63DB-06AD-446F-AD8D-1621C2D8CCE7}\RP92\A0364140.exe » NSIS » script.nsi - Win32/Adware.ShopperReports aplikacja
C:\System Volume Information\_restore{0B0F63DB-06AD-446F-AD8D-1621C2D8CCE7}\RP92\A0364140.exe » NSIS » InstallerHelperPlugin.dll - prawdopodobnie odmiana wirusa Win32/Adware.Agent.GYZXBEF aplikacja

C:\System Volume Information\_restore{0B0F63DB-06AD-446F-AD8D-1621C2D8CCE7}\RP92\A0364140.exe » NSIS » script.nsi - Win32/Adware.ShopperReports aplikacja - był częścią usuniętego obiektu
C:\System Volume Information\_restore{0B0F63DB-06AD-446F-AD8D-1621C2D8CCE7}\RP92\A0364140.exe » NSIS » InstallerHelperPlugin.dll - prawdopodobnie odmiana wirusa Win32/Adware.Agent.GYZXBEF aplikacja - był częścią usuniętego obiektu

Liczba przeskanowanych obiektów: 617906
Liczba znalezionych zagrożeń: 2
Liczba wyleczonych obiektów: 2
Godzina zakończenia: 00:45:07 Całkowity czas skanowania: 4673 s (01:17:53)

Uwagi:
[4] Nie można otworzyć obiektu. Może on być używany przez inną aplikację lub system operacyjny.
Usunęłam te pliki, dodatkowo robiąc logi - chyba nic w nich nie ma

 

 

EDIT :

Teraz wyniki poszukiwań .

W dzienniku zdarzeń mam zapisane ostrzeżenie TCP - z dnia 29.10.2010 , godzina 21.12

Porównałam to z wszystkimi zapisami pliku *.bat z tej samej minuty - zapisów pojawiła się straszna ilość ...

Przerobiłam ten plik tekstowy na excel i mogę wyświetlać dane np. wg stanu połączenia

mam takie stany + PID:

 

 

CZAS_OCZEKIWANIA 0

OSTATNIE_POTW 1200

OCZEKIWANIE_FIN__1 1200

OCZEKIWANIE_FIN__2 1200

OCZEKIWANIE_FIN__2 2328

OCZEKIWANIE_FIN__2 2372

OCZEKIWANIE_ZAMKN 1200

OCZEKIWANIE_ZAMKN 1248

OCZEKIWANIE_ZAMKN 2328

OCZEKIWANIE_ZAMKN 2372

USTANOWIONO 1200

USTANOWIONO 2328

USTANOWIONO 2372

WYSŁANO_SYN 1200

ZAMYKANIE 1200

 

 

Wnioski :

Jeśli dobrze myślę, to ostrzeżenie zapisuje się w dzienniku w związku ze stanem połączenia WYSŁANO_SYN - to w tej minucie pod PID 1200 krył się proces ekrn.exe - szukałam w google i wyszło mi, że ten plik to składnik programu antywirusowego, czyli, że chyba wszystko jest OK i mogłabym przestać tropić :)

Odnośnik do komentarza

@300 :lol: aż tak źle to ze mną nie jest :lol: - powyższą lekcję mam opanowaną od dłuższego czasu ....

Myk z katalogiem SendTo też przerobiłaś? :P

 

Jeśli dobrze myślę, to ostrzeżenie zapisuje się w dzienniku w związku ze stanem połączenia WYSŁANO_SYN - to w tej minucie pod PID 1200 krył się proces ekrn.exe - szukałam w google i wyszło mi, że ten plik to składnik programu antywirusowego, czyli, że chyba wszystko jest OK i mogłabym przestać tropić :)

Oh-jo... jak mawia krecik. :) Czas wystąpienia możesz sobie wyliczyć co do (prawie) sekundy, ale matematyki chyba nie trza tutaj przerabiać? Czyli teraz możesz spróbować wykorzystać to polecenie z filtrowaniem, które podarował Ci KolegaDudysa... To jest o tyle fajne, że raczej nie będziesz musiała martwić się o ilość miejsca na dysku.

 

A po to te logi? Temat został zprzyciskowany (! Raportuj) do działu pomocy doraźnej?

Odnośnik do komentarza

Myk z katalogiem SendTo też przerobiłaś? :P

No to musiałam się chwilkę zastanowić o jaki "myk" chodzi z tym SendTo :) - i doszłam to tego, że chodzi o tę drugą metodę:

 

PPM na pliku lub katalogu > Wyślij do > Pulpit (utwórz skrót).
więc odpowiedź brzmi - TAK, ten myk również znam, na zwykłych plikach potrafię pracować, nie zgłębiałam tylko nigdy tajników tego, co działa w tle i sprawia, że reszta programów funkcjonuje jak należy ;)

 

Czas wystąpienia możesz sobie wyliczyć co do (prawie) sekundy, ale matematyki chyba nie trza tutaj przerabiać? Czyli teraz możesz spróbować wykorzystać to polecenie z filtrowaniem, które podarował Ci KolegaDudysa...

Dodałam filtr, mam nadzieję, ze prawidłowo,

WYSŁANO_SYN - tak dokładnie się zapisał stan połączenia w pliku *.txt

 

NETSTAT -NABV | FINDstr ".exe .dll WYSŁANO_SYN" >> %fanzine%
nie wiem tylko, czy tę linijkę powinnam teraz usunąć, czy nie ma to znaczenia

 

TASKLIST >> %fanzine%
LOGI dodałam tak sobie - nie chciałam od razu zakładać tematu w Dziale Pomocy Doraźnej, chyba nie ma takiej potrzeby, a już bywałam z tego działu przenoszona...

Po usunięciu zarażonych plików zastosowałam wyłączenie punktu przywracania systemu i przeskanowałam Malware..., który też wykrył dwa zarażone pliki.

Dzisiaj system już działa normalnie.

Odnośnik do komentarza

No prawie... Można dodać swoją pozycję (skrót do katalogu), która będzie widoczna w menu kontekstowym Wyślij do.

 

Dodałam filtr, mam nadzieję, ze prawidłowo,

WYSŁ¥ANO_SYN - tak dokładnie się zapisał stan połączenia w pliku *.txt

NETSTAT -NABV | FINDstr ".exe .dll WYSŁANO_SYN" >> %fanzine%
nie wiem tylko, czy tę linijkę powinnam teraz usunąć, czy nie ma to znaczenia

TASKLIST >> %fanzine%

 

TASKLIST jest niepotrzebne bo NETSTAT zwróci Ci potrzebne informacje. Czas w sumie też. Możesz też użyć tej krótszej wersji skryptu bez tworzenia plików. Nie wiem jak powinnaś zapisać Ł (jakiś symbol fi widziałem wcześniej...), ale dowiesz się przy... kolacji... tzn. o ile coś skrypt wyłapie. :)

Odnośnik do komentarza

TASKLIST jest niepotrzebne bo NETSTAT zwróci Ci potrzebne informacje. Czas w sumie też. Możesz też użyć tej krótszej wersji skryptu bez tworzenia plików.

Czy po wyrzuceniu NETSTAT i CZASU i powrocie do krótszej wersji pliku - ograniczając plik *.bat do niezbędnego minimum, dobrze będzie jak będzie tak : ?

 

:Skorpion
NETSTAT -NABV | FINDstr ".exe .dll WYSŁANO_SYN" >> .\syn_sent.txt
GOTO Skorpion
Przy okazji filtrowania zdarzeń, powodujących ostrzeżenie - każdorazowo wychodzi plik ekrn.exe, czyli odpowiedzialny jest program antywirusowy ESET, więc raczej nie ma niepokojących wyników. Poniżej wycinek z pliku wynikowego:

 

 

 

C:\Program Files\ESET\ESET Smart Security\ekrnEpfw.dll

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\system32\ADVAPI32.dll

[ekrn.exe]

TCP 83.27.167.44:1074 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1076 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1078 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1080 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1083 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1084 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1087 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1089 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1090 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

TCP 83.27.167.44:1092 91.206.173.231:80 WYSŁ¥ANO_SYN 1256

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

[ekrn.exe]

 

 

 

A na koniec jeszcze trochę TEORII - za samodzielne tworzenie plików *.bat raczej się nie mam zamiaru zabierać, bo pewnie i tak by mi nie wyszło ;), ale chciałabym mniej więcej rozumieć zasadę tworzenia i działania tego "mojego" pliku *.bat, skoro mi buszuje w komputerze...

Spodobał mi się ten artykuł KLIK, ale generalnie to ciężko trafić w Google na temat wyjaśniający tworzenie czegoś od A do Z ...

 

... i teraz dla rozjaśnienia i uporządkowania mojego pojmowania :

@ECHO off - czy w tym wierszu można w ogóle pominąć "off" lub "on" , skoro na początku jest małpka-@, która i tak nie pozwoli na włączenie lub wyłączenie wyświetlania poleceń ?

 

@ECHO off
SET magazyn=.\skaner
SET katalog=1
SET licznik=0
SET nStoper=600

IF NOT EXIST %magazyn% (
MKDIR %magazyn%
COMPACT %magazyn% /c
) ELSE (
FOR /f "tokens=*" %%G IN ('DIR %magazyn% /b') DO SET /a katalog+=1
)
CD %magazyn%

:Petla
IF %licznik% EQU 0 (
SET fanzine=.\syn_sent%katalog%.txt
)
TIME /T >> %fanzine%
NETSTAT -NABV | FINDstr ".exe .dll WYSŁANO_SYN" >> %fanzine%
SET /a licznik+=1
ECHO. >> %fanzine%
IF %licznik% EQU %nStoper% (
SET licznik=0
SET /a katalog+=1
)
GOTO Petla
dalej :

- zmienną magazyn - mogę, zdaje się, zastąpić jakimkolwiek innym wyrazem, byle by nie powtórzyło się z tym , co jest dalej w pętli ?

- wyrazy Petla - pomimo, że to jest "klamra" dla faktycznej pętli, chyba też mogłabym zastąpić innymi wyrazami, byleby były to te same dwa wyrazy na początku i na końcu pętli i nadal pętla będzie pętlą ?

- to samo ze zmienną fanzine - tez mogę zmienić na inny wyraz ?

- różnicę między > a >> już mi wyjaśniałeś

- rozumiem, że skrypt mówi mniej więcej coś takiego, że wyniki maja się zapisywać w katalogu scaner, a po przekroczeniu limitu dopisywanie ma się zatrzymać i jeśli plik wynikowy się zapełnił, tworzony jest nowy, który otrzymuje numer o 1 większy od poprzedniego, licznik się zeruje w nowym pliku i tak w kółko ...

- gdzieś tam trafiłam na wyjaśnienie, co znaczy ELSE lub EQU , ale nie jest dla mnie jasne użycie tych wszystkich nawiasów okrągłych - jakie ma znaczenie, że" )" jest w osobnej linii, albo, że " (" zamyka linię , albo, że ELSE jest między nawiasami - czy to są sztywne reguły, czy też mogłabym np. nawias z przedostatniej linii przenieść piętro wyżej ?

- no i ten zapis "FOR /f "tokens=*" %%G IN" - nie za bardzo mogę sobie wytłumaczyć :rolleyes:

 

no i pewnie niedługo zwiększę limit połączeń i zacznę męczyć kolejny błąd w dzienniku zdarzeń :)

Odnośnik do komentarza

Jak pierwszy raz wspomniałaś o ostrzeżeniach w dzienniku zdarzeń to nie miałaś chyba na pokładzie ESET'a... ale to nieistotne. Los czarownic w Twoich rękach, narzędzia tortur masz. :)

Jeśli polecenie z filtrowaniem wykonuje się w pętli (rzadziej lub) mniej więcej co sekundę, to równie dobrze możesz etykiety pętli wyrzucić i dopisać parametr -1 (analizę co 1 s) tak jak pokazał Ci to KolegaDudysa. Zależy, czy te informacje co znajdą się w pliku pozwolą Ci zweryfikować sprawcę (stąd propozycja "przemyślenia" usunięcia również czasu).

 

Jeśli chcesz przetestować jakiś fragment kodu użyj/dopisz po jakimś fragmencie kodu np.:

 

echo Jestem tutaj...
echo %nazwa_badanej_zmiennej%
pause
exit 1
Wyświetli Ci się napis jestem tuataj... wartość nazwa_badanej_zmiennej (np. magazyn, katalog, licznik, nStoper, fanzine) i napis Naciśnij dowolny klawisz aby kontynuować.... Po naciśnięciu dowolnego klawisza polecenie exit (z wartością 1 lub 0) kończy badany fragment skryptu. Jeśli zmienisz lokalizację nawiasu np. po IF lub ELSE i coś nie zadziała... dostaniesz swoją odpowiedź. magazyn, Petla, fanzine, także licznik, katalog, nStoper = TAK, możesz zmienić na dowolną nazwę.

 

:)

Odnośnik do komentarza

Jak pierwszy raz wspomniałaś o ostrzeżeniach w dzienniku zdarzeń to nie miałaś chyba na pokładzie ESET'a... ale to nieistotne. Los czarownic w Twoich rękach, narzędzia tortur masz. :)

zgadza się :), miałam wtedy Avirę, a jeszcze przedtem Avasta, ale kupiłam gazetkę z darmową płytą i teraz testuję ESET .... jak na razie podoba mi się ten program

 

A skrypt przetłumaczony na polski podeślę Ci, w wolnej chwili, na PW. Tłumaczenie tego tutaj do niczego nie prowadzi. :)

DZIĘKI WIELKIE za tłumaczenie na nasze :) - pracę jako nauczyciel masz na bank

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...