sudoku777 Opublikowano 30 Maja 2015 Zgłoś Udostępnij Opublikowano 30 Maja 2015 (edytowane) Witam,Jakiś czas temu kiedy przeglądałem internet to strony nie ładowały się poprawnie.Problem polegał na tym, że zamiast załadowanej strony pojawiało się kilka linijek jakiegoś tekstu (przepraszam, zignorowałem to i nie zrobiłem zrzutu ekranu) lub strony nie ładowały się poprawnie. Polegało to na tym, że zdjęcia na portalach były jakby przekształcone kolorystycznie albo przesunięte, np. prawidłowe zdjęcie [ABC], niepoprawne zdjęcie [bCA].Chciałbym zaznaczyć że:- Używam internetu darmowego aero2, który jest dość wolny, lecz wcześniej strony wyświetlały się poprawnie- Działo się to podczas wyborów prezydenckich, po wyborach problem zniknął (możliwe że było to spowodowane przeciążeniem sieci)Dzisiaj doszedłem do wniosku, że przydałoby się zmienić hasła do e-maila.Podczas zmiany haseł zaalarmowało mnie powiadomienie w gmail'u, że ktoś jest zalogowany na moje konto w innej lokalizacji, dlatego postanowiłem założyć tutaj wątek. [Nigdy nikomu nie podaję swoich haseł]Wcześniej też miałem problem z pobraniem narzędzia Kaspersky Virus Removal Tool. Pobrałem narzędzie na innym komputerze i przekopiowałem na swój, lecz skanowanie niczego nie wykryło.Zauważyłem też kilka razy w odstępie co kilka dni, że podczas uruchamiania komputera wyświetla się informacja że komputer nie został zamknięty pomyślnie oraz okno wyboru: uruchom tryb awaryjny, itp. uruchom system windows normalnie, chociaż, że zamykałem go poprawnie. Jedyną osobą w domu która potrafi obsługiwać komputer to przybrany brat. Nie wiem w jakim celu miałby uruchamiać komputer skoro na windowsie xp oraz windowsie 7 mam założone hasła.Chciałbym zaznaczyć, że używałem narzędzia ophcrack na windowsie xp, ponieważ zapomniałem hasła, a w raporcie z kasperskiego uruchomiłem inną aplikację, ponieważ nabrałem się (chodź rzadko mi się to zdarza) na okienko z reklamą DOWNLOAD...Utworzyłem log z narzędzia FRST, tak jak zawsze korzystam z komputera.GMER'a uruchomiłem gdy zamknąłem tyle procesów w tle ile było możliwe razem z antywirusem. Komputer nie chciał się prawidłowo zamknąć, więc użyłem przycisku reset.Odinstalowałem emulator napędów Daemon tools, będę go później instalował.Nie wykryto sterownika SPTD.Nie czuję się na siłach aby grzebać w rejestrze, więc zakończę to na kroku nr. 2.Załączam dodatkowo raport z infekcji, które wykrył Kaspersky Pure 3.0. PS. Wasze forum polecił mi kolega, powiedział że odwalacie tu dobrą robotę Po zakończeniu tego tematu prześlę małą dotację. PS2. Tak z ciekawości, co to takiego i do czego służy? Panel sterowania -> Sieć i internet -> Połączenia sieciowe -> [Lewy Alt] -> Zaawansowane -> Ustawienia zaawansowane... -> [zakładka] Kolejność dostawców -> [w okienku] Dostawcy sieci: - Dostawca sieci serwera hosta sesji pulpitu zdalnego firmy microsoft - Sieć microsoft Windows Network - Web Client Network Pozdrawiam Po zamieszczeniu wątku na waszym forum, stało się coś dziwnego. Nie wiem czemu ale zwykle gdy jestem połączony z internetem to w Centrum sici i udostepniania pokazuje mi się graficznie że jest brak połączenia z internetem. Gdy zamieściłem wątek, to w Centrum sieci i udostępniania pokazało się graficzne połączenie z internetem, jak również na pasku powiadomień... Przepraszam, zapomniałem odinstalować UltraISO oraz AstroBurner, przesyłam nowe logi z '2' na końcu nazwy. 03.06.2015 Zaobserwowałem też, że raz na jakiś czas wyskakują samoczynnie prośby o pobranie pliku. W ostatnim takim komunikacie była prośba o pobranie pliku 'primetime_gmp_win_x86_rc_20575.zip'. Używam menadżer pobierania Internet Download Menager. infekcje Kaspersy.txt remg1.txt Addition.txt FRST.txt Shortcut.txt Addition2.txt FRST2.txt gmer2.txt Shortcut2.txt Edytowane 3 Czerwca 2015 przez sudoku777 Odnośnik do komentarza
Zappa Opublikowano 29 Lipca 2015 Zgłoś Udostępnij Opublikowano 29 Lipca 2015 sudoku, widziałeś liste twoich niby infekcji w kasperskym? Nieaktywny AcroRd32.exe F:\Program Files (x86)\Adobe\Reader 9.0\Reader\? 2015-05-19 00:05:14 http://redirect.kaspersky.com/?hl=pl-PL&target=securelist&rpe=1&function=advisories&VN=10033Nieodnaleziony lsremora64.dll F:\Users\ADEX\Downloads\Programs\ophcrack-win32-installer-3.6.0.exe//? 2015-05-14 13:36:26 not-a-virus:PSWTool.Win32.PWDump.saNieodnaleziony lsremora.dll F:\Users\ADEX\Downloads\Programs\ophcrack-win32-installer-3.6.0.exe//? 2015-05-14 13:36:26 not-a-virus:PSWTool.Win32.PWDump.saNieodnaleziony pwdump6_setup.exe F:\Users\ADEX\Downloads\Programs\ophcrack-win32-installer-3.6.0.exe//? 2015-05-14 13:36:25 not-a-virus:PSWTool.Win32.PWDump.atNieodnaleziony servpw.exe F:\Users\ADEX\Downloads\Programs\ophcrack-win32-installer-3.6.0.exe//? 2015-05-14 13:36:25 not-a-virus:PSWTool.Win32.PWDump.ar Chcesz pomocy? Co się dzieje? To co znalazł kasper to program deszyfrujący ophcrack i on jest przez antywirusy tak widziany. Jak masz dalej problemy wstaw nowe raporty z FRST. Odnośnik do komentarza
sudoku777 Opublikowano 30 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2015 @Zappa Chciałbym zaznaczyć, że używałem narzędzia ophcrack na windowsie xp, ponieważ zapomniałem hasła, a w raporcie z kasperskiego uruchomiłem inną aplikację, ponieważ nabrałem się (chodź rzadko mi się to zdarza) na okienko z reklamą DOWNLOAD... Raport z Kasperskiego ukazuje inną aplikację, która była zawirusowana, ponieważ kliknąłem niewłaściwe okienko download i pobrałem niewłaściwą aplikację. Napisałem to dlatego abyście wiedzieli, że to JA używałem tego narzędzia, a nie jakaś osoba trzecia grzebała mi w komputerze. A właściwy program ophcrack nie zawierał żadnych wirusów, przynajmniej według Kasperskiego. ----------------------------------------------------------------------------------------------------------------------------------------------------------------- Jeśli chodzi o wątek, to sprawdźcie tylko mi czy w pozostałych logach nie ma nic podejrzanego. Ja i tak jestem teraz w Anglii, więc jeśli coś znajdziecie, to wątek będzie nierozwiązany do mojego powrotu, a to może potrwać może i 3 miesiące. Odnośnik do komentarza
picasso Opublikowano 13 Października 2015 Zgłoś Udostępnij Opublikowano 13 Października 2015 (edytowane) Temat porządkuję zostawiając tylko meritum. W raportach nie było widać żadnych oznak infekcji i bardzo wątpię, by to w tym było dzieło. Dzisiaj doszedłem do wniosku, że przydałoby się zmienić hasła do e-maila. Podczas zmiany haseł zaalarmowało mnie powiadomienie w gmail'u, że ktoś jest zalogowany na moje konto w innej lokalizacji, dlatego postanowiłem założyć tutaj wątek. [Nigdy nikomu nie podaję swoich haseł] Ten komunikat o niczym nie świadczy. Nawet z poziomu tego samego komputera identyfikowanego tym samym IP otwarcie Gmail więcej niż raz, ale na różne sposoby, może być traktowane jako "inna lokalizacja". Przykładowo, otworzona strona Gmail w przeglądarce oraz równocześnie czynny jakiś program mający tam dostęp (np. pocztowy, popatrz też niżej na Intel Smart Connect) to już dwie różne lokalizacje. Szerszy opis tutaj: KLIK. Zauważyłem też kilka razy w odstępie co kilka dni, że podczas uruchamiania komputera wyświetla się informacja że komputer nie został zamknięty pomyślnie oraz okno wyboru: uruchom tryb awaryjny, itp. uruchom system windows normalnie, chociaż, że zamykałem go poprawnie. Jedyną osobą w domu która potrafi obsługiwać komputer to przybrany brat. Nie wiem w jakim celu miałby uruchamiać komputer skoro na windowsie xp oraz windowsie 7 mam założone hasła. Żadnych konkretów w raportach. Choć w takich przypadkach podejrzane są najbardziej inwazyjne programy (oprogramowanie zabezpieczające), tu Kaspersky PURE 3.0. Wersja sprzed 2 lat. Przy okazji, w Dzienniku zdarzeń widzę takie błędy: Application errors: ================== Error: (05/30/2015 10:07:04 AM) (Source: ISCT Agent) (EventID: 1003) (User: ) Description: CAgentState::DoPeriodicSuspendResume ****Error in initialize NetDetect, status = 0x2 Produkuje je Intel Smart Connect Technology. Posiadasz następującą wersję z roku 2012: Intel® Smart Connect Technology 2.0 x64 (HKLM\...\{12ABC13D-6540-483D-92B9-30CE1667B002}) (Version: 2.0.1083.0 - Intel) R2 ISCTAgent; F:\Program Files\Intel\Intel® Smart Connect Technology Agent\iSCTAgent.exe [133632 2012-02-09] () Może trzeba przeinstalować / zaktualizować tę paczkę. Zaobserwowałem też, że raz na jakiś czas wyskakują samoczynnie prośby o pobranie pliku. W ostatnim takim komunikacie była prośba o pobranie pliku 'primetime_gmp_win_x86_rc_20575.zip'. Używam menadżer pobierania Internet Download Menager. Sama nazwa pliku nie wskazuje na nic szkodliwego. Spójrz jaki jest kontekst tej paczki, przy założeniu że serwer z którego plik chciał się pobierać odpowiadał podanej informacji: KLIK. Jeśli zaś chodzi o samoczynne pobieranie, to podejrzewam, że to właśnie robota Internet Download Manager. Teorię można sprawdzić wyłączając testowo integrację IDM z przeglądarką Firefox. FF HKU\S-1-5-21-4209662531-3502238934-3140455397-1000\...\Firefox\Extensions: [mozilla_cc@internetdownloadmanager.com] - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 FF Extension: IDM CC - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 [2015-05-30] FF HKU\S-1-5-21-4209662531-3502238934-3140455397-1000\...\SeaMonkey\Extensions: [mozilla_cc@internetdownloadmanager.com] - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 Nie widzę w FRST Addition jaka wersja IDM jest zainstalowana. Być może nie jest najnowsza i kolejna aktualizacja na widoku. PS2. Tak z ciekawości, co to takiego i do czego służy? Panel sterowania -> Sieć i internet -> Połączenia sieciowe -> [Lewy Alt] -> Zaawansowane -> Ustawienia zaawansowane... -> [zakładka] Kolejność dostawców -> [w okienku] Dostawcy sieci: - Dostawca sieci serwera hosta sesji pulpitu zdalnego firmy microsoft - Sieć microsoft Windows Network - Web Client Network To są dostawcy związani z uzyskiwaniem dostępu do zasobów sieciowych (np. zmapowany dysk sieciowy) lub łączeniem domenowym. Sieć Microsoft Windows Network = połączenia typu SMB. Web Client Network = połączenia typu WebDav. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi