Skocz do zawartości

Dziwne problemy z komputerem


Rekomendowane odpowiedzi

Witam, od jakiegoś czasu zauważam dziwne zachowania na komputerze, wymienię kilka z nich:

- wczoraj zaobserwowałem na pulpicie, nową ikonę - Google Earth, którego pobrałem chyba na początku roku, a wczoraj się sam(?) zainstalował, w logach widnieje chyba jako pobrany właśnie dnia wczorajszego, ale dziwna sprawa, bo wczoraj ani nie pobierałem, ani nie instalowałem tego programu,
- w dziennikach zdarzeń w 'zabezpieczeniach' podczas gdy komputer jest włączony, pojawiają się nowe wpisy ''użytkownik pomyślnie zalogował się na koncie'', ''Przypisano specjalne uprawnienia do nowego logowania'',
- nie mogę odpalić programu CyberLink YouCam, pomimo, że startuje wraz z systemem (na pasku zadań jest w ukrytych ikonach odpalony, ale po wybraniu jakiejkolwiek opcji nie reaguje),
- niedawno samowolnie poprzestawiały mi się w dość dziwny sposób ikony na pulpicie,
- program do przywracania systemu zmodyfikował się sam (data modyfikacji zmieniła się sama jakiś czas temu, a program nie był włączany ani aktualizowany),
- ostatnio w Chromie przy zielonej kłódeczce na niektórych stronach (w tym fb) zauważyłem wpis ''Ta witryna dostarczyła nieprawidłowe informacje o certyfikacie, korzystając z protokołu  Certificate Transparency'', a przy odpaleniu przeglądarki tuż po starcie systemu jest przez jakiś czas normalnie, że połączenie jest prywatne, potem się zmienia na powyższe,
- na YT często po odpaleniu filmiku występuje błąd odtwarzania (pomaga odświeżenie strony),
- ostatnio chcąc odpalić windows defender wyskakuje mi okienko, że program jest wyłączony (nie mogę go w żaden sposób włączyć),
- nie mogę się zalogować do skype'a (wystąpił problem spowodowany ustawieniami programu Internet Explorer, aby go rozwiązać mam sprawdzić w opcjach internetowych IE, czy opcje TLS są włączone - dodam, że w IE żadna stronka nie chce się wczytać, więc to chyba jakiś problem po stronie IE)



Robiłem skany MBAM, avastem i adwcleaner - żaden program niczego nie znalazł.

GMERlog.txt
Addition.txt
FRST.txt
Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach nie widzę niczego podejrzanego.

Nie licząc oczywiście listy błędów pokazanych w logu Addition, a dotyczących CyberLink YouCam

 

Tylko drobna kosmetyka:

Otwórz Notatnik i wklej w nim:

 

Task: {4F50EB15-D685-44E2-A03A-B8FF8313EA6E} - System32\Tasks\{A19D7724-597F-4DD5-8C89-B9F253147040} => pcalua.exe -a F:\autorun.exe -d F:\
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zgłoś swój temat w https://www.fixitpc.pl/topic/29279-zg%C5%82oszenia-temat%C3%B3w-bez-odpowiedzi/

 

jessi

Odnośnik do komentarza
  • 4 tygodnie później...

Wracam do tematu, proszę o odpowiedź na pytania :)

 

1. Czy wymienione w temacie problemy mogą wskazywać na to, że komputer został przejęty (od jakiegoś czasu nie były instalowane aktualizacje Windows update)?

 

2. Czy modyfikacja (nie przeze mnie) programu, za pomocą którego przywracam ustawienia fabryczne komputera może wskazywać na to, że zostały zmienione te ustawienia przez intruza (o ile to możliwe) i w ten sposób nawet po przywróceniu systemu problemy pozostaną?

 

3. Czy jeśli do komputera podłączane były (np. przez USB) inne urządzenia, czy np. było z komputera udostępniane połączenie (windows hotspot) to też mogły zostać jakoś przejęte?

 

4. Czy router połączony kablem również mógł stać się obiektem przejęcia (i tu może głupie pytanie, ale czy sam kabel od routera również mógł zostać zainfekowany i wpięty do innego urządzenia może wyrządzić szkodę?)?

 

5. Czy logowanie na różnych stronach z poziomu innych urządzeń również może być szkodliwe i czy wystarczy zmiana hasła? Chodzi mi tu czy intruz mógłby jakoś podsłuchiwać aktywność na danym koncie nie znając hasła.

 

6. Do powyższych pytań, czy do ataku na komputer wystarczy adres IP czy MAC? Czy mogłem być jakoś widoczny od strony internetu jako podatny na atak?

 

7. Czy można jakoś dogłębnie sprawdzić czy komputer został przejęty?

Odnośnik do komentarza

Ad. 1 

 

Nie, wszystko to jest wytłumaczalne. Informacje w spoilerze. 

 

 

Z Twojego pierwszego posta:

Ad. 1 W Harmonogramie zadań jest uruchomiony aktualizator Google i pewnie to jego robota.

 
Task: {74117283-817F-4223-8F9A-9F2920F330CF} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-05] (Google Inc.)
Task: {805FD336-1787-42DA-A1DE-576F8E112A95} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-05] (Google Inc.)
Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

 

Ad. 2 Sam rekord dziennika o niczym nie świadczy. Te wpisy występują nawet u picasso i nie są żadną oznaką włamania.

 

Ad. 3 Masz masakrycznie starą wersję tego programu. I tu się można zastanawiać dlaczego to ma działać. 

 

Ad. 4 Tutaj może być masa przyczyn, zresztą kompletnie pozainfekcyjnych. 

 

Ad. 5 W systemie działa masa procesów i usług Lenovo, automodyfikacja / aktualizacja nie jest niczym niezwykłym.

 

Ad. 6 To samo co w czwartej adnotacji.

 

Ad. 7 To samo co w czwartej adnotacji.

 

Ad. 8 Masz zainstalowany Avast. Jeżeli jest instalowany zewnętrzny antywirus, Windows Defender jest automatycznie dezaktywowany przez Windows i jest to normalne (zapobiega kolizji).

 

Ad. 9 Masz przestarzałą i nieobsługiwaną wersję, taka sama sytuacja co w trzeciej adnotacji.

 

 

Ad. 2

 

Patrz do spoileru, to normalne, że program został zmodyfikowany. 

 

Ad. 3

 

Najpierw musiało by raczej dojść do infekcji, a dopiero potem do włamania. 

 

Ad. 4

 

To jest technicznie nie możliwe, przecież kabel nie ma żadnej pamięci. 

 

Ad. 5

 

Nie mógł.

 

Ad. 6

 

Nie wystarczy ani IP, ani adres MAC. 

 

Ad. 7

 

Są różne techniki analizowania pod kątem włamania, ale w Twoim przypadku jest to zbędne. Mówię: nie wpadaj w paranoje. 

Odnośnik do komentarza

Dziękuję bardzo za odpowiedź!

Moje obawy wzięły się z tego, że te wszystkie "przypadłości" skumulowały się w jednym czasie, a aktualizacje windows update nie były jakoś od roku instalowane, odkąd musiałem przez zwieche przywrócić ustawienia fabryczne. A w ciągu roku pojawiło się w internecie trochę artykułów o lukach w zabezpieczeniach pozwalających na przejęcie kontroli nad systemem.

Odnośnik do komentarza

OK. Wcześniej używałeś narzędzia FRST, teraz możesz go już skasować, bo jest to narzędzia często aktualizowane, więc jednorazowe. Do tego działania użyj programu DelFix.

Zaktualizuj również ważne programy - KLIK

 

W Twoim systemie pomimo zainstalowanego SP 1 może brakować sporej liczby aktualizacji, uruchom Windows Update i zaktualizuj system. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...