szymi7 Opublikowano 20 Listopada 2016 Zgłoś Udostępnij Opublikowano 20 Listopada 2016 Witam, od jakiegoś czasu zauważam dziwne zachowania na komputerze, wymienię kilka z nich:- wczoraj zaobserwowałem na pulpicie, nową ikonę - Google Earth, którego pobrałem chyba na początku roku, a wczoraj się sam(?) zainstalował, w logach widnieje chyba jako pobrany właśnie dnia wczorajszego, ale dziwna sprawa, bo wczoraj ani nie pobierałem, ani nie instalowałem tego programu,- w dziennikach zdarzeń w 'zabezpieczeniach' podczas gdy komputer jest włączony, pojawiają się nowe wpisy ''użytkownik pomyślnie zalogował się na koncie'', ''Przypisano specjalne uprawnienia do nowego logowania'',- nie mogę odpalić programu CyberLink YouCam, pomimo, że startuje wraz z systemem (na pasku zadań jest w ukrytych ikonach odpalony, ale po wybraniu jakiejkolwiek opcji nie reaguje),- niedawno samowolnie poprzestawiały mi się w dość dziwny sposób ikony na pulpicie,- program do przywracania systemu zmodyfikował się sam (data modyfikacji zmieniła się sama jakiś czas temu, a program nie był włączany ani aktualizowany),- ostatnio w Chromie przy zielonej kłódeczce na niektórych stronach (w tym fb) zauważyłem wpis ''Ta witryna dostarczyła nieprawidłowe informacje o certyfikacie, korzystając z protokołu Certificate Transparency'', a przy odpaleniu przeglądarki tuż po starcie systemu jest przez jakiś czas normalnie, że połączenie jest prywatne, potem się zmienia na powyższe,- na YT często po odpaleniu filmiku występuje błąd odtwarzania (pomaga odświeżenie strony),- ostatnio chcąc odpalić windows defender wyskakuje mi okienko, że program jest wyłączony (nie mogę go w żaden sposób włączyć),- nie mogę się zalogować do skype'a (wystąpił problem spowodowany ustawieniami programu Internet Explorer, aby go rozwiązać mam sprawdzić w opcjach internetowych IE, czy opcje TLS są włączone - dodam, że w IE żadna stronka nie chce się wczytać, więc to chyba jakiś problem po stronie IE)Robiłem skany MBAM, avastem i adwcleaner - żaden program niczego nie znalazł.GMERlog.txtAddition.txtFRST.txtShortcut.txt Odnośnik do komentarza
jessica Opublikowano 20 Listopada 2016 Zgłoś Udostępnij Opublikowano 20 Listopada 2016 W logach nie widzę niczego podejrzanego. Nie licząc oczywiście listy błędów pokazanych w logu Addition, a dotyczących CyberLink YouCam Tylko drobna kosmetyka: Otwórz Notatnik i wklej w nim: Task: {4F50EB15-D685-44E2-A03A-B8FF8313EA6E} - System32\Tasks\{A19D7724-597F-4DD5-8C89-B9F253147040} => pcalua.exe -a F:\autorun.exe -d F:\EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). Zgłoś swój temat w https://www.fixitpc.pl/topic/29279-zg%C5%82oszenia-temat%C3%B3w-bez-odpowiedzi/ jessi Odnośnik do komentarza
szymi7 Opublikowano 20 Listopada 2016 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2016 Dziękuję za odpowiedź Odnośnik do komentarza
szymi7 Opublikowano 19 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 19 Grudnia 2016 Wracam do tematu, proszę o odpowiedź na pytania 1. Czy wymienione w temacie problemy mogą wskazywać na to, że komputer został przejęty (od jakiegoś czasu nie były instalowane aktualizacje Windows update)? 2. Czy modyfikacja (nie przeze mnie) programu, za pomocą którego przywracam ustawienia fabryczne komputera może wskazywać na to, że zostały zmienione te ustawienia przez intruza (o ile to możliwe) i w ten sposób nawet po przywróceniu systemu problemy pozostaną? 3. Czy jeśli do komputera podłączane były (np. przez USB) inne urządzenia, czy np. było z komputera udostępniane połączenie (windows hotspot) to też mogły zostać jakoś przejęte? 4. Czy router połączony kablem również mógł stać się obiektem przejęcia (i tu może głupie pytanie, ale czy sam kabel od routera również mógł zostać zainfekowany i wpięty do innego urządzenia może wyrządzić szkodę?)? 5. Czy logowanie na różnych stronach z poziomu innych urządzeń również może być szkodliwe i czy wystarczy zmiana hasła? Chodzi mi tu czy intruz mógłby jakoś podsłuchiwać aktywność na danym koncie nie znając hasła. 6. Do powyższych pytań, czy do ataku na komputer wystarczy adres IP czy MAC? Czy mogłem być jakoś widoczny od strony internetu jako podatny na atak? 7. Czy można jakoś dogłębnie sprawdzić czy komputer został przejęty? Odnośnik do komentarza
Miszel03 Opublikowano 22 Grudnia 2016 Zgłoś Udostępnij Opublikowano 22 Grudnia 2016 Ad. 1 Nie, wszystko to jest wytłumaczalne. Informacje w spoilerze. Z Twojego pierwszego posta: Ad. 1 W Harmonogramie zadań jest uruchomiony aktualizator Google i pewnie to jego robota. Task: {74117283-817F-4223-8F9A-9F2920F330CF} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-05] (Google Inc.)Task: {805FD336-1787-42DA-A1DE-576F8E112A95} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-05] (Google Inc.) Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Ad. 2 Sam rekord dziennika o niczym nie świadczy. Te wpisy występują nawet u picasso i nie są żadną oznaką włamania. Ad. 3 Masz masakrycznie starą wersję tego programu. I tu się można zastanawiać dlaczego to ma działać. Ad. 4 Tutaj może być masa przyczyn, zresztą kompletnie pozainfekcyjnych. Ad. 5 W systemie działa masa procesów i usług Lenovo, automodyfikacja / aktualizacja nie jest niczym niezwykłym. Ad. 6 To samo co w czwartej adnotacji. Ad. 7 To samo co w czwartej adnotacji. Ad. 8 Masz zainstalowany Avast. Jeżeli jest instalowany zewnętrzny antywirus, Windows Defender jest automatycznie dezaktywowany przez Windows i jest to normalne (zapobiega kolizji). Ad. 9 Masz przestarzałą i nieobsługiwaną wersję, taka sama sytuacja co w trzeciej adnotacji. Ad. 2 Patrz do spoileru, to normalne, że program został zmodyfikowany. Ad. 3 Najpierw musiało by raczej dojść do infekcji, a dopiero potem do włamania. Ad. 4 To jest technicznie nie możliwe, przecież kabel nie ma żadnej pamięci. Ad. 5 Nie mógł. Ad. 6 Nie wystarczy ani IP, ani adres MAC. Ad. 7 Są różne techniki analizowania pod kątem włamania, ale w Twoim przypadku jest to zbędne. Mówię: nie wpadaj w paranoje. Odnośnik do komentarza
szymi7 Opublikowano 22 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 22 Grudnia 2016 Dziękuję bardzo za odpowiedź! Moje obawy wzięły się z tego, że te wszystkie "przypadłości" skumulowały się w jednym czasie, a aktualizacje windows update nie były jakoś od roku instalowane, odkąd musiałem przez zwieche przywrócić ustawienia fabryczne. A w ciągu roku pojawiło się w internecie trochę artykułów o lukach w zabezpieczeniach pozwalających na przejęcie kontroli nad systemem. Odnośnik do komentarza
Miszel03 Opublikowano 24 Grudnia 2016 Zgłoś Udostępnij Opublikowano 24 Grudnia 2016 OK. Wcześniej używałeś narzędzia FRST, teraz możesz go już skasować, bo jest to narzędzia często aktualizowane, więc jednorazowe. Do tego działania użyj programu DelFix. Zaktualizuj również ważne programy - KLIK. W Twoim systemie pomimo zainstalowanego SP 1 może brakować sporej liczby aktualizacji, uruchom Windows Update i zaktualizuj system. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się