hoohoo Opublikowano 22 Stycznia 2012 Zgłoś Udostępnij Opublikowano 22 Stycznia 2012 Witam serdecznie. Zwracam się z prosba o przejrzenie moich logow czy wszystko jest ok i ogolne zapoznanie się z moja sytuacja. Ostatnio mialam problemy z komputerem. Mam zainstalowanego COMODO firewall i Avasta. Na COMODO poblokowalam pare procesow, na których temat wyczytalam, ze sa szkodliwe. Sa to: lvvm.exe csrss.exe 5FAC4.exe regs.exe B4E.exe One wszystkie sa w Users\User\AppData\Roaming Czy dobrze zrobilam? Niepokoi mnie również połączenie netsession_win.exe. Staralam się wyszukac infromacje na ten temat, ale nie zrozumialam w koncu czy powinno się go usuwac czy nie, w jaki sposób i za co odpowiada ten proces w rzeczywistosci. Pozdrawiam i czekam na odpowiedz. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2012 Zgłoś Udostępnij Opublikowano 22 Stycznia 2012 Na COMODO poblokowalam pare procesow, na których temat wyczytalam, ze sa szkodliwe. Sa to:lvvm.exe csrss.exe 5FAC4.exe regs.exe B4E.exe One wszystkie sa w Users\User\AppData\Roaming Czy dobrze zrobilam? Owszem, wygląda to szkodliwie. W logach z OTL widzę po tym szczątki, oraz z tej serii podrobiony "Internet Explorer": O20 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001 Winlogon: Shell - (C:\Users\Monika\AppData\Roaming\C6A2B\5FAC4.exe) - File not found [2012/01/13 12:23:52 | 000,288,768 | ---- | C] () -- C:\Users\Monika\AppData\Roaming\iexplore.exe Niepokoi mnie również połączenie netsession_win.exe. Staralam się wyszukac infromacje na ten temat, ale nie zrozumialam w koncu czy powinno się go usuwac czy nie, w jaki sposób i za co odpowiada ten proces w rzeczywistosci. To Akamai NetSession Interface. Dla porównania temat: KLIK. Aplikację możesz odinstalować z systemu, choć nie jest szkodnikiem. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Monika\AppData\Roaming\*.* C:\Users\Monika\AppData\Roaming\2B37F C:\Users\Monika\AppData\Roaming\C6A2B C:\Users\Monika\AppData\Roaming\OpenCandy C:\Windows\Tasks\*.job :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL IE - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:54081 O2:64bit: - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssiea.dll File not found O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll File not found O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\bin\ssv.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1305055937_2696e0821e0741f01f306d65d2be89e5&GroupName=JSC&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab&BHost=javadl.sun.com" (Reg Error: Key error.) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444552440000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i powinien otworzyć się automatycznie w Notatniku log z wynikami usuwania. Jeśli nie, szukaj go w katalogu D:\_OTL. 2. Otwórz Firefox, wejdź do menedżera rozszerzeń i odinstaluj wątpliwy dodatek vShare Toolbar. 3. Wykonaj nowy log z OTL opcją Skanuj. Dołącz log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
hoohoo Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Dziekuje bardzo za poswiecenie uwagi i czasu. Usunelam iexplorer.exe z tej serii i od razu Avast mi wykryl trojana i wyslal do kwarantanny. Jeśli chodzi o netsession_win.exe, zaniepokoilo mnie to, ze w COMODO w aktywnych połaczeniach w protokole UDP OUT to ja jestem Zrodlem, a Kierunkiem jest około 5 albo wiecej numerow IP. I te numery IP sa przypisane do United States, tak jakby do zwyklych uzytkownikow. No i netsession_win.exe znajduje się w AppData\Local\Akamai\ . Podobno to netsession przyspiesza łącza (?). Wykonałam wszystkie 3 punkty. W załączniku logi. Plik .log: http://wklej.org/id/675899/txt/ Pozdrawiam. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Usunelam iexplorer.exe z tej serii i od razu Avast mi wykryl trojana i wyslal do kwarantanny. Nie musiałaś tego robić ręcznie. Mój skrypt do OTL miał zaplanowany warunek wieloznaczny obejmujący ten plik. Skrypt dopatrzył sę także fałszywego "Firefox.exe" w tej samej lokalizacji. Jeśli chodzi o netsession_win.exe, zaniepokoilo mnie to, ze w COMODO w aktywnych połaczeniach w protokole UDP OUT to ja jestem Zrodlem, a Kierunkiem jest około 5 albo wiecej numerow IP. I te numery IP sa przypisane do United States, tak jakby do zwyklych uzytkownikow. No i netsession_win.exe znajduje się w AppData\Local\Akamai\ . Podobno to netsession przyspiesza łącza (?). Co to jest ów Akamai: KLIK. Może zostać zamontowany przy pobieraniu obszernej paczki któregoś oprogramowania, jako "wspomaganie" procesu ściągania tejże. Możesz go spokojnie odinstalować. Nadal widzę Akamai zainstalowany w systemie, chyba że to logi sprzed jego deinstalacji. Skrypt pomyślnie wykonany. 1. Drobna poprawka na wpis rozszerzenia vShare Toolbar. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 Klik w Wykonaj skrypt. Następnie użyj funkcję Sprzątanie w OTL, która usunie z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Wykonaj pełne skanowanie całego dysku za pomocą posiadanego Avast i przedstaw wyniki. . Odnośnik do komentarza
hoohoo Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Wykonałam wszystkie czynności. Nie mialam ustawionej opcji "generuj plik raportu", wiec zrobiłam screena: http://wyslijto.pl/files/download/3tt2qwnqua Pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Przez SHIFT+DEL skasuj cały folder C:\Users\Monika\AppData\Roaming\Microsoft\C43C. Pozostałe wyniki z "Softonic" w nazwie nie przedstawiają troski, to zapewne skutek formy instalatora (typ "bundle"). . Odnośnik do komentarza
hoohoo Opublikowano 23 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Zrobione. Dziękuje bardzo za pomoc Pani Picasso i pozdrawiam serdecznie Odnośnik do komentarza
picasso Opublikowano 23 Stycznia 2012 Zgłoś Udostępnij Opublikowano 23 Stycznia 2012 Należy jeszcze wykonać aktualizacje systemu i oprogramowania. Wyciąg z Twojej listy zainstalowanych: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player ActiveX 64" = Adobe Flash Player 10 ActiveX 64-bit"Adobe Flash Player Plugin 64" = Adobe Flash Player 10 Plugin 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.7 MUI"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Google Chrome" = Google Chrome Szczegóły aktualizacyjne: INSTRUKCJE. . Odnośnik do komentarza
hoohoo Opublikowano 24 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Stycznia 2012 Aktualizowane. Nie chciało się tylko zainstalować "Aktualizacja funkcji walidacji plików pakietu Office 2010 (KB2553065), wersja 32-bitowa" i "Windows 7 Service Pack 1 dla systemów opartych na procesorach x64 (KB976932)" poprzez Windows Update. Już kiedyś próbowałam to aktualizować, ale nie udało sie. Dziwi mnie, że mam aktualizacje dla wersji 32. Odnośnik do komentarza
picasso Opublikowano 24 Stycznia 2012 Zgłoś Udostępnij Opublikowano 24 Stycznia 2012 Już kiedyś próbowałam to aktualizować, ale nie udało sie. Na początek zresetuj komponenty Windows Update za pomocą Fix-it Microsoftu: KLIK. Po restarcie pobierz pełny instalator Service Pack na dysk, z linka który podałam, i ponów próbę. Dziwi mnie, że mam aktualizacje dla wersji 32. Wg listy zainstalowanych Office występuje u Ciebie w wersji 32-bit oraz 64-bit. To się zgadza z podsuwaniem łatek typu "x86" dla Office. . Odnośnik do komentarza
hoohoo Opublikowano 26 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 26 Stycznia 2012 Zrobione. Odinstalowałam dzisiaj pare programów, aplikacji, które mi się pewnie zainstalowały przy okazji aktualizacji albo innych instalacji. Między innymi Miranda. Oczywiście po uprzednim sprawdzeniu co to za program. Zastanawia mnie tylko "k_series_screensaver_en". Wyczytałam, że to jest jakiś wygaszacz(?), aplikacja ASUSa. Dziękuje bardzo jeszcze raz za pomoc Odnośnik do komentarza
picasso Opublikowano 26 Stycznia 2012 Zgłoś Udostępnij Opublikowano 26 Stycznia 2012 Zrobione. Mam rozumieć, że Service Pack i inne aktualizacje gładko się zainstalowały? Zastanawia mnie tylko "k_series_screensaver_en". Wyczytałam, że to jest jakiś wygaszacz(?), aplikacja ASUSa. Tak, to zdaje się być domyślnie preinstalowany wygaszacz ASUS. . Odnośnik do komentarza
hoohoo Opublikowano 27 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2012 Był komunikat, że aktualizacja przebiegła pomyślnie i żadne okienko mi nie wyskakuje na temat aktualizacji, więc chyba tak Odnośnik do komentarza
hoohoo Opublikowano 27 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2012 Wszystko wydawało się ok, ale dzisiaj uruchomiłam komputer i zaczął mi się wieszać, zacinać. Muzyka normalnie grała z winampa, a był zawieszony i za jakiś czas "odtwarzał" moje działania na komputerze. Uruchomiłam ponownie. Na niebieskim tle komunikat "Przygotowania do konfiguracji systemu Windows...", a następnie normalne uruchomienie systemu. Przed aktualizacją miałam podobny problem, ale byłam pewna, że aktualizacja go rozwiąże. Odnośnik do komentarza
picasso Opublikowano 27 Stycznia 2012 Zgłoś Udostępnij Opublikowano 27 Stycznia 2012 Był komunikat, że aktualizacja przebiegła pomyślnie i żadne okienko mi nie wyskakuje na temat aktualizacji, więc chyba tak Panel sterowania > System i zabezpieczenia > System > czy jest widoczny napis "Dodatek Service Pack 1"? Uruchomiłam ponownie. Na niebieskim tle komunikat "Przygotowania do konfiguracji systemu Windows...", a następnie normalne uruchomienie systemu. Przed aktualizacją miałam podobny problem, ale byłam pewna, że aktualizacja go rozwiąże. Czy ten komunikat nadal występuje po ponownym uruchomieniu? . Odnośnik do komentarza
hoohoo Opublikowano 27 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2012 Nie ma takiego napisu. Gdy klikne Windows Update i wyszukaj aktualizacje to wyszukuje aktualizacje bez konca. Uruchomilam jeszcze raz i to samo. Dodam, że jeśli nie korzystam z internetu (nie podłączono do bezprzewodowego) to nie zacina się w ogóle. Zastanawiam sie czy to moze nie kwestia gg zbudowanego w AQQ i samego gg. EDIT: Jesli chodzi o korzystanie z komputera bez internetu to chyba nie jest tak optymistycznie jak pisalam. Po paru minutach korzystania znow zaczal sie zawieszac. Jesli oglada sie film to wszystko jest ok, nawet przez godzine. Jesli tylko probuje uruchomic jakis program trwa to o wiele dluzej niz zazwyczaj, komputer wykonuje moje polecenia po dluzszym czasie albo w ogole sie zawiesa. Odnośnik do komentarza
picasso Opublikowano 27 Stycznia 2012 Zgłoś Udostępnij Opublikowano 27 Stycznia 2012 Nie ma takiego napisu. Czy na pewno Service Pack był pobierany jak wskazywałam z "Download Center" a nie z "Windows Update"? Chodziło mi o instalację SP1 za pomocą tego instalatora: KLIK. Gdy klikne Windows Update i wyszukaj aktualizacje to wyszukuje aktualizacje bez konca.Uruchomilam jeszcze raz i to samo. (...) Jesli chodzi o korzystanie z komputera bez internetu to chyba nie jest tak optymistycznie jak pisalam. Po paru minutach korzystania znow zaczal sie zawieszac. Może COMODO na spółkę z Avast przeszkadzają. Zresztą na czas instalacji aktualizacji zaleceniem jest pozbyć się oprogramowania zabezpieczającego, jeśli występują jakiekolwiek problemy z pobieraniem i instalacją zabezpieczeń. . Odnośnik do komentarza
hoohoo Opublikowano 27 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2012 Tak, sciagnelam i zainstalowalam ten plik: windows6.1-KB976932-X64.exe. Czyli powinnam wylaczyc internet, odinstalowac COMODO i Avasta, uruchomic powyzszy proces, zainstalowac od nowa COMODO i tym razem Avire? Jakis czas temu pytalam sie czy Comodo Internet Security nie gryzie sie z Avastem (zauwazylam haslo antivir w COMODO), ale uslyszalam, ze wszystko jest ok, wiec zostawilam tak jak jest. Teraz zaczynam miec watpliwosci. Odnośnik do komentarza
picasso Opublikowano 27 Stycznia 2012 Zgłoś Udostępnij Opublikowano 27 Stycznia 2012 Ja też mam wątpliwości na temat połączenia COMODO z Avastem. Skoro to jest COMODO z czynnym antywirusem (tak rozumiem co mówisz), to jest przeinwestowany układ, bo działa podwójny antywirus. Takie kombinacje są zdradliwe i nie powinny mieć miejsca. Tu powinno być: COMODO zainstalowane z ominięciem antywirusa + Avast, lub pełny pakiet COMODO bez Avast. Avirę nieszczególnie polecam: wersja darmowa ma ... skromne opcje oraz WebGuard instalowany tylko po zatwierdzeniu instalacji śmiecia sponsoringowego Ask Toolbar. Proponuję odinstalować wszystko (tymczasowo) i ponowić instalację pakietu Service Pack (zakładam, że mamy sytuację iż SP1 się nie zainstalował, bazując na braku opisu w Panelu sterowania). Dokładnie sprawdź po restarcie czy SP1 rzeczywiście został zainstalowany. Jeśli wystąpi tu jakiś problem, trzeba będzie diagnozować to innymi narzędziami. Dopóki nie rozwiążemy problemy z aktualizacjami, nie instaluj żadnych dodatkowych antywirusów. . Odnośnik do komentarza
hoohoo Opublikowano 27 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2012 Przegladalam strone Comodo i zauwazylam, ze moj pakiet zawieral antiwira. Decyduje sie na samego firewalla z comodo i avasta. Mam nadzieje, ze to zapewni mi nalezyta ochorne. Odinstaluje wszystko i ponowie SP. EDIT: Aktualizacja sie rozpoczela. "Poprawka systemu Windows...". Czytajac inne tematy natrafilam na "Pliki o dziwnych nazwach w prcesach". Te same procesyco u mnie, na moj komputer tez byly sciagane aplikacje do gry online tego typu, z oficjalnej strony, ale to bylo jakies 4 miesiace temu i wszyst bylo ok. ja sobie sama zapewne uruchomilam te procesy wraz z plikiem zawirusowanym, ktorego sobie sciagnelam jak frajerka, a potem bylo Comodo i Avast i wiadomo co dalej. EDIT2: Aktualizacja zakonczona powodzeniem Dodam, ze zainstalowalam w koncu z Windows Update i wszystko jest ok, jest w System haslo SP1. Teraz moge zainstalowac Comodo Firewall i antywira, czy mam wykonac jeszcze jakies czynnosci? Czy po tych czynnosciach moge byc pewna, ze nikt nie wlamie sie na moj komputer? Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2012 Zgłoś Udostępnij Opublikowano 29 Stycznia 2012 EDIT2: Aktualizacja zakonczona powodzeniem Dodam, ze zainstalowalam w koncu z Windows Update i wszystko jest ok, jest w System haslo SP1. Teraz moge zainstalowac Comodo Firewall i antywira, czy mam wykonac jeszcze jakies czynnosci? Czy po tych czynnosciach moge byc pewna, ze nikt nie wlamie sie na moj komputer? Wnioski: opór stawiał zestaw zabezpieczający. Zakładam, że wszystko z Windows Update uzupełnione i ponowne wyszukiwanie nie zwraca już żadnych wyników oraz inne programy wskazane wcześniej też zaktualizowane. Skoro aktualizacje pomyślnie wykonane, to czas przywrócić ochronę zewnętrzną. Jeżeli wracasz do kombinacji poprzednio tu widocznej, to przy instalacji musisz zlikwidować komponenty powielające funkcje. To znaczy: - COMODO internet Security: zainstaluj tylko firewall i Defense+, omiń antywirusa. - Avast: przy wyborze składników omiń "Monitor zachowań" (to krzyżuje się z Defense+) i "Monitor sieci" (to krzyżuje się z funkcją firewall). . Odnośnik do komentarza
hoohoo Opublikowano 29 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2012 Wlasnie pobieram trzy aktualizacje dla komputerow z procesorami x64, o malej wadze. Dziekuje bardzo za pomoc, po wlamaniu sie na moj komputer przez otwarty port nie czulam sie zbyt bezpiecznie. Pozdrawiam serdecznie. EDIT: Jedno niepowodzenie, uruchomomilam ponownie komputer i w Windows Update niby wszystko ok. Wyszukalam aktualizacje i teraz 4 aktualizacje zabezpieczen i ta jedna pozostala. Powodzenie i znow restart. Teraz nic nie wyszukalo, system Windows jest aktualny. EDIT2: Podczas instalacji Avasta w konfiguracji Uzytkownika odznaczylam pozycje oslona sieciowa zamiast monitorowanie sieci, wnioskuje ze to to samo po tym co przeczytalam w necie. Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2012 Zgłoś Udostępnij Opublikowano 29 Stycznia 2012 Podczas instalacji Avasta w konfiguracji Uzytkownika odznaczylam pozycje oslona sieciowa zamiast monitorowanie sieci, wnioskuje ze to to samo po tym co przeczytalam w necie. Tak, oczywiście, użyłam innej nomenklatury (monitor zamiast osłona), ale chodziło mi właśnie o to. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi