Rozwiązany: Problem z programem HiJackThis

[qwerton]

Witam serdecznie . Zainstalowałem sobie program HiJackThis celem zrobienia logu i udało mi się tego dokonać, wyszedł w notatniku, ale program nie wyświetlił mi procesów, które znajdują się poza folderem program files, a chciałem sobie zobaczyć np taki proces jak rundll32 (czy jest u mnie w prawidłowym katalogu itd.) niestety okazało się to niemożliwe, bo tego procesu nie w liście procesów w logu. Macie jakiś pomysł, jak zrobić to prawidłowo ? Mam windows 7. Z góry dzięki za pomoc

[Sevard]

Jaki dokładnie Windows 7? HijackThis jest średnio aktualny i raczej bym go nie używał. Żeby procesy MS były widoczne musisz w opcjach wyłączyć whitelistę. Skoro jednak ten proces nie jest wyświetlany, to znajduje się we właściwym miejscu.

[qwerton]

Dzięki za info, dobrze, że proces jest we właściwym miejscu . A jaki program zamiast hajdżaka byś polecał ? Mam win 7 home prenium 64

I jeszcze jak tę white listę wyłączyć ?

[Sevard]

Skoro masz system x64, to HijackThis nie powinien być przez Ciebie używany, bo ten program nie widzi prawidłowo warstwy 64-bitowej. Możesz użyć programu OTL lub RSIT x64. Ale o ile nie znasz dobrze zasady działania tych programów, to lepiej, żebyś sam nie wyciągał wniosków na podstawie wygenerowanych logów.

[qwerton]

Dziękuje za odpowiedź i przepraszam, że dopiero teraz odpisuje, ściągnąłem sobie ten program, który poleciłeś (OTL) i zrobiłem skan systemu zaznaczając żeby zeskanował wszystko (mam wrażenie, że coś złego dzieje się z komputerem, program antywirusowy się czasem wyłącza, zawiesza się). Chciałbym przesłać Ci ten log byś go sprawdził jeśli byś mógł tylko, że on jest jakiś strasznie wielki i w 2 plikach. Czy musiałbym wysyłać oba pliki czy na jakiej zasadzie ?

PS> Boje się też, że ktoś się chyba włamał mi na kompa, bo robi on dziwne rzeczy typu np. zatrzymywanie się filmików na YT, albo kliknę start i się samo wyłącza menu, tak jak by się ktoś mi wbił. Sam już nie wiem.

PS 2 kiedy wszedłem w cmd i wpisałem netstat -a to mi wysoczyła masa połaćzeń z dziwnymi stronami takimi jak PC format raz na takiej stronie byłem, ale mam cały czas masę połączeń z tym , a także z jakimiś totalnie dziwnymi adresami typu www.10.a1 czy ip254-a najwięcej połączeń mam jednak z PC format. To jest jakaś masakra, prosiłbym o szybką pomoc.

[Sevard]

Połączenie z serwerem PC Format może oznaczać połączenie z tym forum, więc to nie musi być nic złego. Pliki wygeneruj raz jeszcze, ale tym razem na liście Pliki młodsze niż wybierz opcję 30 dni, bo najpewniej stąd bierze się wielkość tego pliku. Wszystkie opcje po lewej ustaw na Użyj filtrowania.

[qwerton]

Sevardzie, dziei bardzo rzeczywiście teraz log jest znacznie mniejszy. Mam do Ciebie jeszcze prośbę, czy jakbym Ci wysłał logi z hajdżaka i OTLU na PW to mógłbyś sprawdzić czy nie zawierają one jakiego złośliwego oprogramowania czy jakiś keyloggerów (tego się trochę obawiam ? Ewentualnie powiedz mi w jaki sposób należy je poprawnie czytać, fajnie by było się na tym znać

PS: Nie chcę tworzyć nowego tematu zatem zapytam w tym. Na pewnym forum internetowym czytałem, że kiedy się wejdzie do programu msconfig następnie zakładkę uruchamianie to jeśli lokalizacja procesu nie będzie w program filles tylko np w katalogu windows, oznacza to, że to keylogger. Mało prawdopodobne mi się to wydaje bo brzmi głupio, ale znalazłem dwa procesy, które swoją lokalizacje mają w katalogu c windows - pierwszy to niby sterowniki NVIDII kompatybilne z win 7 w wersji 189.88 i to się odpala rundll32.exe i siedzi wc windows system 32. Drugi proces siedzi też w katalogu win w system 32, a plik nazywa się logon, niby z tego co jest przy nim napisane związany jest z toshiba HDD protection (mam lapka tej firmy ) nie wiem po prostu czy jest możliwe, że pod to się podszyło coś złośliwego. Sorki za chaos mam nadzieję, że komuś się chciało czytać

[Sevard]

Wolałbym logi w temacie, bo łatwiej nad tym zapanować. W skrzynce PW już mam dostateczny bałagan. Tam nie powinno być niczego tajnego.

@PS Bzdura. Znam pliki, które występują w msconfig i ich ścieżka prowadzi do katalogu Windowsa (np. wspomniany przez ciebie plik nVidii), jak i znam szkodniki, które przebywają poza tym katalogiem. Najpewniej obydwa wymienione przez Ciebie pliki są czyste, choć do tego pliku logon jeszcze nie jestem pewien.

[qwerton]

Ok zatem wrzuce w temacie , powiedz mi tylko czy należy je skopiować i wkleić czy może w rapidshare wrzucić ?

Co do tego logona to można wyłączyć ten proces, ale się boje żeby sobie w ten sposób nie załatwić czegoś w komputerze. Z drugiej strony nie mogę w ogóle znaleźć tego folderu w system 32, w którym ma się znajdować plik odpowiedzialny za ten proces. W poleceniu podano informacje, że powinien on znajdować się wfolderze system 32,dalej w "thpsrv" i dalej po "/" jest napisane "logon" zatem próbowałęm ten plik znaleźć, niestety nie udało się. Może te logi coś wyjaśnią .

[qwerton]

PS: Mam jeszcze jeden problem/pytanie. W folderze użytkownicy na dysku C oprócz mojego folderu użytkownika i folderu publicznego powstał folder, którego wcześniej (CHYBA) nie było, a mianowicie UpdatusUser, nie za bardzo wiem co z tym zrobić. Wyłączyłem udostępnianie plików w centrum sieci, a mimo to przy folderze jest napisane, że jest on udostępniony. Jest to dziwne, pare skrótów do moich plików się znalazło w tym folderze. Teraz wyłączyłem w centrum sieci i udostępniania opcje odnajdywania sieci. Że niby nie będę widoczny dla innych komputerów. Wszedłem sobie w listę użytkowników komputera i tam NIE MA użytkownika UpdateUser. Jestem tylko ja . Czy ten folder UpdateUser jest normalny czy może ktoś mi się włamał ? Niby wyłączyłem udostępnianie plików, ale to jest całey czas udostępnione, denerwuje mnie to już prosiłbym o rady

Teraz kliknałem na właściwości, udostępnianie i w zaawansowanych wyłączyłem udostępnianie folderów z katalogu "użytkownicy", ale wciąż nie wiem skąd się ten folder utworzył "updateUser" to jest denerwujące po prostu.

[Sevard]

Logi wrzuć na wklej.org, a tu daj linka. Wykonaj też skanowanie programem Malwarebytes' Anti-Malware i log z tego programu również daj na forum.

[qwerton]

Tutaj jest z hijack this http://wklej.org/hash/ef82b840f30/

Tutaj plik extras z OTLU http://wklej.org/hash/d6586c91238/

Tutaj plik txt z OTLU http://wklej.org/hash/e5923391a8d/

Tutaj jest plik z tego anti malwara, niestety znalazł on 2 zainfekowane pliki http://wklej.org/hash/9553f48c5a1/

Jakbyś mógł Servardzie to powiedz mi jeszcze skąd się mógł wziąć ten nowy user w użytkownikach oczym wyżej pisałem, bo już nie chciałem tworzyć nowego tematu

[qwerton]

Dodam, że program ten antimalvare skasował oba pliki i teraz prosi mnie o ponowne uruchomienie kompa celem dezynfekcji, co zrobie jednak później, teraz nie mam możliwości bo kuje z notek skanowanych. Mam nadzieję, że pliki są skasowane poprawnie Co to były wgl za wirusy ?

Dziękuje Ci Servard, że mi pomagasz, zdaję sobie sprawę z tego, że przeczytanie takiej ilości logów musi zająć dużo czasu.

PS: Jeszcze coś dziwnego, w netstacie nadal mam masę połączeń z PC FORMAT, mimo, że nie wchodzę na tę strone, wstukałem netstat -b i się okazało, że niby IE się łączy z tym portalem, tyle że ja nie włączałem go od wielu dni strasznie dziwne to jest.

[Sevard]

Przepraszam, że tyle to trwało, ale niestety nie miałem wcześniej za bardzo czasu. Logi wyglądają na czyste. To co znalazł Malwarebytes' usuń. Poprosiłbym jeszcze o log z SecurityCheck.

[qwerton]

Tutaj jest log z programu od Ciebie Servardzie (tego Security Check) http://wklej.org/hash/0e15fec36e4/

Dziękuję Ci jeszcze raz, że mi pomagasz, mam 2 techniczne pytania odnośnie AntiMalvara. Czy to normalne, że aktualizacje programu zawsze mają 6,4 mb (czy coś koło tego ) i drugie pytanie, te malware, które skasowałem pojawiły się w kwarantannie, co musze zrobić by je w ten sposób usunąć by nie wróciły na kompa ?

[Sevard]

Uaktualnij następujące programy:

Java Runtime Environment

Adobe Flash Player

Adobe Reader

Internet Explorer

Tak, to jest normalne. SecurityCheck zgłosił, że masz kilka nieaktualnych programów. Szkodniki z kwarantanny same z siebie nie wrócą. Nie musisz już nic z nimi robić. W razie czego możesz je usunąć uruchamiając Malwarebytes' i przechodząc do karty Kwarantanna. Zaznaczasz plik i wybierasz opcję "Usuń".

[qwerton]

security Check, zdaje mi się niepoprawnie wskazał moją wersje przeglądarki internetowej, ponieważ korzystam od jakiegoś już czasu z uaktualnionej do IE 9 , co z resztą wskazuje log ze skanu programem anti malvare .

Jave udało mi się zaktualizować i Security Check to wykrył.

Problem mam z Adobe Readerem, zaktualizowałem program do wersji 9, ale SC tego nie widzi i nadal jest napisane w wytworzonym logu, że zainstalowana wersja, nie jest aktualna. Odpaliłem więc program i próbowałem zaktualizować jeszcze raz, okazało się, że mam aktualną wersję.

Jeśli chodzi o Flash Playera, to chyba faktycznie nie mam aktualnej wersji, ale czy mógłbyś mi powiedzieć, jak zaktualizować ją ?

A jeśli chodzi o program Mcafee to wszystko z nim jest w porządku ? Bo wiesz trochę nie pokoi mnie to, że nie mógł on znaleźć malvare, które zostało odnalezione przez darmowy program, a Mcafee Internet Security kosztuje mnie stówe rocznie .

PS: Mam jeszcze pytanie z troche innej beczki, bo nie chcę zakładać nowego tematu . Czy to normalne, że w netstat w CMD mam dziwne obce adresy rzekomo uruchomione w programie internet explorer ? Nazwy tych adresów to np. coobex1 czy ez-in-f113 mam też codziennie mase połączeń z PCFORMAT mimo, że nie wchodzę na ich stronę. Tych połączeń jest diablenie potężna ilość, a mam teraz odpalone tylko FA i jedną inną stronę, na której od paru minut zupełnie nic nie robiłem. Dziwne jest też to, że czasami przy wielu połączeniach jest napisane wysłano_syn i pada łącze wtedy. Jak sobie z tym poradzić ? Myślałem nawet żeby ściągnąć technika informatyka na chatę żeby sprawdził czy wszystko gra

[Sevard]

security Check, zdaje mi się niepoprawnie wskazał moją wersje przeglądarki internetowej, ponieważ korzystam od jakiegoś już czasu z uaktualnionej do IE 9 ,

A fakt, nie zwróciłem na to uwagi. Pewnie twórca SecurityCheck tego nie poprawił.

Problem mam z Adobe Readerem, zaktualizowałem program do wersji 9, ale SC tego nie widzi i nadal jest napisane w wytworzonym logu, że zainstalowana wersja, nie jest aktualna. Odpaliłem więc program i próbowałem zaktualizować jeszcze raz, okazało się, że mam aktualną wersję.

Aktualna wersja Adobe Readera ma numerek 10.0.1 i można ją znaleźć tu.

Jeśli chodzi o Flash Playera, to chyba faktycznie nie mam aktualnej wersji, ale czy mógłbyś mi powiedzieć, jak zaktualizować ją ?

Skoro nie działa automatyczny aktualizator, to zainstaluj nowszą wersję ręcznie. Tu znajdziesz najnowszą wersję.

A jeśli chodzi o program Mcafee to wszystko z nim jest w porządku ? Bo wiesz trochę nie pokoi mnie to, że nie mógł on znaleźć malvare, które zostało odnalezione przez darmowy program, a Mcafee Internet Security kosztuje mnie stówe rocznie .

To o niczym nie świadczy. Typowe programy antywirusowe oparte na blacklistach mają to do siebie, że od czasu do czasu coś przepuszczają. Pewniejszym zabezpieczeniem są HIPSy.

PS: Mam jeszcze pytanie z troche innej beczki, bo nie chcę zakładać nowego tematu . Czy to normalne, że w netstat w CMD mam dziwne obce adresy rzekomo uruchomione w programie internet explorer ? Nazwy tych adresów to np. coobex1 czy ez-in-f113 mam też codziennie mase połączeń z PCFORMAT mimo, że nie wchodzę na ich stronę. Tych połączeń jest diablenie potężna ilość, a mam teraz odpalone tylko FA i jedną inną stronę, na której od paru minut zupełnie nic nie robiłem. Dziwne jest też to, że czasami przy wielu połączeniach jest napisane wysłano_syn i pada łącze wtedy. Jak sobie z tym poradzić ? Myślałem nawet żeby ściągnąć technika informatyka na chatę żeby sprawdził czy wszystko gra

Sprawdź połączenia raz jeszcze, ale przy wyłączonej przeglądarce. PCFORMAT najpewniej jest związany z Forum Actionum, bo to na serwerach PCFORMATu to forum się znajduje. Możesz spróbować zablokować te połączenia w firewallu Mcafee i sprawdzić co się wtedy będzie działo. Podrzuć mi na pw listę połączeń i może coś tam zauważę. Na forum publicznym lepiej tego nie dawaj, bo mogą tam być dane, które wystawią Twój komputer na ataki.

[qwerton]

Cześć zaktualizowałem programy z linków, które mi podałeś. Security check nie zauważył nowego flash playera, ale zainstalowałem go więc chyba nie ma problemu i to pomyłka ze strony SC . Chiałem Ci raz jeszcze podziękować za wielką pomoc w rozwianu wątpliwości odnośnie ataku hakerskiego, jeśli chodzi o połączenia to okazało się, że miałeś rację. Z PC formatem łączę się tylko wtedy kiedy jestem na forum actionum, wpisałem komendę netstat -b w trybie obsługi cmd przez administratora i wyświetliło, że wszelkie połączenia korzystają z IE, nie powinno być zatem z tym problemu. Temat już można zamknąć, jeszcze raz dzięki za pomoc Twoją Servardzie .

[Sevard]

Problem rozwiązany, więc temat zamykam.

W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.