niszczuka Napisano Styczeń 4, 2014 Zgłoś Share Napisano Styczeń 4, 2014 Witam, ostatnio siedziałem na Fb i pojwaił mi się komunikat (z tą flagą, który pojawia się przy zagrożeniach, centrum akcji bodajże), że antywirus jest wyłączony, chociaż Avira cały czas była włączona. Zdarza się to dosyć często, więc zrobiłem tak jak zawsze: wyłączyłem i włączyłem Avirę, nie wyłączając internetu i bedąc cały czas zalogowany na Fb. Niedługo późnie zaczęły się dziać "dziwne rzeczy", prawdopodobnie podczas tej samej sesji chciałem włączyć Mozillę, ta jednak otworzyła się w końcu w tylu kartach, że musiałem odłączyć komputer od zasilania, żeby coś zrobić. Chwilę po tym przeskanowałem system Malwarebytes Anti Malware, i Avirą, czyli moim antywirem, jednak nic nie znalazły. Było to 3 dni temu. Przedwczoraj zrobiłem skan skanerem online Eset, ten znalazł trochę rzeczy, wg. mnie mało warznych pozostałości po jakichś toolbarach, jednak ich nie usunął, dlatego wczoraj zrobiłem skan z opcją usuwania, lecz nic nie wykrył. Wcześniej pobrałem firewalla COMODO i nim także zrobilem skan, wykrył tylko jeden plik z gry, który trafił do kwarantanny. Z COMODO ściągnął mi się Mobogenie, lecz go odinstalowałem. Ponadto miałem problemy z otworzeniem pliku .pdf, wcześniej pojawił mi się dziwny komunikat na facebooku ( "Nie zostawiłeś komentarza, czy chcesz opuścić stronę?") a przez firewall chcę się przebić jakiś proces nettsession_win.exe, wcześniej go puszczałem, ale teraz blokuję. Jak pozbyć się zagrożenia? Proszę o dokładne porady, bo jestem dość zielony w tych sprawach.Po skanowaniu rejestru CCleanerem znalazłem takie wpisy, których nie mogę usunąćNieprawidłowe rozszerzenia plików {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}Problem z ActiveX/COM CIS.CisDebugInjector - {BBB01528-20FE-4bc2-9D26-C70E3ABB9CD19} HKCR\CIS.CisDebugInjector Link do komentarza Udostępnij na innych stronach More sharing options...
cr!s Napisano Styczeń 5, 2014 Zgłoś Share Napisano Styczeń 5, 2014 Ściągnij OTL -> http://www.bleepingcomputer.com/download/otl/ i wykonaj pełny skan. Wrzuć logi na forum. Link do komentarza Udostępnij na innych stronach More sharing options...
niszczuka Napisano Styczeń 5, 2014 Autor Zgłoś Share Napisano Styczeń 5, 2014 Tutaj logi skanowałem chyba wszystko, nie zaznaczałem jedynie Infekcji LOP i Purity.OTL252.TxtOTL252(2).txtExtras22.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
cr!s Napisano Styczeń 5, 2014 Zgłoś Share Napisano Styczeń 5, 2014 Wykonaj pełny skan jeszcze raz z takimi ustawieniami jak w załączniku. Link do komentarza Udostępnij na innych stronach More sharing options...
niszczuka Napisano Styczeń 6, 2014 Autor Zgłoś Share Napisano Styczeń 6, 2014 Dobra tutaj logi, pod koniec w polu rejestr samo przeskakuje na wszystko. Aha, sorry że dopiero teraz, ale te wpisy w rejestrze to już dobre kilka miesięcy tam są, przynajmniej ten pierwszy.Z Extras trzeba będzie trochę poczekać, bo mi się nie zmieści.Sprawdź PWW Firewallu pisze, że było jedno włamanie sieciowe , powiązane z tego co rozumiem z tym netsession, teraz ten proces blokuje, i że zapobiegnięto jednej infekcji.OTL253.TxtOTL253(2).txt Link do komentarza Udostępnij na innych stronach More sharing options...
cr!s Napisano Styczeń 6, 2014 Zgłoś Share Napisano Styczeń 6, 2014 Logi wyglądają na czyste. Kosmetyka::OTLFF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll File not foundFF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not foundO2 - BHO: (no name) - {1dad3af3-ef2f-4f64-ac4b-11789189fcb6} - No CLSID value found.O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - No CLSID value found.O3 - HKLM\..\Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - No CLSID value found.O3 - HKLM\..\Toolbar: (no name) - {eec0f710-38b5-4aba-99bf-ec87564a4e13} - No CLSID value found.O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not foundO9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not foundO18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value foundO18:64bit: - Protocol\Handler\ms-help - No CLSID value foundO18:64bit: - Protocol\Handler\skype4com - No CLSID value found:Commands[emptytemp]Wklej to do OTL i wciśnij 'Wykonaj skrypt'.Co do tego netsession.exe to odinstaluj Akamai Netsession (zwyczajnie, powinno być w dodaj/usuń programy). Ściągnij Kaspersky TDSSKiller -> http://www.bleepingcomputer.com/download/tdsskiller/ i wykonaj skanowanie. Link do komentarza Udostępnij na innych stronach More sharing options...
niszczuka Napisano Styczeń 6, 2014 Autor Zgłoś Share Napisano Styczeń 6, 2014 Dobra, skrypt wykonałem, z Kaspersky to będę mógł popatrzeć dopierop później, mam też takie coś jak współdzielona przestrzeń wcześniej było tam system.ini, ale teraz już nie ma. Czy to jakaś normalna rzecz, czy coś szkodliwego, prawdopodobnie ściągnęło się z COMODO. Link do komentarza Udostępnij na innych stronach More sharing options...
cr!s Napisano Styczeń 6, 2014 Zgłoś Share Napisano Styczeń 6, 2014 Nie ma się czym martwić. I masz rację, to część pakietu Comodo. Link do komentarza Udostępnij na innych stronach More sharing options...
niszczuka Napisano Styczeń 6, 2014 Autor Zgłoś Share Napisano Styczeń 6, 2014 Zrobiłem skan Kaspersky z zaznaczonymi domyślnymi opcjami (w pierwszej tabelce pierwsze trzy od góry w dodatkowej tylko ostatni), i nic nie wykrył, skanował tylko dysk C i głównie pliki Windowsa, tak miało być tak? Chciałbym się jeszcze spytać o dwie rzeczy: co z tym wpisem {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} i jeszcze podczas usuwania Akamai przez COMODO przebijały się dwa procesy delete.bat (przepuszczałem) i PING.exe (zablokowałem), to są procesy systemowe? Link do komentarza Udostępnij na innych stronach More sharing options...
cr!s Napisano Styczeń 7, 2014 Zgłoś Share Napisano Styczeń 7, 2014 robiłem skan Kaspersky z zaznaczonymi domyślnymi opcjami (w pierwszej tabelce pierwsze trzy od góry w dodatkowej tylko ostatni), i nic nie wykrył, skanował tylko dysk C i głównie pliki Windowsa, tak miało być tak?Takco z tym wpisem {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}Z tego co udało mi się znaleźć to część ten problem jest związany z Comodo (dokładniej uszkodzenie jakiegoś pliku). Ponoć jedyne rozwiązanie to przeinstalowanie Comodo.to są procesy systemowe?Te pliki pewnie są związane z deinstalatorem Akamai i uruchomiły się podczas próby odinstalowania tegoż. Link do komentarza Udostępnij na innych stronach More sharing options...
niszczuka Napisano Styczeń 7, 2014 Autor Zgłoś Share Napisano Styczeń 7, 2014 Z tym że te wpisy których nie mogę usunąć({80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}Problem z ActiveX/COM CIS.CisDebugInjector - {BBB01528-20FE-4bc2-9D26-C70E3ABB9CD19} HKCR\CIS.CisDebugInjector) pojawiły się przed zainstalowaniem Comodo, ale jeśli nie są groźne to nic.HKCR\CIS.CisDebugInjectorCzyli komputer czysty, a te problemy były spowodowane tym co było usunięte przez OTL? Link do komentarza Udostępnij na innych stronach More sharing options...
cr!s Napisano Styczeń 7, 2014 Zgłoś Share Napisano Styczeń 7, 2014 Czysty. O jakich problemach dokładnie mówisz? W OTL wykonaliśmy małe sprzątanie po jakichś toolbarach. Nic groźnego tam nie było. A co do tych wpisów to się nie przejmuj się - to nic ważnego, możesz to poprostu zignorować (chociaż wydaje mi się, że to coś związanego z Comodo - CIS.CisDebugInjector - CIS to pewnie skrót od Comodo Internet Security). Link do komentarza Udostępnij na innych stronach More sharing options...
niszczuka Napisano Styczeń 7, 2014 Autor Zgłoś Share Napisano Styczeń 7, 2014 Chodzi mi o dziwne zachowanie komputera, opisane na początku, zawieszenie komputera przez Mozille i inne tego typu psikusy, częste nieotwieranie się stron ( że w naprawie i td.), dziwny komunikat na fb, nie chciał się otworzyć pdf, ale teraz normalnie się otwiera, możliwe że to tylko zbiegi okoliczności, a ja się zacząłem za bardzo przejmować. Link do komentarza Udostępnij na innych stronach More sharing options...
cr!s Napisano Styczeń 8, 2014 Zgłoś Share Napisano Styczeń 8, 2014 System przeanalizowaliśmy głównie pod kątem infekcji. No ale skoro masz zainstalowanego antywirusa, wykonałeś skanowanie MBAM, Avirą, Esetem, TDSSKillerem, ja przeanalizowałem log z OTL i żadnych objawów infekcji nie było, to chyba nie ma sensu szukać wiatru w polu ? A takie jednorazowe przypadki które opisywałeś też nie muszą wskazywać na infekcję. Wyglądają one na błędy przypadkowe, których przyczyn jednoznacznie właściwie nie da się ustalić. Choć jeśli będą się powtarzały to oczywiście pisz. Teraz kilka spraw na koniec:Uruchom OTL i wciśnij 'Sprzątanie'. Odinstaluje to OTL i jego pozostałości. Pamiętaj o regularnym aktualizowaniu oprogramowania - w szczególności systemu operacyjnego, antywirusa, Javy i Flash Playera. Pozdrawiam. Link do komentarza Udostępnij na innych stronach More sharing options...
Misiek690 Napisano Styczeń 8, 2014 Zgłoś Share Napisano Styczeń 8, 2014 Profilaktycznie użyj programu adwCleaner. Link do komentarza Udostępnij na innych stronach More sharing options...
niszczuka Napisano Styczeń 8, 2014 Autor Zgłoś Share Napisano Styczeń 8, 2014 To ja jeszcze dla spokoju: czy moje konto na fb mogło zostać zarażone i wywołać te objawy? Wiem że pytanie dziwne, ale chcę już mieć to z głowy. Link do komentarza Udostępnij na innych stronach More sharing options...
cr!s Napisano Styczeń 8, 2014 Zgłoś Share Napisano Styczeń 8, 2014 Nie można 'zarazić' konta na facebooku. Ktoś może co najwyżej przejąć twoje hasło do tego konta (poprzez jakiegoś trojana, keyloggera) no a wtedy może z nim zrobić co zechce. Link do komentarza Udostępnij na innych stronach More sharing options...
niszczuka Napisano Lipiec 23, 2014 Autor Zgłoś Share Napisano Lipiec 23, 2014 Dzięki wszystkim za pomoc, temat do zamknięcia. Link do komentarza Udostępnij na innych stronach More sharing options...
MikaelDorren Napisano Lipiec 30, 2014 Zgłoś Share Napisano Lipiec 30, 2014 Problem rozwiązany, więc temat zamykam.W razie potrzeby otwarcia tematu, proszę o kontakt przez PW. Link do komentarza Udostępnij na innych stronach More sharing options...