Automatyczne wymuszenie zmiany hasła w W7???

[Sledzislaw]

Nie wiem co się w ostatnich kilku dniach dzieje z moim komputerem - zachowuje się podejrzanie.

W7 Ultimate 64-bit

Otóż przed chwilką np:

Pobieram sobie torrencika, słucham muzyki, gram w karty i nagle (nie dotykając klawiatury) - robi mi się logout i wyskakuje prośba o zmianę hasła użytkownika. A jaśniej to ekran zmiany hasła na logoucie. Jak na ile mam pojęcie o tym co się dzieje z tym komputerem to wiem, że na pewno nigdy opcja wymuszania zmiany hasła nigdy nie była uruchomiona, więc?

To jedna rzecz, druga jest taka, że od dwóch dni, mój komputer atakuje przez sięc komputer obok

Kaspersky na drugim komputerze cały czas wyświetla komunikat o zablokowaniu ataku wykonanego na lokalny port (różne numery) z mojego IP - (Scan.Generic.UDP <---- tyle mniej więcej gada kasperski)... W czasie w którym zaczęły się ataki zmianiałem antyvira. Odinstalowałem Kasperczaka, ze względu na bardzo duże obciązenie systemu, zaczęły się kilka godzin później ataki, dzisiaj zainstalowałem avirę free i ataki jadą dalej... Pełne skanowanie na drugim komputerze nic nie wykryło, wykrywanie luk itp też nie dało rezultatów...

Ja osobiście jeszcze nie przejechałem komputera pełnym skanem aviry, ale zamirzam...

Sieć jest zbudowana w ten sposób, że do komputera atakowanego jest podłączony kabel z internetem, komputer ten tworzy bezprzewodową sieć ad-hoc z którą łączę się ja i korzystam w ten sposób z udostępnionego przez drugi komputer łącza internetowego...

Ataki zaczęły się w czoraj około północy i dzisiaj zauważyłem ich nasilenie, a przynajmniej zagęszczenie też o tej porze..

Powrzucam niebawem logi ze scannerów, a gdyby ktoś miał jakieś wstępne sugestie (np. na podstawie wspomnień ) to chętnie poczytam

[kominekl]

Reasumacja.

Podaj logi z OTL -> http://hotfix.pl/articles.php?article_id=143 + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

Optymalizacja.

Jeśli jej pragniesz to podaj również log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[Sledzislaw]

A więc tak:

OTL:
OTL.txt ----> Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt -> Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller:
Report ----> Dostępne tylko dla zarejestrowanych użytkowników

Autoruns:
log --------> Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autourns.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy -> ATKOSD2, HControlUser, Microsoft Windows, Microsoft Windows, DAEMON Tools Lite, Groove GFS Browser Helper, Adobe PDF Link Helper, FlashGetBHO, Groove GFS Browser Helper, Java(tm) Plug-In 2 SSV Helper, Java(tm) Plug-In SSV Helper, PartyPoker.com, AdobeARMservice, MozillaMaintenance, nvsvc, osppsvc, SkypeUpdate, WinDefend i ipswuio.

"{0969AF05-4FF6-4C00-9406-43599238DE0D}" = ASUS Splendid Video Enhancement Technology
"{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}" = ASUS LifeFrame3
"{55A41219-9B22-4098-BAE7-AE289B3C569A}_is1" = Panda USB Vaccine 1.0.1.4
"{64452561-169F-4A36-A2FF-B5E118EC65F5}" = ASUS SmartLogon
"{6B77A7F6-DD63-4F13-A6FF-83137A5AC354}" = ASUS CopyProtect
"{9D48531D-2135-49FC-BC29-ACCDA5396A76}" = ASUS MultiFrame
"{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}" = ASUS Live Update
"{FA2092C5-7979-412D-A962-6485274AE1EE}" = ASUS Data Security Manager

To zbędne oprogramowanie. Odinstaluj to za pomocą Revo Uninstaller`a -> Dostępne tylko dla zarejestrowanych użytkowników w trybie zaawansowanym po uprzednim zaznaczeniu w Nim opcji -> Pokazuj Elementy Systemowe.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2008142060-1050888475-498862296-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2008142060-1050888475-498862296-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRAMY\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Se&nd to OneNote - res://E:\PROGRAMY\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRAMY\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Se&nd to OneNote - res://E:\PROGRAMY\Office14\ONBttnIE.dll/105 File not found
O15 - HKU\S-1-5-21-2008142060-1050888475-498862296-1001\..Trusted Domains: mks.com.pl ([www] http in Trusted sites)

:Files
C:\ProgramData\TEMP
C:\Windows\tasks\*.*
C:\Users\Justynka\AppData\Roaming\EurekaLog

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Sledzislaw]

A zatem:

Autoruns ---> odznaczone i pousuwane wszystko co się tylko dało
revouninstaller ---> prawie wszystko usunięte... Asus Live Update i jeszcze jakiś soft nie chciały znaleźć pliku deinstalatora (ręcznie też nie mogłem dopaść) więc wyrzuciłem je z autostartu, usunąłem ręćznie z Program Files, usunąłem wpisy CCleanerem i przeczyściłem rejestr CCleanerem

OTL:

log z wykonania skryptu ----> Dostępne tylko dla zarejestrowanych użytkowników


po całej aferze nowy skan OTL:

OTL.txt ----> Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt--> Dostępne tylko dla zarejestrowanych użytkowników


Generalnie system już się dużo płynniej zachowuje (chyba, że to placebo )

Mam nadzieję, że już niebędzie ataków na drugi komputer...

Zamierzam i tak jeszcze przejechać Malwarebytes'em... A nuż coś znajdzie

[kominekl]

Autoruns ---> odznaczone i pousuwane wszystko co się tylko dało

Rozumiem .

revouninstaller ---> prawie wszystko usunięte... Asus Live Update i jeszcze jakiś soft nie chciały znaleźć pliku deinstalatora (ręcznie też nie mogłem dopaść) więc wyrzuciłem je z autostartu, usunąłem ręćznie z Program Files, usunąłem wpisy CCleanerem i przeczyściłem rejestr CCleanerem

Bardzo dobrze .

Generalnie system już się dużo płynniej zachowuje (chyba, że to placebo )

Nie jesteś chory psychicznie i nie wymyślasz choroby więc nie mam po co Ci podawać placebo.

Mam nadzieję, że już niebędzie ataków na drugi komputer...

Ja też.

Zamierzam i tak jeszcze przejechać Malwarebytes'em... A nuż coś znajdzie

Zrobimy to, ale później. Dam Ci znać kiedy.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
C:\Windows\tasks\*.*

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation

Zainstaluj SP1 -> Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[Sledzislaw]

Sorki, że po przerwie, ale:

ataki nie ustały = /

log z wykonania skryptu ===> Dostępne tylko dla zarejestrowanych użytkowników

ciąg dalszy niebawem, po instalacji service pack'a

-- 12 lip 2012, 02:40 --

wtrącenie!

Zaobserwowałem, że ataki pokrywają się z uruchomieniami uTorrenta... Czy może to mieć jakieś powiązanie?


Druga rzecz jest taka, że łącze mi się wywala co jakiś czas i w dziwny sposób. Otóż system pokazuje, że jest połączenie z siecią lokalną i z internetem, ale nagle wyrzuca mnie z gry w karty, strony przestają chodzić, pingi nie odpowiadają, ale np pobieranie service pack'a idzie śmiało dalej. restart, karty, restart routera itp itd i dopiero po kilku minutach odzyskuję połączenie czasem na kilka bezproblemowych godzin a czasem na kilka minut. Sytuacje występóją niezależnie od uruchomienia programu uTorrent...

jakieś pomysły? (service pack jeszcze się instaluje)

-- 12 lip 2012, 02:47 --

czy kasperskiemu nie mylą się ataki sieciowe z dziwnymi portami, które wykorzystuje uTorrent do połączeń p2p? Nie znam się za bardzo na tym, ale próbuję szukać po jakimkolwiek tropie. Dodam, że na drugim komputerze (tym atakowanym) już został wykonany format i zainstalowany kasperski pure 2.0 i dalej te same komunikaty śle o atakach...

[kominekl]

Zaobserwowałem, że ataki pokrywają się z uruchomieniami uTorrenta... Czy może to mieć jakieś powiązanie?

Antywirusy często traktują sieci P2P, jako ataki na komputer. Dodaj to oprogramowanie do wyjątków oprogramowania zabezpieczającego.

[Sledzislaw]

log po ciężkich godzinach pracy Anti Malware ----> Dostępne tylko dla zarejestrowanych użytkowników

Mówisz, żeby dodać uTorrenta jako wyjątek, ale:

uTorrent jest uruchamiany na komputerze o którym jest ten wątek, a ataki są rejestrowane na innym komputerze w sieci, który jednocześnie robi za bramę na świat...

A co z "niespokojnym" łączem?
czemu mając internet, gdy sprawdzam pingi do różnych serwisów, czy nawet do bramy lokalnej to nie wracają do mnie? (100% straty)

Można jakoś zweryfikować czy problem leży po stronie mojej, czy po stronie komputera na którym jest brama?

[kominekl]

Malwarebytes.

Usunąłeś to, co znalazł?

uTorrent jest uruchamiany na komputerze o którym jest ten wątek, a ataki są rejestrowane na innym komputerze w sieci, który jednocześnie robi za bramę na świat...

Na obu dodaj do wyjątków.

A co z "niespokojnym" łączem?
czemu mając internet, gdy sprawdzam pingi do różnych serwisów, czy nawet do bramy lokalnej to nie wracają do mnie? (100% straty)

Ewidentna wina oprogramowania zabezpieczającego. Przetestuj połączenie, gdy na komputerach nie będzie żadnych zapór / firewalli. Wyłącz systemowe.

[Sledzislaw]

poza wpisemi plikiem od pokera wywalilem... w sumie jeden tylko...

[kominekl]

poza wpisemi plikiem od pokera wywalilem... w sumie jeden tylko...

Opróżnij kwarantannę Malwarebytes`a (Usuń Wszystko).