Awaryjne logi z Windows 7. Dziwne alerty zapory.

[stukot]

Więc tak, mój komputer dobrze działa, nie ma żadnych blue screenów, ale moja zapora wyświetla\ wyświetlała dziwne alerty, aż włączyłam blokowanie stron w mbam pro, choć wiadomo, że jest zawodne.

Raz zapora ostrzegła, że jak włączałam Firefox, on połączył się ze stroną XXX, a moją stroną startową w tej i innych przeglądarkach jest Google. Niestety nie skojarzyłam, że tamta strona jest tylko dla dorosłych i rzeczywiście na nią weszłam. Wprawdzie zaraz stamtąd uciekłam i mam włączone no script, ale cosik_ktosik ostrzegł mnie, że przez samo wejście na tamtą stronę mogłam zainfekować kompa...

Poza tym swego czasu zainstalowałam jeden program, który dodatkowo zainstalował bubel, który pozmieniał mi stronę startową w przeglądarkach. Myślałam, że już nie ma po nim śladu, ale OTL wciąż wykrywa tamte wpisy.

Poza tym, jak włączam menedżera zadań, to tam nie ma informacji o zużyciu pamięci...

Nie wiem, jak jest na systemowym koncie admina, bo nie mogę się tam zalogować, bo monitor BENQ G922HDAL pada w czasie wylogowywania- od nowości miałam z nim problemy.

Poniżej zamieszczam wymagane logi, z OTL i DDS.

OTL: Dostępne tylko dla zarejestrowanych użytkowników

EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników

DDS: Dostępne tylko dla zarejestrowanych użytkowników

ATTACH: Dostępne tylko dla zarejestrowanych użytkowników

Starałam się usunąć dane, dotyczące tego, czym chronię mój komputer. Usunęłam też wpisy z rozszerzeniami do Firefox i jego klonów... Bo zauważyłam, że tam było napisane, że nie było któregoś z nich, a było...

Aha, może coś mi zmodyfikowało plik HOSTS?

Zupełnie się na tym nie znam.

Niedawno zrobiłam szybki skan mojego kompa mbam, jednak on nic nie wykrył, więc nie zrobiłam gruntownego skanu.

Zbieram się, aby przeskanować mojego kompa Dr Web Cure It, regularnie ściągam jego najnowszą wersję, jednak jakoś nie mogę się przełamać, bo ten program skanuje kompa strasznie długo...

Martwi mnie to, że jak włączam przeglądarki, zapora informuje, że zezwoliła na połączenie z jakimś adresem proxy, mimo że przeglądarki mają się łączyć z netem bezpośrednio.

Coś zdecydowanie jest nie tak, ale nie wiem co.

EDIT: mam też wśród zainstalowanych programów, jeden którego strona producenta została uznana za niebezpieczną według McAfee Site Advisor, jednak McAfee czasem przesadza... Więc może ten program jest nieszkodliwy...

EDIT 2: wiem, że zapora, której teraz używam może być trochę przeczulona, zresztą jak każdy program do ochrony... Jednak póki nie włączyłam blokowania stron w mbam pro, zapora wciąż informowała, że zezwolono na połączenie ze stroną XXX, mimo że dodałam ją do blokowanych.

Mimo wszystko wolałabym wyłączyć blokowanie stron w mbam pro, bo nie jest niezawodne, jednak na razie się z tym wstrzymam.

[filutka78]

Nie widzę w logach niczego podejrzanego.

Na wszelki wypadek przeskanuj komputer przy pomocy MBAM.

F.

[stukot]

Filutka78, dzięki za odpowiedź.

Aha, jak to usunąć, o ile można:

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC

Chodzi mi zwłaszcza o to:

Kod: Zaznacz cały

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/fft/fft_1327358754_413092
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/fft/fft_1327358754_413092
IE - HKU\S-1-5-21-2308291140-1719353718-3393091947-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_url = www.v9.com/fft/fft_1327358754_413092

Co dziwne, jak włączyłam Regedit, to nie mogłam zlokalizować tych wpisów... Może dlatego, że nie włączyłam go z uprawnieniami administratora.

Dziś zrobię pełny skan mbam... Czy mam też przeskanować kompa Dr Web Cure It- bardzo rzadko to robię.

A zapora, która wszczynała te dziwne alerty, to Online Armor Premium.

Czy mogę wyłączyć blokowanie stron w mbam pro?

Aha, jak będziecie instalować program Radio Maximus, albo inny program firmy Ramrasoft, to nie instalujcie żadnych zbędnych dodatków. I wyrzućcie z App Data\Lokal\Temp Better Installer (BI) wprawdzie, on został uznany za niebezpieczny tylko przez eset NOD32, jednak lepiej go usuwać.

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2308291140-1719353718-3393091947-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_url = Dostępne tylko dla zarejestrowanych użytkowników

:Commands
[emptytemp]

Kliknij w Wykonaj Script.

Czy mam też przeskanować kompa Dr Web Cure It- bardzo rzadko to robię

W logach nie widzę żadnego Antivirusa, więc, w miarę wolnego czasu, możesz przeskanować komputer tym Dr.Wecureit.

F.

[stukot]

Filutka78, bardzo dziękuję za pomoc.

Log po wykonaniu skryptu OTL: Dostępne tylko dla zarejestrowanych użytkowników

Mam antywirusa, zaporę i HIPS- a. Mimo wszystko jednak niedługo przeskanuję kompa Dr Web Cure It. Teraz skanuję go mbam pro.

Bardzo mnie zmartwiło to, że jak włączałam przeglądarki, zwłaszcza Firefox, zapora Online Armor Premium informowała mnie, że wchodziłam na strony tylko dla dorosłych. A na nie nie wchodziłam.

-- 12 mar 2012, o 01:33 --

Po prawie pięciu godzinach skanowania, w instalce gry z raczej bezpiecznego źródła mbam pro wykryło mi sality.

Zaraz sprawdziłam ten plik na virus total.

I tylko TheHacker wykrył w nim: Adware/EShoper.bd.

Więc to FP?

Tu są wyniki tego skanowania: Dostępne tylko dla zarejestrowanych użytkowników

Pomyśleć, że kiedyś by mi nawet na myśl nie przyszło, że mbam może wykryć FP...

[filutka78]

Tak, to false positive, bo gdyby to naprawdę był SALITY, to już zdążyłby zarazić wiele plików.
Oczywiście trzeba brać pod uwagę fakt, że MBAM nie jest antivirusem, nie ma zdolności wykrywania zarażonych plików Systemowych; tylko skaner antiwirusowy mógłby określić, czy naprawdę masz zarażone pliki *.exe.

F.

[stukot]

Wprawdzie wiedziałam, że to było FP, jednak usunęłam instalkę tamtej gry, a ją samą odinstalowałam.

No i wyszło na moje, bo w internecie znalazłam inną instalkę tej gry, oraz jej wersję nie wymagającą instalacji.

Tym razem mbam pro nic w nich nie wykryło...

Jak sprawdziłam instalkę tamtej gry i jej wersję portable na virus total, to tylko ClamAV w niej wykrył: PUA.Packed.ASPack.

Czyli znów FP.

A teraz skanuję kompa moim antywirusem i zdaje się, że znów nic nie wykryje.

Aha, jaki znacie dobry skaner online? Wiem, że od czasu do czasu trzeba nim sprawdzać system, a znam tylko skaner Pandy:

Kod: Zaznacz cały

http://www.pandasecurity.com/activescan/index/

[filutka78]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

F.

[stukot]

Filutka78, bardzo dziękuję za linki. Niedługo przeskanuję mojego kompa eset online.

Antywirus na szczęście nic nie wykrył, jednak od czasu do czasu trzeba przeskanować kompa online.

-- 15 mar 2012, o 16:28 --

Więc tak, wczoraj mbam pro, ostrzegło mnie, że w instalce Firefox Aurora 13.0 a2 wykryło trojana...

To mógł być fałszywy alarm, ale wówczas się okazało, że moja Aurora- przerobiona na portable- nie aktualizuje się do wersji 13.0a2...

Na stronach Mozilli też nie było tej wersji dostępnej...

No i odinstalowałam Firefox Nightly UX, stabilny i Waterfox i pościągałam je z bezpiecznych źródeł. Potem je zainstalowałam i zapora nie wyświetla już żadnych dziwnych informacji.

Zresztą ona też bywa przeczulona.

W każdym razie instalki Firefox i Waterfox lepiej ściągać z oficjalnych źródeł, a nie z innych, nawet jak są bezpieczne.

Tak samo jest z rozszerzeniami do tych przeglądarek- przerabiałam to już na Waterfox. :/

[filutka78]

W każdym razie instalki Firefox i Waterfox lepiej ściągać z oficjalnych źródeł, a nie z innych, nawet jak są bezpieczne.

Nawet nie wiedziałam, że są jakieś nieoficjalne źródła

F.

[stukot]

Wiesz, filutka78, miałam na myśli strony z których można pobrać legalne oprogramowanie...

Swoją drogą to dziwne, że na pewnej stronie udostępnili Firefox Aurora 13 0.a2, a wówczas nawet jej nie było na serwerach Mozilli.

-- 21 mar 2012, o 20:05 --

Zapora wyświetlała coraz to nowe adresy stron XXX, z którymi niby łączyły się moje przeglądarki i ja je sukcesywnie dodawałam do blokowanych.

Od wczoraj miałam spokój, do czasu aż ściągnęłam Firefox Portable Legacy.

Więc się zastanawiam, czy programy portable z tej strony:

Kod: Zaznacz cały

http://portableapps.com/

są aby na pewno bezpieczne?

Tylko raz zalogowałam się na forum, używając Google Chrome portable, ale nie jestem pewna, czy mogę spokojnie używać tamtych programów.

Teraz skanuję kompa Dr Web Cure It. Na razie czysto. O dziwo, mój komp nie jest jakoś zbyt przeciążony...

W zasadzie mogę wyrzucić tamte programy portable, zwłaszcza jeżeli są felerne.

Aha, jak przenieść aktywny profil Firefox na inną partycję?

-- 22 mar 2012, o 12:17 --

Po wielu godzinach skanowania Dr Web Cure It, które nadal trwa, ten skaner w dwóch bezpiecznych bibliotekach dll wykrył: MULDROP.Trojan.

Zaraz sprawdziłam te pliki na virus total i inne skanery nic nie wykryły.

W ogóle szukałam informacji na temat tego trojana i znalazłam coś pożytecznego:

Istnieje jednak (ponoć) metoda "ręczna", którą niniejszym Ci tutaj przytoczę...

A. Musisz zlokalizować plik związany z Trojan.Muldrop i usunąć go. Istnieje pod nazwą:

212ff2e0.exe

B. Ze szkodnikiem powiązane są jeszcze następujące wpisy w rejestrze:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yfcuytatz7iv

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON\USERINIT\ userinit

NALEŻY TE WPISY USUNĄĆ.

Jednak nie wiem, czy to dobre rozwiązanie.

W każdym razie w rejestrze nie znalazłam żadnego z tamtych wpisów. Tamtego pliku też nie znalazłam.

Swoja drogą, w innych bibliotekach dll, w folderze programu Audials One Dr Web Cure It też wykrył tamtego trojana.

* Nie podaję źródła tamtego cytatu, bo jego autor podał linka do niebezpiecznej strony, która ma pomóc usunąć to zagrożenie.
_____________________________________________________________________________________________________

Poza tym doktorek u mnie wykrył trojana Fake.Av. 10222- zapewne to było FP, ale usunęłam tamto ,,zainfekowane" rozszerzenie do Songbird, bo i tak go nie używałam.

[kominekl]

Jednak nie wiem, czy to dobre rozwiązanie.

Podstawowa sprawa to log z Dr. Web CureIt`a, dzięki któremu zobaczymy dokładniejszy raport programu na temat intruza.

Poniżej zamieszczam wymagane logi z OTL

Byłbym zaszczycony, mogąc zobaczyć Twoje nowe logi z OTL w celach finalizujących i optymalizujących.

[stukot]

Kominekl, według filutki nie mam wirusów w kompie, ja jej wierzę.

Jeżeli chodzi o skan doktorkiem, to jutro przeskanuję nim partycję D. Po prostu dzisiaj nie zdzierżyłam. Ponad dwadzieścia godzin skanowania i końca nie było widać...

Wiem, co robić jak doktorek coś wykryje. Trzeba ten plik sprawdzić na virus total, ale jak jest niepotrzebny, to można go profilaktycznie wyrzucić. Tak zrobiłam z tamtym rozszerzeniem do Songbird- w ogóle go nie używałam.

Zamierzam też niedługo przeskanować kompa mbam pro (mam jego pełną, wygraną wersję) i antywirusem.

Uważam, że Online Armor Premium to bardzo dobra zapora, ale może też być przeczulona...

Nie wiem, czy to ma znaczenie, ale do łączenia się z netem, używam starszego modemu... I do tego używam aplikacji dostępowej Neostrady.

-- 22 mar 2012, o 23:28 --

Ok.

Oto log otl: Dostępne tylko dla zarejestrowanych użytkowników

A to log extras: Dostępne tylko dla zarejestrowanych użytkowników

[greh]

Nie wiem, czy to ma znaczenie, ale do łączenia się z netem, używam starszego modemu... I do tego używam aplikacji dostępowej Neostrady.

Żadnego. Modem nie zapewnia sprzętowej ochrony, w żaden sposób nie skanuje treści przechodzących w netu do kompa.

[ironia_mode]Wiesz, tak całkiem profilaktycznie poleciłbym format. Czasem nie zaszkodzi. xD[/ironia_mode]

[stukot]

[ironia_mode]Wiesz, tak całkiem profilaktycznie poleciłbym format. Czasem nie zaszkodzi. xD[/ironia_mode]

Ależ greh, mój komp, mimo wszystko dobrze chodzi, nie wiesza się, nie restartuje, nie ma żadnych blue screenów. I nawet szybko się uruchamia.

Wszystko byłoby idealnie, gdyby nie ten głupi monitor, popsuty od nowości.