SpyDetect

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
raafaello1982

Użytkownik
Posty: 7
Rejestracja: 27 lut 2013, 20:32

SpyDetect

Post21 kwie 2017, 11:51

Witam, skorzystałem z powyższej app i w obu przypadkach wyskoczył mi monit jak w art
Dostępne tylko dla zarejestrowanych użytkowników
dlatego prośba jak zidentyfikować złoczyńcę wzgl jakie logi przesłać, bo zauważyłem że na forum wiele osób używa FIRST ja ostatnio parę lat temu umieszczałem logi w sieci za pomocą OTL. Który będzie optymalnym narzędziem byście mogli mi pomóc?

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

SpyDetect

Post21 kwie 2017, 12:25

FRST

i napisz, co pokazuje SpyDetect po kliknięciu na przycisk DETAIL

raafaello1982

Użytkownik
Posty: 7
Rejestracja: 27 lut 2013, 20:32

SpyDetect

Post21 kwie 2017, 12:42

Shortcut.txt
delete

Addition.txt
delete

FRST.txt
delete
Ostatnio zmieniony 21 kwie 2017, 13:57 przez raafaello1982, łącznie zmieniany 1 raz.

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

SpyDetect

Post21 kwie 2017, 13:09

Tylko kosmetyka:

Otwórz Notatnik i wklej w nim:
C:\Users\user.AS\Documents\START\Temp.lnk
Task: {F902C9DB-18D3-4101-8B39-1AB90F5615E7} - System32\Tasks\{70C395C0-89A3-4CE1-81EF-D293B4599B40} => pcalua.exe -a "C:\Users\instalator\Downloads\proCertumCardManagerSetup_320136 (3).exe" -d C:\Users\instalator\Downloads
Task: {C25FA27D-F629-44C2-AEDE-579B59D50BE5} - System32\Tasks\{949EA51D-8135-49E6-BB53-EE782B300103} => pcalua.exe -a "C:\Program Files (x86)\MPlayerPortable\MPlayerPortable.exe" -d "C:\Program Files (x86)\MPlayerPortable"
Task: {7F4C5541-3913-4263-9216-D6C691D6175D} - System32\Tasks\{FA189616-1336-4278-96EB-D5F1EF4F8A76} => pcalua.exe -a C:\Users\godfather\Downloads\JavaSetup8u45.exe -d C:\Users\godfather\Downloads
Task: {818980B2-A2B9-401C-A571-97B00187554C} - System32\Tasks\{2D142766-50BC-4D9C-A8BA-77034CFE2706} => pcalua.exe -a C:\Users\instalator\Downloads\attsetup_1.6.9.1481(dobreprogramy.pl).exe -d C:\Users\instalator\Downloads
Task: {67A38491-9103-4F2C-8E1B-8BED848238B3} - System32\Tasks\{C1A41AC8-6868-45EC-8F6E-D6654CD67BDF} => pcalua.exe -a C:\Users\user.AS\Downloads\Nokia_PC_Suite_ALL.exe -d C:\Users\user.AS\Downloads
Task: {302CDD50-F62C-42F8-8B33-AF122D8F4C1A} - System32\Tasks\{DC61BE98-6E31-4CD3-BA29-168CBD3DAEBA} => pcalua.exe -a C:\Users\user.AS\Downloads\advanced-anti-keylogger\setup.exe -d C:\Users\user.AS\Downloads\advanced-anti-keylogger
Task: {070BEA0F-5205-4927-9B6A-AF70947A5BD3} - System32\Tasks\{1EE87FAE-7D71-4B72-BA0A-ABF3AD45F819} => pcalua.exe -a C:\Users\user.AS\Downloads\JavaSetup8u45.exe -d C:\Users\user.AS\Downloads
C:\Users\user.AS\psping.exe
HKU\S-1-5-21-2099400483-3488309164-893196089-23359\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QQPCMgr
GroupPolicy: Ograniczenia <======= UWAGA
GroupPolicyScripts: Ograniczenia <======= UWAGA
HKU\S-1-5-21-2099400483-3488309164-893196089-23359\...\Run: [RMFon] => [X]
HKLM Group Policy restriction on software: *doc.exe <====== UWAGA
HKU\S-1-5-21-2099400483-3488309164-893196089-23359 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== UWAGA
HKU\S-1-5-21-2099400483-3488309164-893196089-23359 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== UWAGA
C:\Users\user.AS\Links\Dysk Google.lnk
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

i napisz, co pokazuje SpyDetect po kliknięciu na przycisk DETAIL

nie napisałeś

raafaello1982

Użytkownik
Posty: 7
Rejestracja: 27 lut 2013, 20:32

SpyDetect

Post21 kwie 2017, 14:15

Wyczyściło mi wpisy w pliku hosts (odtworzę je sobie jakoś).

electrolux pisze:
i napisz, co pokazuje SpyDetect po kliknięciu na przycisk DETAIL

nie napisałeś

SpyDetect nadal to samo, pewno jeśli komputer w domenie to tego nie unikniemy?
A podane 2 app w załączeniu to app z których korzystam więc raczej nie stanowią zagrożenia?
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

SpyDetect

Post21 kwie 2017, 15:53

Z podanych obrazków wynika, że SpyDetect nic nie wykrył.
Ten program w takim razie to jedna wielka pomyłka.

Awatar użytkownika
Gedo

Ekspert
Posty: 680
Rejestracja: 10 sie 2014, 10:34

SpyDetect

Post22 kwie 2017, 09:41

Dzięki elektolux - Powitać i cieszyć się, że jesteś :)

A miałem od dawna spydetect free. Teraz się przyglądnąłem dokładnie i wyszło mi, że program głupi. Pokazuje, że lewy problay not, ale monitored prawy yes.
No to detalis i sprawdzanie plików po kolei - ok 20 sztuk.
System świeżutki - 2 tygodnie. System czyściutki, bo dbam. Spydetect pokazuje bzdety - gdybym usuwał, uszkodziłbym system.
Dostępne tylko dla zarejestrowanych użytkowników
Już go wyrzucam. A był dotąd na D. Nie wadził.
Ale w rejestrze go nie było, tylko jedno wyszukiwanie:
Dostępne tylko dla zarejestrowanych użytkowników

Czasem sprawdzę roguekillerem, bo na trzech kompach nie ma prawa być antywirusa. Umiem blokować wszelkie szpiegostwo, malware, przekierowania i tam takie zagrożenia. To co mi może wleźć? Pilnuję ja, a na wszelki wypadek - unchecky.
Świadomość nikła, a naiwność zwykła.

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

SpyDetect

Post23 kwie 2017, 06:52

@Gedo

Twoje spostrzeżenia potwierdzają, że program jest nic nie wart.
.

raafaello1982

Użytkownik
Posty: 7
Rejestracja: 27 lut 2013, 20:32

SpyDetect

Post24 kwie 2017, 14:59

U Kolegi poza domeną również dla 1 opcji pokazał jakieś app z jego komputera które nie stanowią zagrożenia, natomiast w 2 przypadku nie wykrył nic. Aczkolwiek możliwe że zadziałała tu poprostu reguła: jesteś w domenie pokaż zagrożenie (aczkolwiek w tym przypadku je podejrzewam).

Czyli nie znacie innej app tego typu o potwierdzonej skuteczności działa i wystarczającym będą unchecky (ja świadomie instaluje app) + RogueKiller (chętnie go sprawdzę).

-- 24 kwi 2017, 12:59 --

Efekty pracy RogueKiller'a
Co oznacza wpis ConsentPromptBehaviorAdmin w Polityce bezpieczeństwa, to że mam podwyższone uprawnienia czy że ktoś bez mojej wiedzy może coś robić w moim systemie operacyjnym, wg Dostępne tylko dla zarejestrowanych użytkowników
Wynik programu dla omawianego wpisu: Dostępne tylko dla zarejestrowanych użytkowników

Mamy w domenie app LOGSystem, więc osoby które są w domenie mają na komputerach AgentaLOGSystem - jakie on ma możliwości oprócz wykonania Audytu, które mogą być dla mnie niekorzystne jeśli chodzi o monitorowanie mojej stacji roboczej np.podgląd tego co mam wyświetlone na monitorach bez mojej wiedzy? Ktoś może korzystał bądź zna to narzędzie i jest w stanie precyzyjnie odpowiedzieć na tak zadane pytanie?

-- 24 kwi 2017, 14:58 --

raafaello1982 pisze:
electrolux pisze:
i napisz, co pokazuje SpyDetect po kliknięciu na przycisk DETAIL

nie napisałeś

DETAIL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Także nic groźnego. A znasz może jakąś inną app tego typu o potwierdzonej skuteczności działaczy też wystarczające będzie to co chłopaki napisali.

Awatar użytkownika
Gedo

Ekspert
Posty: 680
Rejestracja: 10 sie 2014, 10:34

SpyDetect

Post24 kwie 2017, 20:43

RogueKiller, to tylko wskazówka.
Wystarczy, żeby sprawdzić na virus total online Dostępne tylko dla zarejestrowanych użytkowników
Sprawdź asystenta DVDVideoSoft. To cholera zawirusowana, albo inna zaraza. Sam będziesz widział. Wejdź w internet explorer, w dodatki - wszystkie dodatki i po znalezieniu asystenta zaznacz go i z PPM wybierz wyświetlenie informacji. Klikasz na kopiuj i tyle - wklejasz do notatnika. Tam masz na dole ścieżkę do pliku wykonalnego. Według tej ścieżki na stronie wirus total znajdziesz i dodasz tego agenta. Potem dasz skanowanie szkodnika.

Wszystko w roguekiller zaznacz i usuń. Dodatkowo w opcjach folderów zaznaczasz pokazywanie ukrytych plików i folderów, odznaczasz ukrywanie rozszerzeń - wyszukujesz pozostałości w systemie kolejno według wszystkich nazw w notatniku - po skopiowaniu info agenta. Potem według nazwy sha i innych nazw wyszukujesz w rejestrze. To szok, ile znajdziesz.

Nie bądź lekceważący - wklej raport z roguekillera na Dostępne tylko dla zarejestrowanych użytkowników - a tu linka.
Świadomość nikła, a naiwność zwykła.

raafaello1982

Użytkownik
Posty: 7
Rejestracja: 27 lut 2013, 20:32

SpyDetect

Post05 maja 2017, 10:47

W omawianym miejscu w IE nie odnalazłem wpisu dot. DVDVideoSoft prawd. dlatego iż podczas operacji usuń zaznaczone w programie RogueKiller omawiany komponent został trwale usunięty.

Gedo pisze:Dodatkowo w opcjach folderów zaznaczasz pokazywanie ukrytych plików i folderów, odznaczasz ukrywanie rozszerzeń - wyszukujesz pozostałości w systemie kolejno według wszystkich nazw w notatniku - po skopiowaniu info agenta. Potem według nazwy sha i innych nazw wyszukujesz w rejestrze. To szok, ile znajdziesz.


Co masz konkretnie na myśli 'wyszukujesz pozostałości w systemie kolejno według wszystkich nazw w notatniku - po skopiowaniu info agenta' (czy chodzi o info/raport RogueKiller?)

Awatar użytkownika
Gedo

Ekspert
Posty: 680
Rejestracja: 10 sie 2014, 10:34

SpyDetect

Post05 maja 2017, 11:34

Raport RK - to jedno, wklej linka do loga.
Drugie, to usuwanie pozostałości. Masz dużo assistantdvdvideosoft - to ten agent.
Świadomość nikła, a naiwność zwykła.

raafaello1982

Użytkownik
Posty: 7
Rejestracja: 27 lut 2013, 20:32

SpyDetect

Post09 maja 2017, 14:08

log z RK Dostępne tylko dla zarejestrowanych użytkowników
Drugie - czy są jeszcze jakieś pozostałości do usunięcia (czy tylko ręcznie)?

Awatar użytkownika
Gedo

Ekspert
Posty: 680
Rejestracja: 10 sie 2014, 10:34

SpyDetect

Post09 maja 2017, 18:30

Widzę, że masz dwie infekcje w hide folders i w paseczek. Te aplikacje powinieneś odinstalować. Wpierw przywróć wszystko, co ukryłeś hide foldersem.
Rogue nie sypie false positivem.
Wpierw wyszukaj paseczek.exe i hf.exe - sprawdź te pliki tu: Dostępne tylko dla zarejestrowanych użytkowników
Pokaże Ci prawdę.
Odinstalujesz normalnie. Potem w opcjach folderów odznaczysz ukrywanie chronionych, odznaczysz ukrywanie rozszerzeń i zaznaczysz pokazywanie ukrytych plików i folderów.
Następnie wyszukasz pozostałości w systemie pod nazwą paseczek i usuniesz. Tak samo wyszukasz w rejestrze paseczek i po kolei będziesz usuwać. Tak samo wyszukasz w rejestrze gazeta.pl i będziesz usuwać.
RogueKiller, to uruchom usuwanie, ale dopiero po odinstalowaniu hide folders, bo inaczej RK usunie Ci zainfekowany hf.exe, czyli sterownik programu i uszkodzi program.
Świadomość nikła, a naiwność zwykła.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Google Adsense [Bot] i 11 gości