Skocz do zawartości
Limp20

Sprawdzenie logów

Rekomendowane odpowiedzi

Witam wszystkich. Jestem tutaj nowy, to mój pierwszy temat jakby był w nieodpowiednim dziale to proszę o przeniesienie.

A teraz do rzeczy. Zauważyłem że dzieją się z moim komputerem dziwne rzeczy i zrobiłem skan logów programem OTL z ostatnich 30 dni. Zerknie ktoś?

Drugiego pliku nie mogę wrzucić w załączniku, dodam go na serwer jak będzie potrzebny i wrzucę link.

Z góry dziękuję.

Extras.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Zrób logi z FRST. Jest w przyklejonym temacie link do pobrania. OTL -a się nie stosuje już od kilku lat. Co się dokładniej dzieje niedobrego z komputerem?

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Drugi plik jak coś to wrzucę na serwer jakby był potrzebny.

Co do komputera to pojawia się inna lokalizacja na zalogowanych kontach, wejścia w godzinach gdy się nie logowałem i często przymula.

Sieci niektóre są jakby to powiedzieć z du*y, w okolicy takich nie było i się na pewno nie pojawiły. I jeszcze kilka rzeczy, ale może coś logi powiedzą.

I dlaczego widnieje tutaj 3 konta jak mam założone tylko jedno?

Addition.txt

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

No ten drugi plik jest ważniejszy. Wszystko jest w porządku z kontami. Tak ma być.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

https://lunaticfiles.com/p6s5h4e84czu/FRST.txt.html

 

Jeszcze sprawdzałem porty GRC stronka i są tam otwarte porty przez Trojany - przynajmniej tak pokazuje. Czyściłem kompa ADWcleanerem, skanowałem avastem , AVG i teraz avirom i nic nie wykrywa. Jest w ogóle sposób żeby to usunąć, cy tylko reset systemu zostaje?

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Co do komputera to pojawia się inna lokalizacja na zalogowanych kontach

O jaką lokalizację chodzi?

 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku

ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku

FirewallRules: [{819ADBA3-0B50-4130-9D22-1EAA11758DD7}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe Brak pliku

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: {0B336BAC-946D-45BE-9355-46F547BB3A6B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe

Task: {117778DF-DA54-4F17-BFBD-D921A4BB85AE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [17184 2014-09-10] (LENOVO -> Lenovo)

Task: {B5FE1418-B420-4640-89A6-2C31A8BE12A2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe

Task: {B98053EB-7B2C-41B0-A528-8994F9EAC39A} - System32\Tasks\{35865116-AF0F-41C1-8E2D-22466F47FE13} => C:\WINDOWS\system32\pcalua.exe -a E:\DTLiteInstaller.exe -d E:\

Task: {B4C479DE-9F71-4EDD-9B25-7291E25702AC} - System32\Tasks\PDVDServ Task => C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE

Tcpip\..\Interfaces\{2B10D56B-951A-46C7-A103-7A9780231164}: [DhcpNameServer] 150.209.1.2

CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]

CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]

CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>

S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X]

U3 aswbdisk; Brak ImagePath

U1 avgbdisk; Brak ImagePath

S3 rtsuvc; \SystemRoot\system32\DRIVERS\rtsuvc.sys [X]

EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Potestuj czy są zmiany na + po restarcie.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Co dokładnie te linijki zrobią?

Lokalizacja fizyczna położenia komputera, ogólnie. Tyczy to się również czasami innych urządzeń. Znajdują się cały czas w tym samym miejscu.

Nawet FB jest w ustawieniach sprawdzanie historii logowania i wyświetla inną lokalizacje i całkiem nieznane urządzenia. Co może być przyczyną?

Plus pojawiają się zalogowania na różne konta w godzinach gdzie w ogóle się nie logowałem. Może mieć ktoś zostawioną otwartą "furtke" do mojego systemu/komputera? I jest tylko ślad jak on korzysta z niej a tak to wygląda jak gdyby nigdy nic?

I dlaczego ten notatnik ma taki dziwny tytuł pliku? nocgziqiyfejg coś takiego xd.

I to ip serwera w stanach też tam powinno być?

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

FB i Gmail pokazują skąd się ktoś logował. A skoro masz listę z miejscami, w których nie byłeś, to odpowiedź jest dość prosta: ktoś ma Twój login i hasło. O ile oczywiście jest pokazane, że logowanie było prawidłowe.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Było prawdiłowe, normalnie pokazuje sesja ile razy aktywną logowanie ile minut temu itp. Tylko jeżeli zmieniam hasło, dajmy na to wczoraj to zrobiłem to skąd już dzisiaj ta osoba ma nowe? Musi mieć dostęp do komputera w jakiś sposób? Z komputera korzystam tylko ja, więc pozostaje ingerencja z zewnątrz, tylko skąd i jak?

I panie majster toska78 po tym powinien być przez jakieś 45s ekran czarny przed ponownym pokazaniem pulpitu i pojawiły się okna konsoli te które się uruchamia poprzez cmd i coś na nich szybko przeleciało i dopiero pokazał się pulpit.

 

A i jeszcze jedno jak można wyjaśnić to:

 

Ta sieć akurat ma dość pospolitą nazwę, ale trafiały się inne jak coś to mam screeny. pojawia się takie coś najpierw ze słabym zasięgiem i za chwilę skacze na max. Mieszkam na wiosce i inne zabudowania są odsunięte na znaczą odległość. A żeby taki zasięg był to musi znajdować się chyba bardzo blisko, nie?

post-618013-15849954779634_thumb.png

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Co dokładnie te linijki zrobią?

I dlaczego ten notatnik ma taki dziwny tytuł pliku? nocgziqiyfejg coś takiego xd.

I to ip serwera w stanach też tam powinno być?

Zadałem do usunięcia odpadkowe wpisy (pozostałości) po odinstalowanych aplikacjach + usunięcie z rejestru wpisu idresu ip z USA, zakładam że nie mieszkasz w Stanach. I jeszcze wyczyszczenie ze zbędnych plików lokalizacji tymczasowych np. zawartość folderu Temp przy użyciu komendy EmptyTemp na końcu skryptu. Według poradnika dot. FRST komenda EmptyTemp czyści poniższe lokalizacje (opróżnia następujące katalogi):

 

Windows Temp

Foldery Temp użytkowników

Pamięci podręczne (Cache), magazyny HTML5, Ciasteczka (Cookies) i Historia Edge, IE, FF, Chrome i Opera

Pamięć podręczna ostatnio otwieranych plików

Pamięć podręczna Flash Player

Pamięć podręczna Java

Pamięć podręczna HTML Steam

Pamięć podręczna ikon oraz miniatur Eksploratora Windows

Kolejka transferu BITS (pliki qmgr*.dat)

Kosz

 

 

Jeśli chodzi o nazwę pliku tekstowego to tak ma być. FRST po użyciu skrótu Ctrl + Y otwiera notatnik z losową nazwą stąd ta dziwna nazwa pliku.

 

I panie majster toska78 po tym powinien być przez jakieś 45s ekran czarny przed ponownym pokazaniem pulpitu i pojawiły się okna konsoli te które się uruchamia poprzez cmd i coś na nich szybko przeleciało i dopiero pokazał się pulpit.

Nie wiem dlaczego po naprawie w FRST i restarcie wystąpił czarny ekran na kilkadziesiąt sekund i jeszcze okna CMD przeleciały szybko przed pojawieniem się pulpitu. Możesz kontrolnie zrobić i podać nowe logi lub podać raport z naprawy (Fixlog.txt).

Co do kwestii lokalizacji, logowań i zagadkowych sieci wifi to nie pomogę.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak sobie myślałem,że może to nie kwestia komputera, a samego rutera/modemu? Możliwe żeby to tam sobie ktoś zrobił wejście do sieci/mojego komputera? Ja się bardzo nie znam, ale jeżeli te pingi czy co to tam idzie do mnie to i musi później wrócić, nie? Czy to tak średnio jest możliwe? Temat tych sieci jest ciekawy i troszkę niepokojący, bo to nie jest odosobniony przypadek i jest ich dość sporo. I to nie jest chwilowe tylko dana sieć pojawia się czasami nawet na kilka minut. Więc przejeżdżające samochodu itp. można wykluczyć. Czy po prostu problemu za bardzo nie ma, a mi się tylko wydaje, bo powinien zostać jakiś ślad w logach, czy w innym miejscu?

Plik z naprawy w załączniku.

I jeszcze zrobiłem screna z wiersza poleceń, wyjaśni ktoś dlaczego są aktywne połączenia z takimi adresami?

Jestem troszkę laikiem w tych sprawach i dlatego o takie rzeczy pytam. Więc z góry przepraszam za swoją niewiedze.

Fixlog.txt

post-618013-15850447864778_thumb.png

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Akurat polecenie nestat bez żadnego przełącznika jest mało użyteczne. Lepiej zastosować je z przełącznikiem -ano żeby widać było identyfikator programu czy usługi (ID), który/a nasłuchuje na danym porcie.

gdzie:

-a wyświetla wszystkie połączenia i porty nasłuchiwania,

-n wyświetla adresy i numery portów w postaci numerycznej, czyli zamiast http czy https (jak na Twoim zrzucie) numery np. 443 jak na moim.

-o wyświetla identyfikator procesu właściciela powiązanego z każdym połączeniem (dodatkowa kolumna PID).

 

Po użyciu komendy:

netstat -ano

pojawi się po prawej stronie dodatkowa kolumna oznaczona jako PID (czyli ten identyfikator programu (ID) w formie numeru).

Większość aktywnych połączeń w stanie established (połączony) jest związanych z usługami systemowymi.

 

Przykład z mojego kompa:

 

uuujpg_qasherh.jpg

 

U mnie np. pod numerem PID 3260 działa usługa systemowa "Usługa systemowa powiadomień WNS", pod numerem 2120 są połączenia (procesy) przeglądarki Opera, a pod numerem 5580 połączenia związane z SearchUI.exe (ważna systemowa aplikacja).

Numery PID wyświetlane po użyciu netstat -ano porównuje się z tymi wyświetlanymi w menedżerze zadań (w zakładce Szczegóły). Jeśli jest to usługa, PPM na dany proces w zakładce Szczegóły --> Przejdź do usług i w zakładce Usługi zostaje zaznaczona odpowiednia usługa z danym numerem PID.

Z tym że u Ciebie jest Windows 8.1 i nie wiem czy w menedżerze zadań są identyczne zakładki.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zrobiłem tak jak radziłeś, tylko dlaczego są dwa localne adresy ip? I dlaczego części procesów które się wyświetlają w oknie konsoli nie można odnaleźć w usługach w menadżerze zadań, czy to tylko dlatego, że są wyłączone/nieaktywne?

post-618013-15851164486597_thumb.png

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Jeśli chodzi o adresy 127.0.0.1 i 192.168.0.111 to wszystko jest w porządku. Opis 1 pierwszego adresu a ten drugi to adres ip routera. Generalnie 127.0.0.1 to tzw. adres lokalnej pętli zwrotnej, czyli to jak Twój komputer identyfikuje siebie (Mój link posty #2 i 3).

A te procesy w konsoli (o tym samym numerze PID), których nie ma w usługach menedżera zadań to tak jak pisałem np. procesy przeglądarki internetowej czy SearchUI.exe.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dzięki za odnośniki do tych artykułów. Teraz jak sprawdzałem adresy ip z cmd co wyskoczyło dużo Ip które są rozsiane po całym świecie - pomijając to od google itp. To połączenia ze francją, danią, norwegią? Normalnie też tak powinno być przy włączonych tylko google?

I jeszcze jedno skąd te różnice w adresach:

2001:67c:6ac:21c:106e:45f6:4b58:f3cb

2001:67c:6ac:21c:1139:bed4:ff0e:3767

Początek taki sam ale dalsza część?

I proszę o wyrozumiałość jestem laikiem w tych sprawach stąd takie banalne dla doświadczonej osoby pytania.

post-618013-15851328985966_thumb.png

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Teraz jak sprawdzałem adresy ip z cmd co wyskoczyło dużo Ip które są rozsiane po całym świecie - pomijając to od google itp. To połączenia ze francją, danią, norwegią? Normalnie też tak powinno być przy włączonych tylko google?

Raczej tak. Jeśli chodzi o zdalny czyli obcy adres (kolumna Foreign Address) to u mnie też wyświetla adresy z różnych krajów przy włączonej Operze z otworzoną tylko jedną kartą (www.google.pl). A to z prostej przyczyny że z tymi zagranicznymi adresami ip związane są też pozostałe usługi czy aplikacje, o których pisałem w poście #12.

Tak odbiegając od tego nieszczęsnego netstat. Masz założone hasło na swoją sieć wifi?

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tia, ale zna je wiele osób więc słabe zabezpieczenie bym powiedział. Dlaczego nieszczęsny netstat? Jakiś tam pogląd daje na to wszystko.Tylko dlaczego część tych adresów nie ma odpowiedników w identyfikatorach w usługach? Mimo wszytko ktoś z zewnątrz ingeruje i jakoś to muszę sprawdzić i rozwiązać. Jeżeli ktoś ma jakieś jeszcze pomysły jak to rozwiązać albo zabezpieczyć lepiej komputer to proszę pisać rozważę każdą opcje.

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Tylko dlaczego część tych adresów nie ma odpowiedników w identyfikatorach w usługach?

Bo nie są związane z usługami, pisałem o tym już 2 razy :D

 

U mnie np. pod numerem PID 3260 działa usługa systemowa "Usługa systemowa powiadomień WNS", pod numerem 2120 są połączenia (procesy) przeglądarki Opera, a pod numerem 5580 połączenia związane z SearchUI.exe (ważna systemowa aplikacja).

Numery PID wyświetlane po użyciu netstat -ano porównuje się z tymi wyświetlanymi w menedżerze zadań (w zakładce Szczegóły). Jeśli jest to usługa, PPM na dany proces w zakładce Szczegóły --> Przejdź do usług i w zakładce Usługi zostaje zaznaczona odpowiednia usługa z danym numerem PID.

 

A te procesy w konsoli (o tym samym numerze PID), których nie ma w usługach menedżera zadań to tak jak pisałem np. procesy przeglądarki internetowej czy SearchUI.exe.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Sorrki, faktycznie to przez te określenia techniczne się troszkę pogubiłem. Ale teraz jest jeszcze coś innego. Wcześniej tego nie było.

I tak ostatecznie pytanie,nic nie wskazuje na to że ktoś jednak ma dostęp z zewnątrz do komputera?

post-618013-15852132838998_thumb.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Nie wiem co to za dziwne adresy na tym zrzucie. U mnie jak widać nie ma takich. Wyświetliły się u Ciebie po użyciu netstat -ano? Wcześniej jak używałeś tej komendy to nie było ich?

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie wiem co to za dziwne adresy na tym zrzucie. U mnie jak widać nie ma takich. Wyświetliły się u Ciebie po użyciu netstat -ano? Wcześniej jak używałeś tej komendy to nie było ich?

Tak, wyświetliły się po użyciu netstat -ano, wyżej przed nimi było normalne adresy ip, poniżej kilka linijek gdzie były zera, gwiazdki itp. a natępnie te adresy. Użyłem jeszcze raz tej komendy i obecnie jest tylko jedna linijka jak powyżej.

post-618013-15852292122883_thumb.png

Edytowane przez Limp20

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...