Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Sony Vaio Win 7 - możliwy program szpiegujący

16 Gru 2015 08:45 873 14
  • Poziom 6  
    Witam,
    mam podejrzenie programu szpiegującego na komputerze, nie wiem czy jest to forma wirusa, czy może wgrany został program szpiegujący.
    Wykonałam skan ADWCleaner, znalazło dwa klucze, które usunęłam.
    Przeskanowałam MBAM w załączeniu raport. Wywaliłam wszystkie pliki z kwarantanny. Obawiam się jednak, ze coś jeszcze siedzi w systemie.. wielka prośba o sprawdzenie,
    W załączeniu pliki z OTL.
  • Pomocny post
    Moderator na urlopie...
    @zielona3 cześć.
    OTL już dawno nie jest wspierany, więc go nie używamy.

    Pobierz FRST http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ (zgodny z systemem - 32bit lub 64bit).

    Uruchom skanowanie i wygenerowane logi (frst.txt i addition.txt) zamieść jako załączniki.
  • Pomocny dla użytkowników
    Cytat:

    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\...\MountPoints2: {11bf6e4b-9d23-11e1-8f71-806e6f6e6963} - D:\Autorun.exe
    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> {332725B6-3C98-48C7-B0FB-FCBAFEFE1BE3} URL = hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> {577DD4B0-CEBF-419A-9325-08F780BF609B} URL = hxxps://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL => Brak pliku
    BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll => Brak pliku
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...uz7pocjV3wMA4bp3J8zLFJk4dVSilnQi8sWyy2Pl7uudw,,
    CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...wyd_Ko5zPRoekVj6kNY4S-gdj9b9lAenYLwNNb8Q,,&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
    CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
    CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\21.0.1180.60\PepperFlash\pepflashplayer.dll => Brak pliku
    CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\47.0.2526.80\gcswf32.dll => Brak pliku
    CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll => Brak pliku
    CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\47.0.2526.80\ppGoogleNaClPluginChrome.dll => Brak pliku
    CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\47.0.2526.80\pdf.dll => Brak pliku
    CHR Plugin: (McAfee SiteAdvisor) - C:\Users\Amelia\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.50.146.1_0\McChPlg.dll => Brak pliku
    CHR Plugin: (McAfee SiteAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll => Brak pliku
    CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll => Brak pliku
    CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll => Brak pliku
    CHR Plugin: (McAfee SecurityCenter) - c:\progra~2\mcafee\msc\npmcsn~1.dll => Brak pliku
    S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
    S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
    2015-12-15 21:58 - 2015-12-16 08:36 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.
  • Pomocny post
    Poziom 42  
    Otwórz notatnik systemowy i wklej:
    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\...\MountPoints2: {11bf6e4b-9d23-11e1-8f71-806e6f6e6963} - D:\Autorun.exe
    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://sony.msn.com
    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-4004718767-4056881944-557816223-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> {332725B6-3C98-48C7-B0FB-FCBAFEFE1BE3} URL = hxxp://services.zinio.com/search?s={searchTerms}&rf=sonyslices
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> {577DD4B0-CEBF-419A-9325-08F780BF609B} URL = hxxps://www.google.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-4004718767-4056881944-557816223-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL => Brak pliku
    BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll => Brak pliku
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...uz7pocjV3wMA4bp3J8zLFJk4dVSilnQi8sWyy2Pl7uudw,,
    CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...wyd_Ko5zPRoekVj6kNY4S-gdj9b9lAenYLwNNb8Q,,&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
    CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
    CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\21.0.1180.60\PepperFlash\pepflashplayer.dll => Brak pliku
    CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\47.0.2526.80\gcswf32.dll => Brak pliku
    CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll => Brak pliku
    CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\47.0.2526.80\ppGoogleNaClPluginChrome.dll => Brak pliku
    CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\47.0.2526.80\pdf.dll => Brak pliku
    CHR Plugin: (McAfee SiteAdvisor) - C:\Users\Amelia\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.50.146.1_0\McChPlg.dll => Brak pliku
    CHR Plugin: (McAfee SiteAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll => Brak pliku
    CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll => Brak pliku
    CHR Plugin: (McAfee SecurityCenter) - c:\progra~2\mcafee\msc\npmcsn~1.dll => Brak plikuS3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
    2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
    2015-12-15 22:54 - 2015-12-15 22:54 - 00129770 _____ C:\Users\Amelia\Desktop\OTL.Txt
    2015-12-15 22:45 - 2015-12-15 22:45 - 00109710 _____ C:\Users\Amelia\Downloads\Extras.Txt
    2015-12-15 22:41 - 2015-12-15 22:41 - 00129770 _____ C:\Users\Amelia\Downloads\OTL.Txt
    2015-12-15 22:16 - 2015-12-15 22:16 - 00602112 _____ (OldTimer Tools) C:\Users\Amelia\Downloads\OTL.exe
    2015-12-15 21:58 - 2015-12-16 08:36 - 00000000 ____D C:\AdwCleaner

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.
  • Poziom 6  
    Dziękuję za wszystkie odpowiedzi,
    @domino2
    W załączeniu fixlog, czy to wystarczy? Czegoś mi tu nie znalazło?

    Dodano:

    PS. Być może to głupie pytanie, ale czy jest możliwe, żeby dostawca internetu szperał mi w komputerze lub, żeby ktoś logował się do niego przez WiFi?
    Moderowany przez swiercm:

    Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używała opcji "Zmień".

  • Pomocny dla użytkowników
    @zielona3 Wygląda OK.

    Możesz skasować folder C:\FRST.
  • Poziom 6  
    @domino_2
    Dziękuję za pomoc, rozumiem, że były jakieś wirusy? możesz napisać mi co to było?
    Jeszcze tylko proszę o odpowiedź na moje pytanie dodane do postu wyżej.

    @swiercm
    ok, dziękuję, będę pamiętać.
  • Spec od komputerów
    Nie bylo, to tylko zbedne wpisy i pliki.
  • Poziom 43  
    zielona3 napisał:
    PS. Być może to głupie pytanie, ale czy jest możliwe, żeby dostawca internetu szperał mi w komputerze lub, żeby ktoś logował się do niego przez WiFi?

    Czy jesteś jedynym administratorem routera? Masz login i hasło?
    Jeśli nie szyfrujesz wi-fi i nie filtrujesz MAC każdy "z ulicy" ci do komputera "wejdzie".
    Dodatkowo masz w "windozie" masę usług typu "zdalny dostęp". Jeśli ktoś Cię szpieguje to przede wszystkim MS i google ;P. O WIN10 nie wspomnę...
  • Poziom 6  
    Login i hasło mam, zmienię na wszelki wypadek.
    W konfiguracji routera wybieram połączenie szyfrowane.
    Niestety nie wiem o co chodzi z tym filtrowaniem MAC.
    Jeśli chodzi o zdalne dostępy w Windows, to wszystko już dawno powyłączałam.
  • Poziom 43  
    zielona3 napisał:
    Login i hasło mam, zmienię na wszelki wypadek.

    Jeśli ktoś ukradł PIN do routera, niewiele to pomoże.
    Dopiero filtrowanie MAC zablokuje "nieproszonych gości".
    Poczytaj w sieci / manualu jak to zrobić - jest na zakładkach w ust. routera.
    Wpisujesz w pola adresy prywatnych urządzeń. Reszta komputerów nie ma po włączeniu filtra fizycznej możliwości połączenia z routerem. ;)
    Zanim to zrobisz możesz sprawdzić listę IP podłączonych przez Wi-fi (tak samo w panelu adminstr. routera), czy rzeczywiście ktoś się podpiął "na dziko". :)
    zielona3 napisał:
    W konfiguracji routera wybieram połączenie szyfrowane.

    Typ szyfrowania jaki?
  • Poziom 6  
    Zrobiłam filtrowanie, hasła pozmieniałam, szyfrowanie standardowo ustawia się na WPA2 Personal.
    To jak to jest z tym dostawcą internetu (kablówka)? Czy on teoretycznie może widzieć co ja robię na komputerze?
    Poprawiłem kolejny post. Proszę, byś utrzymała najwyższy poziom wypowiedzi na forum. swiercm
  • Poziom 43  
    zielona3 napisał:
    Czy on teoretycznie może widzieć co ja robię na komputerze?

    Oczywiście. Możesz nawet otrzymać od niego billing odwiedzanych stron.
    Co więcej, zdarza się, że dostawcy blokują lub ograniczają transfer np. protokół P2P itp.
    Strony i ludzi w sieci da się zmylić i oszukać np. przez VPN. Dostawca to już inna kwestia.
  • Poziom 6  
    Dziękuję za wszystkie odpowiedzi i pozdrawiam.
    Sony Vaio Win 7 - możliwy program szpiegujący