pomoc w wyjaśnieniu problemu

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 14:50

Ten syf wraca!

Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\windows\system32\wmsoft26355.exe
c:\windows\system32\wmsoft58135.exe
c:\windows\system32\win_88661.exe
c:\windows\wuaucpl.exe
c:\windows\Fonts\wmsncs.exe
c:\documents and settings\All Users\Menu Start\Programy\Autostart\wmsncs.exe

Driver::
Local Service
R4 NET Runtime Optimization Service v2.1.41329_X86

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Wmsncs Service"=-
"NvidMediaCenter"=-
"Spool Driver Service"=-
"Wins Service"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wmsncs Service"=-
"NvidMediaCenter"=-
"Spool Driver Service"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="explorer.exe \"c:\windows\Fonts\wmsncs.exe\,"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??ƒ????ˆ?Š?ŚŤŽŹ???????˜?Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-
"wmsncs.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{103L3C30-C3B3-4130-9363-E59E1375PERM}]

Robisz to samo.

Jeśli log nie będzie teraz czysty to poprostu FORMAT. :(



==================================================
K.

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21330
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 14:59

Ostatecznie proponuję mojego cichego faworyta do zadań specjalnych: Dostępne tylko dla zarejestrowanych użytkowników
Hotfix
Pozdrawiam, cosik_ktosik :)

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 15:01

Dostępne tylko dla zarejestrowanych użytkowników
a i nie można tego folderu usunąć bo plik wmsncs.exe nie może zostać usunięty
rozumiem że format tak??
a idzie zrobić formata 3 partycji odrazu?

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 15:06

Zrób to co napisał cosik_ktosik.
Przeskanuj potem "Doktorkiem" (pełne skanowanie) wywalaj wszystko co znajdzie.

Potem jeszcze Scan MBAMEm.

Dajesz log z Trojan Removera (jeśli będzie) + "Doktorka" + MBAMa.



===========================
K.

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 15:10

dobra zrobię tego formata
mam nadzieje że po nim bedzie ok wszystko

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21330
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 15:13

Jeżeli Masz jakieś pendrivey, mp3 wylecz je najpierw: http://www.hotfix.pl/articles.php?article_id=64
Zwłaszcza, że poprzedni format nie pomógł.
Hotfix
Pozdrawiam, cosik_ktosik :)

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 15:16

oki tak zrobię

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 17:27

to log z combofixa świeżo po formacie całego kompa Dostępne tylko dla zarejestrowanych użytkowników
masakra normalnie
wystarczy ze podepne się do internetu tzn. jak zainstaluje modem i wprowadzę login i hasło to co zawsze i dalej to samo jest :(
co robić ?

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 17:30

Był format całego dysku? Bo w logu jest cały czas ta infekcja. Sformatuj wszystkie pendrivie'a komórki itd. i wtedy walnij formata całego dysku, a nie tylko systemowej. Odrazu po formacie dysu pozamykaj porty.


=============
K.

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21330
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 17:36

Dodatkowo przygotuj dla siebie na płycie Service Pack 3 dla swojego systemu. Widzę, że nie Masz żadnego. Dodatkowo przed podłączeniem do sieci zainstaluj Avirę
Hotfix
Pozdrawiam, cosik_ktosik :)

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 17:40

był format całego dysku C,D,E
pendriva żadnego nie podłączałem po formacie nic nie robiłe prawie tylko zainstalowałem podstawy i ten modem od internetu. Jak pozamykać porty?

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 17:41

Zrób wszystko to o co Cię prosił cosik_ktosik.

WWDC (link --> google :D).

Po tym wszystkim nowy log z ComboFixa.


===============
K.

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21330
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 17:42

djarta pisze:1) Zamknij robaczywe porty przy pomocy --> Dostępne tylko dla zarejestrowanych użytkowników (niżej na stronie linku)..
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.


Skąd Masz sterowniki i "podstawy", czy jest możliwość, że instalujesz coś już zawirusowanego?
Hotfix
Pozdrawiam, cosik_ktosik :)

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 17:49

a czy jest tak możliwość że wirus znajduje się na łączu i gdy tylko wpisuje login i hasło i otrzymuje dostęp do internetu to on się uaktywnia?
czy zmiana komputera i np. podłączenie pod to łącze laptopa spowoduje że pojawi się on na laptopie?

//////////////////POST 2/////////////////////////////

cosik_ktosik pisze:
djarta pisze:1) Zamknij robaczywe porty przy pomocy --> Dostępne tylko dla zarejestrowanych użytkowników (niżej na stronie linku)..
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.


Skąd Masz sterowniki i "podstawy", czy jest możliwość, że instalujesz coś już zawirusowanego?


Sterowniki mam od nowego, podstawy też, był już instalowane na komie i nic się nie działo wcześniej także ta droga raczej odpada że na płytach są wirusy. i wogóle tego formata zrobiłem już na innym windowsie tzn. innej płycie z nim

// Nie rób bajzelu, edytuj posta a nie piszesz jednym pod drugim!!
// djarta

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21330
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 18:02

Tak, jest to możliwe. Sposób taki przedstawiłem nawet w najnowszym newsie na stronie głównej: http://www.hotfix.pl/
Dlatego także napisałem, że należy przed podłączeniem sieci wykonać aktualizację systemu (SP3) i zainstalował antywirusa.
Hotfix
Pozdrawiam, cosik_ktosik :)



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości