pomoc w wyjaśnieniu problemu

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post15 sty 2009, 14:24

Witam kumpel polecił mi żebym tu się podzielił problem bo możecie mi pomóc.
Otóż najprawdopodobniej mam jakiegoś wirusa na kompie :/ Robiłem formata ale nie pomogło. Przed formatem kumpel mi przyniósł mp3 i na nim był jakiś wirus związany z internet explorer(nie pamiętam dokładnie) Kaspersky niby go usunął. Wszystko działało potem jak należy. Ale po kilku dniach jak włączyłem kompa to gdy kaspersky się włączał zablokowywał mi się pasek zadań (pojawiała się klepsydra jak najechałem kursorem) nic się nie chciało włączyć jak nadusiłem na pulpicie. Jeszcze raz kompa włączyłem i szybko chciałem wyłączyć kasperskiego zanim się uruchomi ale wyskoczyła mi informacja że jest używany przez innego użytkownik już na tym kompie (mam tylko jednego uzytkowanika na kompie). Zrobiłem formata dysku C na którym miałem windowsa (mam jeszce dwie partycje których nieformatowałem). wszystko nimby gra już ale jak włączę internet (netia 1,3 przez telefon) to w pakietach wyświetla mi się że ciągle coś wysyłam niby, a nic takiego nie robię
Takie coś mi się pojawia Dostępne tylko dla zarejestrowanych użytkowników
Transfer pobierania danych nie spadł mi ale upload mam owiele niższy niż przed formatem
pomocy!!!


// Usuwam OTy.
// Żadnej reakcji przez 3 dni, więc zamykam.
// djarta

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21330
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post15 sty 2009, 14:27

Temat przeniosłem.

Podaj proszę logi z dwóch programów, pierwszy to HijackThis, a drugi Combofix. Instrukcje znajdziesz tutaj: viewtopic.php?f=42&t=146

Na czas skanowania, wyłącz zabezpieczenia (antywirusy, czy firewall).
Hotfix
Pozdrawiam, cosik_ktosik :)

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post15 sty 2009, 14:34

to log z pierwszego Dostępne tylko dla zarejestrowanych użytkowników
zaraz podam z drugiego

////POST2////

Dostępne tylko dla zarejestrowanych użytkowników to drugi log
Ostatnio zmieniony 15 sty 2009, 14:53 przez me@djohnsc, łącznie zmieniany 1 raz.
Powód: połączyłem posty

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post15 sty 2009, 15:26

1) Zamknij robaczywe porty przy pomocy --> Dostępne tylko dla zarejestrowanych użytkowników (niżej na stronie linku)..
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.

2) Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\windows\system32\msnopen.exe
c:\windows\system32\reag.exe
c:\windows\system32\esmb.exe
c:\windows\system32\drivers\pxhelp20.sys
c:\windows\winamp.ini
c:\windows\system32\fsxodci.exe
c:\windows\system32\qusyjd.exe
c:\windows\wuaucpl.exe
c:\windows\system32\rvnshgk.exe
c:\windows\system32\WinSec.exe
c:\windows\system32\bix.exe

Driver::
Local Service

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internets"=-
"WinDLL (reag.exe)"=-
"msnOP Service"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Internets"=-
"msnOP Service"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\System32\\WinSec.exe"=-
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??ƒ????ˆ?Š?ŚŤŽŹ???????˜?Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--> Obrazek
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

3)
. . . jest zainfekowany!!

. . . jest zainfekowany!!

Co jest zainfekowane?
Użyj (w Trybie Awaryjnym)-->SDFix. (niżej na stronie linku).
Pokaż Report.txt znajdujący się w folderze SDFix.

4)
detected NTDLL code modification:
ZwOpenFile

1. Fałszywy alarm.
2. VIRUT.
Użyj >Dostępne tylko dla zarejestrowanych użytkowników - niżej na stronie linku (daj z niego raport).



============================
K.

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post15 sty 2009, 16:01

log do punktu drugiego Dostępne tylko dla zarejestrowanych użytkowników
zaraz będzie reszta

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post15 sty 2009, 16:02

Rób punkt 3) i 4).

P.S Powiem szczerze, jest tragicznie.


===========
K.

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

Re: pomoc w wyjaśnieniu problemu

Post15 sty 2009, 16:15

punkt 3 Dostępne tylko dla zarejestrowanych użytkowników

sądzisz że nie da się tego naprawić? co wtedy wymiana dysku? czy nie wystarczy tylko dysku na nowy wymienić?

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post15 sty 2009, 16:20

SDFix nie wykrył żadnych zainfekowanych plików systemowych.
SDFix bardzo dużo usunął, wykonuj punkt 4) (pełne skanowanie) i daj najswieży log z ComboFixa.
Wystarczy sformatować dysk żeby się tego pozbyć.
Ale narazie próbujemy uratować system.



===========================
K.

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post15 sty 2009, 16:31

punktu 4 nie mogę zrobić do końca
jak skanuje mi to w pewnym momencie komputer mi się zawiesza i pojawia się taki niebieski ekran z napisami
wstwić loga do tego momentu co przeskanował?

Edit:
Przeskanowałem kompa tym programem w systemie awaryjnym
oto log z tego skanowania wrzuciłem na serwer bo zajmuje 8mega:
Dostępne tylko dla zarejestrowanych użytkowników

////POST2////

odpowie mi ktoś co dalej:> :?:

Proszę, czekaj cierpliwie na odpowiedź. Cierpliwość popłaca
me@djohnsc


oki spoko poczekam ale komp mi jest potrzebny pilnie bo prace piszę licencjacką :/

djarta, niestety dopiero jutro będzie mógł sprawdzić Twoje logi.
cosik_ktosik

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 10:12

W folderze System Volume Information "Doktorek" wykrył VIRUTa, ale już go usunął.

Daj najnowszy log z ComboFixa. ;)


=====================
K.

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 11:06

proszę bardzo
Dostępne tylko dla zarejestrowanych użytkowników

wczoraj po skanowaniu było wszystko chyba dobrze już nie wysyłał sam żadnych danych
dziś znów łącze cały czas coś wysyła :x

edit:
zrobiłem szybkie skanowanie doktorkiem
oto log z niego:
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 14:08

. . . jest zainfekowany!!

. . . jest zainfekowany!!

. . . jest zainfekowany!!

Ja już nic z tego nie rozumiem.

Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\windows\system32\wmsoft20324.exe
c:\windows\system32\wmsoft87787.exe
c:\documents and settings\all users\menu start\programy\autostart\wmsncs.exe
c:\program files\common files\system\wmsncs.exe
c:\windows\system32\wins\wmsncs.exe
c:\windows\system32\spool\drivers\wmsncs.exe
c:\windows\fonts\wmsncs.exe

Folder::
c:\recycler
c:\windows\system32\spool\drivers
c:\windows\system32\wins

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??ƒ????ˆ?Š?ŚŤŽŹ???????˜?Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-
"wmsncs.exe"=-
"wmssvc.exe"=-

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--> Obrazek
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.



==============
K.

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 14:29


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 14:35

Wklej do Notatnika:

Kod: Zaznacz cały

File::
c:\documents and settings\Michał Śmiechowski\vos32.exe
c:\documents and settings\Michał Śmiechowski\vos32.exe

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~??ƒ????ˆ?Š?ŚŤŽŹ???????˜?Š?ŚŤŽŹ ˇ˘Ł¤Ą?§¨?Ş??ŻÄü"=-

Robisz to samo co poprzednio, czyli przeciągasz itd.


==============
K.

drylek69

Użytkownik
Posty: 19
Rejestracja: 15 sty 2009, 14:12

pomoc w wyjaśnieniu problemu

Post16 sty 2009, 14:44




  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości