Jądro i system NT próbuje komunikacji z internetem.

Post14 kwie 2010, 15:11

Jądro i system NT próbuje komunikacji z internetem- taki komunikat wyświetla moja zapora. Czytałam gdzieś, że takie połączenie wywołuje rootkit. O tym pisali na stronie: Dostępne tylko dla zarejestrowanych użytkowników . Czy to znaczy, że mam tego wira? Raz jak zezwoliłam na to połączenie i były takie szczegóły połączenia: Dostępne tylko dla zarejestrowanych użytkowników Chyba dochodzi do tego połączenia, zapora nie może go zablokować. Tak zmieniłam ustawienia zapory, że powinna blokować to połączenie. Czy dobrze zrobiłam? Szybki skan mbam nic nie wykrył. Jednak zapora nie daje rady.

Na liście aktywnych połączeń internetowych jest kilka połączeń jądra i systemu NT.

Nie mogę użyć gmera, bo wiesza system.

Mbam niedawno nic nie wykryło. Wczoraj odwiedziłam różne fora internetowe, w tym jedno felerne i chciałam pousuwać cookies. Czy rzeczywiście mam wira w kompie?

Post14 kwie 2010, 15:26

Standardowo w systemie występują usługi, które łączą się z internetem, więc to że się coś łączy nie oznacza jeszcze że Masz wirusa.

Trzeba wykonać wszelkie logi według regulaminu => http://forum.hotfix.pl/bezpieczenstwo/nowy-regulamin-dzialu-bezpieczenstwo-t1887.html

Wypada też zobaczyć, jaka usługa, na jakim porcie nasłuch prowadzi, z jakim portem próbuje się komunikować itd.
Tego typu informacje można pozyskać bezpośrednio w firewallu, o ile oferuje podgląd. W Comodo jest to dość szczegółowo przedstawione, w innych nie pamiętam.

Można też użyć pod konsolą netstat z przełącznikiem -abn i wstępnie zobaczyć co w trawie piszczy.

Zaawansowaną diagnostykę można przeprowadzić przy pomocy Process Explorer z pakietu Sysinternals Suite (PPM na procesie => Properties => zakładka TCP).

Generalnie na początek wykonaj logi.

Post14 kwie 2010, 16:29

Logi:
DDS i Attach: Dostępne tylko dla zarejestrowanych użytkowników

OTL i extras: Dostępne tylko dla zarejestrowanych użytkowników

OTL jest niecały, bo jak było host, to były jakieś dziwne znaczki. W każdym razie całego logu nie dało się wkleić. :mrgreen:

Post14 kwie 2010, 18:11

OTL nie widzi Rootkitów, więc w takim razie pokaż log z ComboFixa.

Post14 kwie 2010, 21:18

Djarta, przeskanowałam kompa ComboFixem. Potem był restart i pojawiło się okno ComboFixa z napisem, że trzeba czekać. Czekałam jakiś czas. W końcu wyłączyłam ten program i nie powstał żaden pełnowartościowy log. W folderze Qoobox są jakieś dwa usunięte pliki i wpisy do rejestru. Próbowałam przywrócić system, bo internet padł, ale okazało się, że nie zaszły w systemie żadne zmiany. Tamte usunięte pliki na szczęście nie zostały przywrócone.

Djarta, jaki inny program wykrywa rootkity? Czemu nie powstał pełnowartościowy log? Długo czekałam aż ComboFix skończy pracę, ale się zawiesił.

Strona WWW · Post14 kwie 2010, 21:37

chyba program Gmer wykrywa rokity

Post14 kwie 2010, 22:01

Djkamil09061991, gmer mi wiesza system.

Strona WWW · Post14 kwie 2010, 22:33

a w trybie awaryjnym?

-- 14 kwi 2010, 22:33 --

a jak nie to chyba program Rsit pokazuje rokity

Post15 kwie 2010, 06:44

RSIT = gorsze zło niż OTL i DDS.
Użyj -> Dostępne tylko dla zarejestrowanych użytkowników, pokaż log.

Post15 kwie 2010, 14:48

Djarta, użyłam Catchme.exe i on nic nie wykrył. Oto log: Dostępne tylko dla zarejestrowanych użytkowników
Co do RSIT, to tamten program coś wykrył, jakieś wtyczki, których nie ma. :mrgreen:

Szkoda, że wcześniej nie zwróciłam uwagi na to, ile jest połączeń jądra i systemu NT z internetem. Zapora niedawno zaczęła przed tym ostrzegać, a może po prostu się zaktualizowała i dopiero teraz dostrzega te połączenia. :mrgreen:

Post15 kwie 2010, 15:22

Jest oki.
Pełny scan MBAM'em: http://www.hotfix.pl/articles.php?article_id=55

Post16 kwie 2010, 01:06

Djarta, przeskanowałam kompa: mbam, spybotem i antywirem i one nic nie wykryły. Potem przeskanowałam go: asquared free, SuperAntiSpyware i Iobit Security 360 i one coś wykryły.

Na koniec przeskanowałam kompa Spy Emergency i on popsuł mi przywracanie systemu.

Nie pomogło to, że przywróciłam to, co usunął. Zresztą, jak znam życie, nie usunął nic szkodliwego. :evil:

Post17 kwie 2010, 00:16

i one coś wykryły

Może to fałszywy alarm? Daj raporty z tych aplikacji jak możesz.

Post17 kwie 2010, 00:44

Stilio, szczerze mówiąc, jeśli chodzi o asquared free, to mam nadzieję, że wszczął fałszywy alarm, wykrywając wira w pewnym wygaszaczu.

Dostępne tylko dla zarejestrowanych użytkowników

Post17 kwie 2010, 09:23

Wszystko to = FALSE ALARM.