Zaśmiecony system i nieusuwalne świństwo.

14 sie 2011, 17:56

Znowu ja. Problem jest stary, ignorowałem go, bo znalazłem łopatologiczną metodę obejścia (restart firewalla, przy odłączanym internecie, rzecz jasna), ale po kolei. Dawno temu zaczął mi szwankować internet. Niektóre strony się wczytywały dopiero po skończeniu oczekiwanego przez Firefoksa czasu połączenia (czyli koło minuty), nie mogłem wysyłać postów na niektórych forach. Wszelakie najprostsze sposoby takie jak defragment, reinstalacja zabezpieczeń i przeglądarki, czyszczenie cache i cookeis nic nie dała. Co najciekawsze, według firewalla atakuje mnie własny router (ip 192.168.0.1) przeprowadzając na mnie ddosa, opis ataku brzmi ICMP PATH MTU denial of service. Jaki pisałem, da się obejść, więc olałem.

Po pewnym czasie matka nie zważając na lamenty podłaczyła pendrive'a mającego kontakt ze szkolnymi komputerami i zawaliła system tak, że byłem gotowy na format, ale obyło się , bo skorzystałem z Norman Malware Cleanera (darmowy AV na żądanie) i wróciło do stanu poprzedniego, ale nie do końca. Otóż po przeskanowaniu nim systemu znajdowało trojany i wyrzucało, co powodowało, że do restartu internet działał jak należy. Po czym trojan pojawiał się znów, mniej więcej w tym samym miejscu, czyli c:\system volume information\_restore...cośtam cośtam długa nazwa. Pewnego razu postanowiłem więc zrobić Normanem 2 skany pod rząd... co zaowocowało tym, że od tego czasu nigdy już się nie udało doprowadzić skanowania do końca. Olałem (znowu) Bo śmieć zdaje się nie przedostawać poza moją sieć lokalną, ani mailem, ani pendrive'ów nie infekuje. Ale że zamierzam rozszerzyć zakres działalności przy użyciu internetu, postanowiłem w końcu sprawę załatwić.

Jeszcze kwestia drugiego komputera. Na początku nic się nie działo, ale po jakimś czasie i on zaczął fiksować, a Norman widzi mniej-więcej w tym samym miejscu trujasia. Trzeci komp ma win7 i opłaconego Nortona i tam nie ma problemu.

Komp 1 to Phenom X3 8750 i Geforce9600 od Asusa, 4 GB Ram i płyta główna MA790-DS4, XP home SP3, zabezpieczony Avira classic i firewallem Sunbelt personal firewall.

Komp 2 to Athlon 1,4 Ghz, gf2, 256 MB ramu na płycie K7s5a, HPhome SP2 (inaczej by nie wyrabiał z obliczeniami), też avira (ale starsza, jak Service pack) i sunbelt.

Aha, Normana odpalałem na full scan ze wszystkim "zaznaczonym" poza rozszerzonymi logami.

I teraz co z tym zrobić? Rozważałem różne nieprawdopodobne warianty, łącznie z zainfekowanym routerem i innymi cudami. Wolałbym, żeby się odbyło bez formata i restartu sieci, bo to razem z zainstalowaniem wszystkiego od nowa za dużo czasu by zajęło.

Dorzucam zarchiwizowane logi Normana: http://www.speedyshare.com/files/298631 ... leaner.zip

I screena logów firewalla:

14 sie 2011, 18:03

Hej,
Wyłącz w Sunbelcie NIPS i sprawdź czy dzieje się o samo.
Możesz w sumie przeskanować komputery darmowym Hitmanem Pro, a nuż coś znajdzie.
I co to za wykrywany przez Normana trojan? Możesz ten plik wysłać na VirusTotal?

14 sie 2011, 18:08

Po czym trojan pojawiał się znów, mniej więcej w tym samym miejscu, czyli c:\system volume information\_restore...cośtam cośtam długa nazwa. ,

To folder przywracania systemu- wyłączy i włącz przywracanie na wszystkich dyskach
http://support.microsoft.com/kb/310405/pl

14 sie 2011, 20:48

Znaczy się tak. Jestem pewien, że "coś" siedzi, bo jak pisałem, po usunięciu działało jak trzeba do czasu restartu, a potem śmieć wracał na to samo miejsce, ale jedna kopia jest w kwarantannie, więc zobaczę. Pozostałe opcje zbadam i zdam raport.

14 sie 2011, 21:31

Do skanu Hitmanem warto od razu dorzucić skan Malwarebytes'em.
Ewentualnie Norton Power Eraser, ale z tym trzeba być już ostrożnym.

15 sie 2011, 11:49

zainstaluj po tym wszystkim lepszy antywirus bo Norman nie jest chyba zaliczany do czołówki

15 sie 2011, 17:31

Tak jak koledzy wyżej, ściąg najnowszego MBAM, uaktualnij, zrób pełny skan i pokaż loga (nie usuwaj jeszcze nic).

17 sie 2011, 16:25

Log MBAMa w załączniku. Hitman znalazł tylko śledzące ciacha i jeden zły certyfikat w oryginalnej grze. Co zabawne, podczas skanowania MBAMem avira zapała to:
http://www.virustotal.com/file-scan/rep ... 1313590190

Aha jeszcze to złapane przez Normana:
http://www.virustotal.com/file-scan/rep ... 1313499304

17 sie 2011, 17:23

Hej.
Można usunąć wykryte elementy. To tylko drobne zagrożenia.
Możesz przeskanować jeszcze raz i usunąć te elementy. Nie wiem czy nie wystarczyłoby szybkie skanowanie. Myślę że wystarczy opróżnić kosz i włączyć szybkie skanowanie.

Jak tam z Sunbeltem? To raczej fałszywy alarm IDS-a

Pozdrawiam,
Adam vel Eugeniusz

))

17 sie 2011, 17:34

Wyłączenie NIPSa było pierwszą rzecza, którą spróbowałem, gdy problem się pojawił, czyli dawno temu. Ale wyłączenie zabezpieczeń nie wydawało mi się, i nie wydaje nadal, niczym rozsądnym

Się usunęło, nie tzreba było skanować, bo zapisałem log, podesłałem i dopiero kazałem czyścić

Zobaczę jeszcze Nortona i dam na VirusTotal niby-zainfekowany plik z drugiego kompa.

17 sie 2011, 17:38

A przy wyłączonym NIPS-ie problem się pojawia?
P.S. Ten plik wykrywany przez Avirę to też fałszywy alarm, więc byłoby dobrze przesłać go do labu Aviry

18 sie 2011, 9:18

Wystarczyło zrobić skan C: (partycja systemowa)

System niezaktualizowany! IE6 zamiast IE8, który jest składnikiem systemu.

Powinieneś pobrać wszystkie krytyczne łatki z Windows Update.

18 sie 2011, 10:01

Zamiast bawić się daj logi: otl-wykonanie-logow-obowiazkowych-t3110.html

18 sie 2011, 14:09

19 sie 2011, 19:14

Norman tutaj zaliczył kilka FP. Odinstaluj go - Avire też, zainstaluj coś lepszego (np. darmowy avast! lub AVG).
Zaktualizuj Internet Explorera do wersji 8.
Zagrożeń w logu nie ma - tylko kosmetyka.
Odinstaluj wszystkie toolbary (Ask, Facemoods, Skype Toolbar i inne)
Uruchom OTL, wklej do niego w okienko (bez KOD):

Kod: Zaznacz cały: :Processes killallprocesses :OTL IE - HKU\S-1-5-21-842925246-1645522239-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddr O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName}) O4 - HKLM..\Run: [GEST] File not found O4 - HKLM..\Run: [nwiz] File not found O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) :Files C:\RECYCLER :Commands [EMPTYTEMP] [EMPTYFLASH] [CLEARALLRESTOREPOINTS]

Kliknij Wykonaj skrypt. Komputer uruchomi się ponownie. Po ponownym uruchomieniu daj log z usuwania, który wyskoczy w notatniku. Po tym daj nowy log OTL. Dodatkowo wykonaj logi z: TDSS Killer, GMER, RSIT i USB Fix - opcja Research.

19 sie 2011, 22:59

Jeśli wolno się upewnić, zanim kliknę: Skrypt ma usunąć resztki toolbarów i punkty przywracania systemu?

20 sie 2011, 8:25

między innymi

20 sie 2011, 17:09

Po kolei. Masz najpierw to odinstalować (toolbary).
Skrypt usunie tylko inne wpisy.
Jak już odinstalujesz wtedy się zajmiemy resztkami po paskach.

26 sie 2011, 19:00

System zaktualizowany, Toolbary odinstalowane, skrypt odpalony. Komp po zaaplikowaniu skryptu miał problemy z zamknięciem i musiałem pomóc resetem. Nie mogę znaleźć pliku-loga, ale wygląda na to, że "wszystko was found".

27 sie 2011, 9:17

No to podaj nowy zestaw logów. Z tego co widzę to w logach nie ma infekcji, ale żeby usunąć resztki musisz je wstawić.

Zaśmiecony system i nieusuwalne świństwo.

Kto jest online