radioactive15
-
Postów
20 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez radioactive15
-
-
-
Zrestartować to znaczy:
- zrobić resa przy Liveboxie czy zrestartować w panelu?
-
-
Logi w załączniku.
-
Witam,
od kilku dni zauważyłem wolne przesyłanie pakietów i nagłe zrywanie połączeń. Obserwowałem co jakiś czas ruch ale nic ciekawego nie zobaczyłem. Nie wiem w czym tkwi problem więc zgłaszam się do was.
Logi z OTL poniżej.
-
ok,dziękuje za pomoc
-
-
-
Witam
Otóż koleżanka mojej mamy dała mi laptop do sprawdzenia pod kątem wirusów jak to zwykle bywa w tych czasach.
Po zalogowaniu się od razu wyskoczył UKASH,tak więc pojechałem tryb awaryjny.
Pełny skan Dr.Web Cure It.
Rezultaty:
Wykryło kilka odmian ukasha,dwa backdory,oraz kilka exploitów na jave i pdf.
Wszystkie usunąłem,jak na razie nie widzę aby się ponownie pojawił,ale chce aby logi zostały sprawdzone przez specjalistę
Pozwoliłem sobie zrobić opcjonalny skan Security Check
.Logi zamieszczam poniżej
Results of screen317's Security Check version 0.99.54
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Norton Internet Security
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
Java 6 Update 30
Java version out of Date!
Adobe Flash Player 11.4.402.287
Adobe Reader 9 Adobe Reader out of Date!
Google Chrome 21.0.1180.83
Google Chrome 21.0.1180.89
Google Chrome 22.0.1229.79
Google Chrome 22.0.1229.92
Google Chrome 22.0.1229.94
````````Process Check: objlist.exe by Laurent````````
Norton ccSvcHst.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
-
ok,dziękuje za pomoc,temat można zamknąć
-
1. Zrobione.
2. Zrobione.
3. Zrobione.
4. Zrobione.
5. Zrobione.
6. Zrobione
-
Ok,poradziłem sobie jakoś,nagrałem Dr Web Live CD.
Zainfekowało mi około 600 plików wykonywalnych,po wyleczeniu explorer włączył się normalnie i chyba wszystko wróciło do normy.
Pojechałem jeszcze SalityKiller,przywrócił mi rejestr i menadżer zadań.Daje logi do sprawdzenia.
-
Witam ponownie.
Dzisiaj przy włączaniu laptopa siostry napotkałem komunikaty o zarażeniu systemu wirusem Sality.
Nie wiem jak to się stało,ale mniejsza z tym.
Gdyby nie fakt że po restarcie komputera wysiadł tryb awaryjny,to bym już sobie poradził.
Przy ładowaniu trybu awaryjnego występuje Blue Screen:
Po włączeniu drugi raz laptopa nastąpiła ukryta infekcja sterownika pod proces explorer.exe.
Kaspersky potraktował to jako zagrożenie i zamknął proces oraz zablokował,Menadżer zadań jak zwykle off przy Sality,Nie mam nawet jak zrobić skanu OTL oraz Gmer.
Z góry dziękuje za pomoc.
-
Ok,zrobione,dziękuje za pomoc,temat close
-
ok,po restarcie widzę że wszystko powróciło do normy,wykonałem polecenie sprawdzające które przyniosło rezultat "Dysk jest wolny od błędów".
Zabieram się więc za sprzątanie.
1. Wykonane.
2. Wykonane
3. Zrobione,nie jestem pewny co do odinstalowania tego ponieważ ten komponent należy do Need For Speed World,bez niego nie będzie chyba działać.
4. Zrobię na samym końcu.
Jak na razie jest wszystko dobrze,dziękuje ci serdecznie za pomoc
-
-
1. Wykonany.
2. Wykonany.
3. Wykonane,wykryło 6 zagrożeń,logi poniżej.
4. Chyba coś się poprawiło,nie widać żadnych ścin.
EDIT: po usunięciu zagrożeń i uruchomieniu ponownie wywaliło cały explorer.exe.Nie chce się włączyć,jest tylko tapeta,nic więcej.
Na dodatek przy ekranie logowania zawsze w prawym górnym rogu był napis "Protected by Kaspersky".
Teraz nic się nie wyświetla (piszę z innego kompa).
-
hmm tak miałem kilka razy infekcję Sality oraz z urządzeń przenośnych,ale zazwyczaj walczyłem z nimi sposobem-tryb awaryjny i dr web.
Nie wiem czy tak powinno być ale podczas wykonywania skryptu przy etapie "Trwa zamykanie systemu Windows..." komputer się zawiesił przez 10 minut i musiałem pojechać dolnym resetem.
Krok drugi wykonany.
Trzeci także.
IP sprawdziłem poprzez aktywność sieciową w Kaspersky.
Po wpisaniu adresu w google,wyskoczyło mi że pochodzi z firmy hostingowej.
124.217.231.213
-
Witam
Otóż od dwóch dni zauważyłem iż mój komputer po aktualizacji Java z 6 na 7 zaczął się zawieszać.
Dzisiaj postanowiłem zająć się diagnostyką.
I tak,od włączenia komputera zauważyłem połączenie procesu explorer.exe z ip należącego do Malezji. (firma hostingowa).
Domyśliłem się że może być to rootkit lub botnet należący do sieci zombie.
Zacząłem skanowanie od Dr.Web Cure it.Wykryło kilka moich programów (interesuje się bezpieczeństwem-amator),oraz Java.BitCoinMiner.1 czy coś w tym stylu,został usunięty.
Sprawdziłem czy nie mam infekcji ZeroAccess- czysty.
Później pojechałem Gmer'em i OTL.
Gmer nic nie wykrył,nie mam pojęcia co to może być.
Jak coś-proces "oxsb2g2h.exe" to Gmer
Poniżej zamieszczam logi.
Webroot AntiZeroAccess 0.8 Log File
Execution time: 19/06/2012 - 13:48
Host operation System: Windows Xp X86 version 5.1.2600 Dodatek Service Pack 3
13:48:05 - CheckSystem - Begin to check system...
13:48:05 - OpenRootDrive - Opening system root volume and physical drive....
13:48:05 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x0BD74000 sectors.
13:48:05 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".
13:48:05 - InstallAndStartDriver - Main driver was installed and now is running.
13:48:05 - CheckSystem - Disk class driver state is OK.
13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5
13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5
13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5
13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5
13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5
13:48:07 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020.
13:48:07 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
13:48:07 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
13:48:07 - Execution Ended!
Wolny Internet/Nagłe zrywanie połączeń
w Sieci
Opublikowano
Jakaś poprawa nastąpiła,lepiej teraz się internet przegląda i pingi są mniejsze. Dziękuje za pomoc i temat close