radioactive15

Jakaś poprawa nastąpiła,lepiej teraz się internet przegląda i pingi są mniejsze. Dziękuje za pomoc i temat close

Zrestartować to znaczy:

- zrobić resa przy Liveboxie czy zrestartować w panelu?

Logi w załączniku.

net-log.txt

Witam,

od kilku dni zauważyłem wolne przesyłanie pakietów i nagłe zrywanie połączeń. Obserwowałem co jakiś czas ruch ale nic ciekawego nie zobaczyłem. Nie wiem w czym tkwi problem więc zgłaszam się do was.

Logi z OTL poniżej.

OTL.Txt

Extras.Txt

ok,dziękuje za pomoc

1. Zrobione.

2. Zrobione.

3. Zrobione.

4. Zrobione.

5. Poniżej logi.

OTL.Txt

FSS.txt

1. Zrobione.

2. Zrobione.

3. Logi poniżej.

FSS.txt

OTL.Txt

Witam

Otóż koleżanka mojej mamy dała mi laptop do sprawdzenia pod kątem wirusów jak to zwykle bywa w tych czasach.

Po zalogowaniu się od razu wyskoczył UKASH,tak więc pojechałem tryb awaryjny.

Pełny skan Dr.Web Cure It.

Rezultaty:

Wykryło kilka odmian ukasha,dwa backdory,oraz kilka exploitów na jave i pdf.

Wszystkie usunąłem,jak na razie nie widzę aby się ponownie pojawił,ale chce aby logi zostały sprawdzone przez specjalistę

Pozwoliłem sobie zrobić opcjonalny skan Security Check

.Logi zamieszczam poniżej

Extras.Txt

OTL.Txt

ok,dziękuje za pomoc,temat można zamknąć

1. Zrobione.

2. Zrobione.

3. Zrobione.

4. Zrobione.

5. Zrobione.

6. Zrobione

AdwCleanerS1.txt

Extras.Txt

OTL.Txt

Ok,poradziłem sobie jakoś,nagrałem Dr Web Live CD.

Zainfekowało mi około 600 plików wykonywalnych,po wyleczeniu explorer włączył się normalnie i chyba wszystko wróciło do normy.

Pojechałem jeszcze SalityKiller,przywrócił mi rejestr i menadżer zadań.Daje logi do sprawdzenia.

Extras.Txt

Gmer.txt

OTL.Txt

Witam ponownie.

Dzisiaj przy włączaniu laptopa siostry napotkałem komunikaty o zarażeniu systemu wirusem Sality.

Nie wiem jak to się stało,ale mniejsza z tym.

Gdyby nie fakt że po restarcie komputera wysiadł tryb awaryjny,to bym już sobie poradził.

Przy ładowaniu trybu awaryjnego występuje Blue Screen:

Po włączeniu drugi raz laptopa nastąpiła ukryta infekcja sterownika pod proces explorer.exe.

Kaspersky potraktował to jako zagrożenie i zamknął proces oraz zablokował,Menadżer zadań jak zwykle off przy Sality,Nie mam nawet jak zrobić skanu OTL oraz Gmer.

Z góry dziękuje za pomoc.

Ok,zrobione,dziękuje za pomoc,temat close

ok,po restarcie widzę że wszystko powróciło do normy,wykonałem polecenie sprawdzające które przyniosło rezultat "Dysk jest wolny od błędów".

Zabieram się więc za sprzątanie.

1. Wykonane.

2. Wykonane

3. Zrobione,nie jestem pewny co do odinstalowania tego ponieważ ten komponent należy do Need For Speed World,bez niego nie będzie chyba działać.

4. Zrobię na samym końcu.

Jak na razie jest wszystko dobrze,dziękuje ci serdecznie za pomoc

Czytaj edit

1. Wykonany.

2. Wykonany.

3. Wykonane,wykryło 6 zagrożeń,logi poniżej.

4. Chyba coś się poprawiło,nie widać żadnych ścin.

EDIT: po usunięciu zagrożeń i uruchomieniu ponownie wywaliło cały explorer.exe.Nie chce się włączyć,jest tylko tapeta,nic więcej.

Na dodatek przy ekranie logowania zawsze w prawym górnym rogu był napis "Protected by Kaspersky".

Teraz nic się nie wyświetla (piszę z innego kompa).

06202012_154047.txt

mbam-log-2012-06-20 (15-42-38).txt

hmm tak miałem kilka razy infekcję Sality oraz z urządzeń przenośnych,ale zazwyczaj walczyłem z nimi sposobem-tryb awaryjny i dr web.

Nie wiem czy tak powinno być ale podczas wykonywania skryptu przy etapie "Trwa zamykanie systemu Windows..." komputer się zawiesił przez 10 minut i musiałem pojechać dolnym resetem.

Krok drugi wykonany.

Trzeci także.

IP sprawdziłem poprzez aktywność sieciową w Kaspersky.

Po wpisaniu adresu w google,wyskoczyło mi że pochodzi z firmy hostingowej.

124.217.231.213

AdwCleanerS1.txt

06202012_143340.txt

OTL.Txt

Witam

Otóż od dwóch dni zauważyłem iż mój komputer po aktualizacji Java z 6 na 7 zaczął się zawieszać.

Dzisiaj postanowiłem zająć się diagnostyką.

I tak,od włączenia komputera zauważyłem połączenie procesu explorer.exe z ip należącego do Malezji. (firma hostingowa).

Domyśliłem się że może być to rootkit lub botnet należący do sieci zombie.

Zacząłem skanowanie od Dr.Web Cure it.Wykryło kilka moich programów (interesuje się bezpieczeństwem-amator),oraz Java.BitCoinMiner.1 czy coś w tym stylu,został usunięty.

Sprawdziłem czy nie mam infekcji ZeroAccess- czysty.

Później pojechałem Gmer'em i OTL.

Gmer nic nie wykrył,nie mam pojęcia co to może być.

Jak coś-proces "oxsb2g2h.exe" to Gmer

Poniżej zamieszczam logi.

Webroot AntiZeroAccess 0.8 Log File

Execution time: 19/06/2012 - 13:48

Host operation System: Windows Xp X86 version 5.1.2600 Dodatek Service Pack 3

13:48:05 - CheckSystem - Begin to check system...

13:48:05 - OpenRootDrive - Opening system root volume and physical drive....

13:48:05 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x0BD74000 sectors.

13:48:05 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".

13:48:05 - InstallAndStartDriver - Main driver was installed and now is running.

13:48:05 - CheckSystem - Disk class driver state is OK.

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:06 - CheckFile - Unable to send FSCTL_GET_RETRIEVAL_POINTERS to file object. DeviceIoControl last error: 5

13:48:07 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020.

13:48:07 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

13:48:07 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

13:48:07 - Execution Ended!

OTL.Txt

Extras.Txt

Gmer.txt