Zablokowany port 25

[Kapibara6]

Witam, zostałam odesłana na to forum z z forum idg.pl (rozmowa z forum: http://forum.idg.pl/problem-z-wysylaniem-poczty-prosba-o-sprawdzenia-loga-t201078.html/page__gopid__1588941#entry1588941).

 

Wydawało mi się, że mam jakiegoś wirusa, a co się okazało po stworzeniu loga z MBRCheck,że jest jakiś problem z MBR. Niestety nie potrafili mi pomóc.

 

W MBRCheck pojawia się, że są jakieś błędy, ale nie ma dalszych opcji naprawy tego.

Tutaj jest log z tego programu: http://wklej.org/id/397033/ ,

a log z OTL tutaj: http://wklej.org/id/397031/ .

 

Bardzo prosiłabym o pomoc.

Z góry bardzo dziękuję.

Pozdrawiam,

Kapibara

[picasso]

1. Log z OTL niepełny, brak Extras. To, że na innym forum poprosili o VBA32arkit, nie znaczy że masz tutaj opuścić instrukcje, a instrukcje przewidują podanie loga z GMER lub Root Repeal. Na czas wszelkiej diagnostyki całkowicie wyłącz Comodo Internet Security (wszystkie moduły). I proszę o zestawy logów z dwóch komputerów a nie jednego:

 

Mam w domu dwa komputery i nie wiem, z którego pochodzi ta aktywność na porcie 25. Możliwe jest, żeby występowało coś takiego na komputerze na którym nie ma skonfigurowanego klienta poczty?

 

2. Jeśli program ma problem z odczytem MBR, wtedy nie są możliwe żadne operacje w tymże programie i nie ma opcji naprawy. Problem z odczytem MBR nie świadczy też jeszcze o infekcji. Sprawdź co powie Kaspersky TDSSKiller, a jeśli cokolwiek będzie znalezione, przyznaj akcję Skip i tylko wygeneruj raport do wglądu.

 

 

 

.

[Kapibara6]

Oczywiście już podaję wszystkie informacje:

 

Komputer 1. z problemem MBR, o którym była już mowa:

 

Podczas działania programu GMER, wykonywania skanowania, komputer restartuje się. Nie wiem co mogę z tym zrobić.

Zatem umieszczam log z RootRepeal o nazwie RootRepeal report 10-05-10 (16-08-29).txt

 

OTL jest załączony pod nazwą: OTL1.txt oraz Extras1.txt

 

Kaspersky TDSSKiller nic nie wykrył.

 

Komputer 2.

 

Log OTL o nazwie OTL2.txt

Log OTL Extras o nazwie Extras2.txt

 

Log z GMER o nazwie GMER2.txt

 

Z góry dziękuję za pomoc.

Pozdrawiam,

Kapibara

OTL1.Txt

Extras1.Txt

RootRepeal report 10-05-10 (16-08-29).txt

Extras2.Txt

GMER2.txt

OTL2.Txt

[picasso]

Zainfekowanym komputerem jest właśnie ten drugi (nie, nie ma znaczenia brak konfiguracji ręcznej klienta poczty, infekcja potrafi sama nadawać na określonym porcie):

 

O20 - Winlogon\Notify\cbssreg: DllName - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll ()

 

Jest także wpięta w Firefox wtyczka adware LoudMo Contextual Ad Assistant oraz odpadki po pasku narzędziowym opartym o Ask. Wszystko to załączam na usuwanie.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O20 - Winlogon\Notify\cbssreg: DllName - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll ()
O20 - Winlogon\Notify\opaqcx: DllName - opaqcx.dll -  File not found
[2010-09-20 23:29:00 | 000,000,352 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job
[2010-02-01 21:00:15 | 000,000,000 | ---D | M] (LoudMo Contextual Ad Assistant) -- C:\Program Files\Mozilla Firefox\extensions\{f0e0a1c5-ad1e-db96-2205-366fb67e701b}
[2010-01-21 00:43:20 | 000,000,261 | ---- | M] () -- C:\Documents and Settings\J\Application Data\Mozilla\Firefox\Profiles\bsifd4l2.default\searchplugins\Search.xml
FF - prefs.js..extensions.enabledItems: {f0e0a1c5-ad1e-db96-2205-366fb67e701b}:4.6.6.3
FF - prefs.js..browser.search.defaultenginename: "Search"
FF - prefs.js..browser.search.defaulturl: "http://flvdirect.iamwired.net/websearch.php?src=tops&search="
FF - prefs.js..keyword.URL: "http://flvdirect.iamwired.net/websearch.php?src=tops&search="
IE - HKU\S-1-5-21-1390067357-1592454029-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://flvdirect.iamwired.net/"
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij proces przez Wykonaj skrypt. Nastąpi wymuszony restart i otrzymasz też log z usuwania.

 

2. Do oceny: log z usuwania OTL z punktu 1 i nowe logi z OTL opcją Skanuj. Na wszelki wypadek dorzuć z tego komputera także odczyty z MBRCheck i Kaspersky TDSSKiller.

 

 

 

 

.

[Kapibara6]

Załączam wszystkie logi. Kaspersky TDSSKiller niczego nie wykazał.

 

Pozdrawiam.

Kapibara

Extrasnowe.Txt

OTLnowe.Txt

OTL_poWykonaniuSkryptu.txt

MBRCheck_10.06.10_16.09.55.txt

[picasso]

Jest problem, OTL nie potrafi skasować pliku trojana, po restarcie nadal jest "failed":

 

File move failed. C:\Documents and Settings\All Users\Documents\Settings\cbss.dll scheduled to be moved on reboot.

 

Zmiana metody:

 

1. Uruchom Avenger i w pustym oknie wklej:

 

Files to delete:
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
 
Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg

 

Klik w Execute, zatwierdź restart systemu, po restarcie zaś otrzymasz log z usuwania.

 

2. Do oceny: log powstały z działania Avenger oraz nowe logi z OTL.

 

 

 

 

.

[Kapibara6]

Przesyłam nowe logi.

avenger.txt

OTL.Txt

Extras.Txt

[picasso]

Zadanie wykonane pomyślnie. To oznacza, że niepożądana aktywność sieciowa powinna ustać. Zostały do wykonania kroki finalizujące:

 

1. OTL miał problem także z przestawieniem strony startowej. To już ustawisz sobie otwierając Internet Explorer i konfigurując wybraną.

 

2. W OTL wywołaj funkcję Sprzątanie. To powinno usunąć kwarantanny i flaki używanych narzędzi.

 

3. Wykonaj pełny skan przez Malwarebytes' Anti-Malware i zgłoś się tu z wynikami.

 

 

.

[Kapibara6]

Przepraszam, że to tak długo trwało, ale nie mogłam wcześniej. OTL po sprzątaniu nie wygenerował żadnego Loga. Natomiast wynik Malwarebytes' Anti-Malware chyba nie jest zbyt ciekawy. Załączam wynik skanowania tego programu.

 

Pozdrawiam,

Kapibara

mbam-log-2010-10-09 (12-35-49).txt

[picasso]

OTL po sprzątaniu nie wygenerował żadnego Loga.

 

Na tym polega sprzątanie, to jest bezśladowa likwidacja wszystkich elementów OTL (kwarantanna / logi / sam program) oraz pewnych szczątków po innych narzędziach (m.in. używanego tu Avengera).

 

Natomiast wynik Malwarebytes' Anti-Malware chyba nie jest zbyt ciekawy.

 

Nie jest źle, nie ma tu nic czynnego / mogącego wpłynąć na przeprowadzony tu proces usuwania.

 

1. W przeważającej części wyniki to zwroty tyczący FLV Direct Player. Widziałam to już wcześniej w zainstalowanych programach:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FLV Direct Player" = FLV Direct Player

 

... tylko nie skojarzyłam, że to może być związane z adware. Po prostu program w całości odinstaluj posługując się Dodaj / Usuń. W wynikach była również punktowana zmiana strony startowej Internet Explorer, ale o tym przecież już mówiłam.

 

2. Wyniki Rootkit.Dropper nie do końca mnie przekonują, że są prawdziwą infekcją. To są zwroty z katalogu Thinstall, czyli tutaj wirtualizowanego MS Office 2003, a migawki programów tworzone w ten sposób mogą być wykrywane w skanerach (np.: KLIK).

 

3. Wynik z System Volume Information to kopia w folderze Przywracania systemu. Czyszczenie tego w sposób zbiorczy zarezerwowałam na koniec, już po przeprowadzeniu wszystkich działań. I jeszcze tu nie podałam tych instrukcji.

 

W podsumowaniu: odinstaluj ten "odtwarzacz" FLV, wykonaj ponowny skan w MBAM i usuń resztę. Zgłoś się tu po ukończeniu zadania, no i przedstaw czy wszystko wydaje się być w porządku.

 

 

 

.

[Kapibara6]

Wygląda na to, że wszystko zostało pomyślnie usunięte. Załączam loga z MBAM.

mbam-log-2010-10-12 (12-27-32).txt

[picasso]

1. Została aktualizacja oprogramowania:

 

• Do podbicia przeglądark Firefox i Java: INSTRUKCJE.
  
• Jest już nowsza wersja AVG Free Edition 2011.
  
• Gadu-Gadu 7.7 do wyrzucenia, nie obsługuje już własnej sieci w pełni i ma niski poziom zabezpieczeń. W temacie Darmowe komunikatory znajdziesz alternatywy z obługą nowego protokołu i bez reklam, np. WTW / Miranda czy Kadu. Patrz na tabelki zestawiające obsługę cech Gadu w komunikatorach.
  

2. Po ukończeniu tych operacji możesz zbiorczo zresetować stan folderów Przywracania systemu: INSTRUKCJE.

 

I na koniec proszę ustosunkuj się do pytania, czy już wszystko w porządku.

 

 

 

.

[Kapibara6]

Wykonałam wszystkie instrukcje, tylko, że zmieniłam antywirus na Comodo. Nie wiem który jest lepszy. Co sądzisz na ten temat?

 

Ciężko powiedzieć czy wszystko jest w porządku. Komputer działa. Na razie wysłałam maila do Vline, żeby odblokowali mi ten port 25 i czekam na odpowiedź. Po odblokowaniu go okaże się czy ich skanery nadal będą wykrywały ponadnormatywny ruch na tym porcie. Teraz nie potrafię odpowiedzieć. Napiszę jak już będę wiedziała.

 

Bardzo dziękuję Ci za pomoc.

Pozdrawiam, Kapibara

[picasso]

Wykonałam wszystkie instrukcje, tylko, że zmieniłam antywirus na Comodo. Nie wiem który jest lepszy. Co sądzisz na ten temat?

 

To goły antywirus czy COMODO Internet Security? Jeśli już COMODO, to raczej bym zainstalowała cały pakiet Internet Security, by uzyskać zaporę i HIPS. To dobry wybór.

 

Na razie wysłałam maila do Vline, żeby odblokowali mi ten port 25 i czekam na odpowiedź.

 

Temat zostawię otwarty do uzyskania klarownej odpowiedzi na temat ruchu sieciowego.

 

 

.

[Kapibara6]

Wczoraj o 14 odblokowali mi port. Do tej pory nie przyszło żadne powiadomienie o nadmiernym ruchu na tym porcie. Więc wydaje się, że komputer został wyleczony:)

 

Jeszcze raz dziękuję za pomoc.

Jestem bardzo wdzięczna.

 

Pozdrawiam,

Kapibara

Edytowane 13 Października 2010 przez picasso
Cieszę się, temat jako ukończony zamykam. //picasso