Komunikat ESET: Aplikacja próbuje połączyć się z komputerem zdalnym

[jakup]

Mam od jakiegoś czasu problem z pojawiającym się komunikatem antywirusa, jak na obrazku:

 

Komunikat z ESET Smart Security - "Aplikacja uruchomiona na tym komputerze próbuje połączyć się z komputerem zdalnym. Czy zezwolić na połączenie?" pojawia się co kilka minut, nie pomaga tworzenie reguł w zaporze i blokowanie go, nie potrafię go zlokalizować. Nie wiem skąd się wziął, kto i kiedy cokolwiek ściągał albo próbował instalować w komputerze, nie znalazłem jakichś dziwnych aplikacji ani śladów, których bym nie znał. Instalowałem jedynie trochę kodeków do zrzucania i konwersji video, ale problem wystąpił znacznie później, system pracował poprawnie.

Przedstawia się jako "System" i podaje adres zdalnego 217.74.65.145. Często wyświetla się zanim jeszcze załadują się do zasobnika systemowego ikonki, wtedy system najczęściej się zawiesza i muszę wylogować/zalogować się ponownie.

Taki sam wątek zacząłem na tym forum ale dotąd nie mam żadnej odpowiedzi więc zrobiłem nowe logi i piszę tutaj, bo sam nie daję rady.

Log z GMERa jest z trybu awaryjnego, bo pomimo odinstalowania DaemonTools i powyłączania czego się dało dostaję BSOD przy uruchamianiu.

Logi w załacznikach.

OTL.Txt

Extras.Txt

gmer-log-awar.txt

[Landuss]

W logach widać przede wszystkim tą infekcję:

 

SRV - [2002-03-22 02:07:00 | 000,114,688 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\wintab32.exe -- (Wintab32)

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\WINDOWS\system32\wintab32.exe
 
:Services
wintab32
 
:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2011-04-26 15:01:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2011-01-05 23:48:47 | 000,002,567 | ---- | M] () -- C:\Documents and Settings\Jakub\Dane aplikacji\Mozilla\Firefox\Profiles\hjiqmhy2.default\searchplugins\askcom.xml
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz zdajesz raport czy ten komunikat nadal się wyświetla.

 

 

 

[picasso]

Landuss

 

Obiekt wintab32.exe wygląda na usługę tabletu: KLIK. Do kompletu jest to:

 

DRV - [2002-03-22 02:07:00 | 000,024,064 | ---- | M] (LCS/Telegraphics) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w2acehid.sys -- (W2acehid)
DRV - [2002-03-22 02:07:00 | 000,012,800 | ---- | M] (LCS/Telegraphics) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wtcls2k.sys -- (Wtcls2k)
 
O4 - HKLM..\Run: [Acecad.Wtxpload] C:\WINDOWS\Acecad\Wtxpload.exe (LCS/Telegraphics)
 
[2009-06-04 12:43:16 | 000,001,661 | ---- | C] () -- C:\WINDOWS\WINTAB.INI
[2009-06-04 12:43:11 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\wintab32.exe
[2009-06-04 12:43:11 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\wintab32.dll

 

 

jakup

 

Jedyny ślad sugerujący, że tu być może rezydowała infekcja to ten dziwny plik:

 

[2011-04-02 18:22:13 | 000,005,115 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe

Brak tu także pliku HOSTS (ale to prędzej nieudolna robota Spybot Search & Destroy):

 

Hosts file not found

 

1. Zostało tu zatajone użycie ComboFix. Proszę przedstaw co narzędzie zrobiło w tamtym podejściu (pokaż tylko log wygenerowany wtedy, nie uruchamiaj ponownie narzędzia).

 

2. GMER wprawdzie nie pokazuje nic, ale na wszelki wypadek dodaj i log z Kaspersky TDSSKiller. Cokolwiek zostanie wykryte omiń przyznając akcję Skip, tylko wygeneruj log do oceny.

 

 

 

.

[jakup]

Landuss:

wykonałem skrypt, OTL się zawiesił więc powtórzyłem, stąd w raporcie jest już pozamiatane, załączam go oraz nowe logi z OTL. "Wintab" to faktycznie tablet, jest od bardzo dawna, ale chwilowo niepotrzebny więc niech będzie, że wyrzucam. Ask.com też poleciało, mam nadzieję, że na wieki.

Komunikat wyświetla się tak jak przedtem.

picasso:

Co mam zrobić z tym dziwnym plikiem - mtbjfghn.xbe?

W tym samym katalogu są też 4D82C4ABA6.sys, KGyGaAvL.sys, LauncherAccess.dt. Zastanawia mnie też instalator "TuneUp Utilities", nie mam pojęcia skąd się tam wziął a OTL pokazuje parę jakichś błędów związanych właśnie z TuneUp. Co to takiego?

Co z plikiem HOSTS?

1. Użycie ComboFix nie zostało zatajone tylko pominięte, bo nie udało się go uruchomić, dostałem BSOD i darowałem sobie. Fakt, mogłem wspomnieć przynajmniej o tym.

2. Przesyłam log z Kaspersky`ego do oceny.

OTL-poskrypcie.txt

OTL-log-poskrypcie.Txt

OTL-extras-poskrypcie.Txt

TDSSKiller.2.4.21.0_27.04.2011_10.11.48_log.txt

[picasso]

Póki co, ja tu nie widzę by infekcja miała coś do rzeczy....

 

 

Mam od jakiegoś czasu problem z pojawiającym się komunikatem antywirusa

 

Mam pytanie: czy to się nie ujawnia aby podczas używania określonego oprogramowania (Metin / TeamViewer / uTorrent ... )?

 

 

wykonałem skrypt, OTL się zawiesił więc powtórzyłem

 

Na przyszłość: nie ponawiaj skryptu, to skrypt jednorazowego użytku. Przy zawieszeniu należy przerwać i przedstawić nowe logi z OTL do oceny.

 

 

"Wintab" to faktycznie tablet, jest od bardzo dawna, ale chwilowo niepotrzebny więc niech będzie, że wyrzucam.

 

No cóż, software będzie prawdopodobnie wymagało reinstalacji. Przy usuwaniu skryptem poleciały dwa składniki: usługa z rejestru oraz plik. O ile plik można wyciągnąć z kwarantanny (siedzi w folderze C:\_OTL), to już odbudowa usługi tą metodą nie jest możliwa.... Ale ....wygląd tej usługi powinien być nagrany w jednym z punktów Przywracania systemu. Jeśli masz stosowny nie za daleki punkt Przywracania, cofnij system wstecz i zaprezentuj nowe logi z OTL, czy to się odbudowało. Jeśli nie lub proces cofania jest niemożliwy, spróbujemy wyłuskać to z kopii rejestru, o ile będzie taka...

 

 

Co z plikiem HOSTS?

 

Włącz pokazywanie rozszerzeń plików w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia dla znanych typów plików. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

 

Co mam zrobić z tym dziwnym plikiem - mtbjfghn.xbe?

 

Po prostu skasować. Zastrzegam jednak, że nie mam pewności co to jest. Plik wygląda jednak podejrzanie.

 

 

W tym samym katalogu są też 4D82C4ABA6.sys, KGyGaAvL.sys, LauncherAccess.dt. Zastanawia mnie też instalator "TuneUp Utilities", nie mam pojęcia skąd się tam wziął a OTL pokazuje parę jakichś błędów związanych właśnie z TuneUp. Co to takiego?

 

Te pliki są widoczne w logu i są ominięte przeze mnie celowo, gdyż są prawidłowe. Ukryte twory *.sys to system licencji kodeków DivX, nie pamiętam natomiast od czego jest LauncherAccess.dt, ale nie jest szkodliwy. Na temat TuneUp: nie ma cudów, musiał być tu zainstalowany ten program w systemie i potem odinstalowany (a pozostała po nim osobista gałąź programu w Dzienniku zdarzeń). Patrząc po datach w Dzienniku zdarzeń program był w systemie gdzieś około 2009. Jeśli chcesz usunąć z Dziennika zdarzeń te zapisy, wejdź do folderu C:\WINDOWS\system32\config i wyszukaj plik EVT mający nazwę sugerującą TuneUp i go skasuj.

 

 

.

[jakup]

Póki co, ja tu nie widzę by infekcja miała coś do rzeczy....

Jeśli nie Ty, to kto?

 

Mam pytanie: czy to się nie ujawnia aby podczas używania określonego oprogramowania (Metin / TeamViewer / uTorrent ... )?

 

Instalowałem Metina dawno temu, przed wszelkimi problemami na życzenie córci, ale na jej koncie (ograniczone) nie działa więc wyrzuciłem. To samo z TeamViewerem, może ewentualnie zostały jakieś śmieci po nim, może ciągle jest jakaś usługa?, uTorrenta używam sporadycznie, ale od dawna i nigdy nie było przy tym żadnych problemów. Hmmm, próbowałem ostatnio grać w sieciówkę LevelR, może to się zbuntowało? Spróbuję ją uruchomić później jeszcze raz. A przy okazji: jakiś czas temu konto córci, które jest zawsze kontem z ograniczeniami było otwarte i miała prawa administratora. Zapomniałem zamknąć i kiedy się opamiętałem, miałem już zainstalowany GoogleChrome, jakąś sieciówkę do przebierania laleczek i coś takiego jak PictureSkape (nie pamiętam nazwy). W każdym razie te rzeczy zauważyłem i odinstalowałem, ale może dziecko zaczęło i nie skończyło jakiejś instalacji i teraz jakiś śmieć próbuje ją na siłę dokończyć i coś dociągnąć albo wysłać?...

A ogólnie mówiąc komunikat mam niezależnie od tego, jakiego używam aktualnie oprogramowania. I tak jak pisałem - najczęściej pierwszy od razu po załadowaniu się systemu, jeszcze przed załadowaniem wszystkich usług.

 

Co do tabletu to nie ma znaczenia dla mnie w tym momencie. Jak będzie potrzebny, zainstaluję od nowa z płytki, OK? Dzięki jednak za poradę i za wskazówki co do pliku hosts.

 

Plik "mtbjfghn.xbe" skasowałem. Jak zrestartuję system, zobaczę, co z tego.

(Nic z tego.)

[jakup]

picasso, Landuss, ktokolwiek - macie jakieś pomysły na znalezienie przyczyny? i na rozwiązanie problemu? bo ja jestem bliski formatu, z tym, że na razie brak mi czasu na stawianie wszystkiego więc zacznę od odinstalowywania po kolei poszczególnych programów i czyszczenia po nich.

Podpowiedzcie mi, proszę - tak na przyszłość, jak się darmowo dobrze zabezpieczyć. Oczywiście będzie to "proteza", ale może wystarczy i dam radę dopilnować.

[picasso]

Natomiast ja się zastanawiam czy to jest w ogóle szkodliwe. Adres IP 217.74.65.145 rozwiązuje host na multimedia-redir.interia.pl: KLIK / KLIK. Po wklejeniu w przeglądarce tego IP zwracany jest błąd 404 z wyszukiwarką hxxp://znajdz.interia.pl/ z markerem "Multimedia Polska". Zaś "Multimedia Polska" to jest Twój operator sieci wnioskując po IP które widzę na forum oraz pobranych z routera DNS widocznych w logu:

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.172.224.160 80.244.140.241 89.228.6.43

 

Z danych które widzę 217.74.65.145 multimedia-redir.interia.pl to jest rodzaj przekierowania dostawcy w przypadku nastąpienia błędu z rozwiązywaniem hosta. Tu wynaleziony przeze mnie raport analizujący jeden z adresów Multimedia i jest tam taki tekst:

 

http://netalyzr.icsi.berkeley.edu/restore/id=43ca208a-8400-f0454b61-2c6c-43b1-ba08

 

DNS results wildcarding (?): Warning

 

Your ISP's DNS server returns IP addresses even for domain names which should not resolve. Instead of an error, the DNS server returns an address of 217.74.65.145, which resolves to multimedia-redir.interia.pl. You can inspect the resulting HTML content here.

 

There are several possible explanations for this behavior. The most likely cause is that the ISP is attempting to profit from customer's typos by presenting advertisements in response to bad requests, but it could also be due to an error or misconfiguration in the DNS server.

 

The big problem with this behavior is that it can potentially break any network application which relies on DNS properly returning an error when a name does not exist.

 

The following lists your DNS server's behavior in more detail.

 

* www.{random}.com is mapped to 217.74.65.145.

* www.{random}.org is mapped to 217.74.65.145.

* fubar.{random}.com is mapped to 217.74.65.145.

* www.yahoo.cmo [sic] is mapped to 217.74.65.145.

* nxdomain.{random}.netalyzr.icsi.berkeley.edu is mapped to 217.74.65.145.

 

Skoro tu się zgłasza przekierowanie związane z błędnym adresem, to się zastanawiam czy Twoja konfiguracja sieci jest prawidłowa.

 

.

[jakup]

Natomiast ja się zastanawiam czy to jest w ogóle szkodliwe. Adres IP 217.74.65.145 rozwiązuje host na multimedia-redir.interia.pl

 

OK, może nieszkodliwe, ale bardzo wkurzające - wywala mnie np. z pełnoekranowych aplikacji. W regułach zapory znalazłem wpis zezwalający na ruch dla RunAlyzera właśnie z tym adresem IP. Odinstalowałem go i wyczyściłem po nim, ale nie pomogło. W rejestrze był jeden raz ten adres IP i wpis odnosił się do url, z którym kiedyś łączył się Windows Media Player. Mogę zezwolić na to połączenie, zresztą parę razy mi się to zdarzyło zrobić niechcący, ale nawet wtedy nie widzę, co się dzieje, nie umiem namierzyć tego procesu i nie wiem, co on dalej robi.

 

Skoro tu się zgłasza przekierowanie związane z błędnym adresem, to się zastanawiam czy Twoja konfiguracja sieci jest prawidłowa.

 

Jeżeli masz rację - co z tym zrobić? Szczerze mówiąc nie znam się na konfigurowaniu sieci i nie wiem od czego w takiej sytuacji zacząć.

[picasso]

1. No to spróbuj zresetować ustawienia (choć szczerze mówiąc wątpię w rezultaty). Otwórz Notatnik i wklej w nim:

 

ipconfig /flushdns
netsh firewall reset
netsh winsock reset
netsh int ip reset c:\resetlog.txt
pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako RESET.BAT > Uruchom ten plik

 

Zresetuj system.

 

2. Upewnij się, że pokazane w logu adresy DNS to są adresy właściwe / aktualne. Ich konfiguracja do przeprowadzenia w interfejsie routera.

 

3. Wreszcie: kontakt z dostawcą, może on będzie miał na ten temat coś do powiedzenia.

 

 

.

[jakup]

Zadziałał RESET.BAT i dam loga: resetlog.txt

Ale bardzo proszę - czy ktoś może ten log dla mnie trochę przetłumaczyć?

 

2. Upewnij się, że pokazane w logu adresy DNS to są adresy właściwe / aktualne. Ich konfiguracja do przeprowadzenia w interfejsie routera.

A to już trzeba mi bardzo dokładnie wytłumaczyć. Jakiego routera? itd

 

3. Wreszcie: kontakt z dostawcą, może on będzie miał na ten temat coś do powiedzenia.

Pisałem, odpowiedź dostałem 7 maja: "Witamy, Dziękujemy za kontakt z naszą Firmą. W odpowiedzi na Państwa maila informujemy, że niestety nie jesteśmy w stanie pomóc, jako dostawca usług Internetu nie ingerujemy w oprogramowanie zainstalowane na komputerach abonentów. W razie dodatkowych pytań prosimy o ponowny kontakt - służymy pomocą." - trochę się nie dziwię, bo załączyłem screena tego samego co powyżej więc widać jak na dłoni, że to aplikacja z mojego komputera miałaby zepsuć komuś wieczór.

 

A na koniec (?) mały screen, który pojawia się teraz zamiast tamtego:

 

 

ale może z tym już sobie poradzę?...

Dziękuję picasso, jeszcze się na pewno odezwę.

[picasso]

Ale bardzo proszę - czy ktoś może ten log dla mnie trochę przetłumaczyć?

 

To jest typowy raport z przeprowadzonego tu resetu protokołu TCP/IP (KB299357).

 

 

W odpowiedzi na Państwa maila informujemy, że niestety nie jesteśmy w stanie pomóc, jako dostawca usług Internetu nie ingerujemy w oprogramowanie zainstalowane na komputerach abonentów.

 

W oprogramowanie nie ingeruje, ale podstawia klientowi przekierowanie przy błędach adresu. Widzę, że nie raczyli odnieść się do tego aspektu.

 

 

A na koniec (?) mały screen, który pojawia się teraz zamiast tamtego

 

Polecenie resetujące, które zadałam, ma skutki w m.in. "wypięciu" ESET z układu sieci i zdjęciu filtra ESET z kart sieciowych. Po prostu wywołaj proces naprawy instalacji ESET. Po tej akcji wypowiedz się czy rzeczywiście tytułowy komunikat ESET już nie występuje. Gdyż ja nie jestem wcale pewna, że problem się rozwiązał, mógł zostać tylko ukryty przez połowiczny nokaut niektórych ustawień ESET.

 

 

A to już trzeba mi bardzo dokładnie wytłumaczyć. Jakiego routera? itd

 

Chodzi o urządzenie przy udziale którego podpinasz się do sieci, czy masz takie dostępne i czy masz dostęp do interfejsu ustawień.

 

 

 

.

[jakup]

Nie, admin nie raczył się odnieść w żaden sposób.

Tytułowego komunikatu już nie dostaję (!!!) (tylko nie mów "zamykam wątek" proszę), dostaję tylko ten drugi - screen z #11.

Urządzenie, którym jestem podpięty to modem kablówki. Nie mam dostępu do interfejsu. Widziałem go przez chwilę w momencie instalowania sieci przez pracownika mm.

Muszę zrobić "porządek" z ESETem i z paroma innymi programami, prawda?

[picasso]

Tytułowego komunikatu już nie dostaję (!!!) (tylko nie mów "zamykam wątek" proszę), dostaję tylko ten drugi - screen z #11.

 

Ja to rozumiem, ale właśnie mówię, że wcale nie jest pewne czy problem rozwiązany i że masz przeprowadzić operację w celu usunięcia nowego ekranu błędu:

 

 

Po prostu wywołaj proces naprawy instalacji ESET. Po tej akcji wypowiedz się czy rzeczywiście tytułowy komunikat ESET już nie występuje. Gdyż ja nie jestem wcale pewna, że problem się rozwiązał, mógł zostać tylko ukryty przez połowiczny nokaut niektórych ustawień ESET.

 

Dopiero po przywróceniu działania ESET do formy pierwotnej można ocenić sytuację.

 

 

 

.

[jakup]

Po przeinstalowaniu od nowa ESETa (naprawa nie pomogła) komunikat tytułowy znowu się pojawił. A gdy zrobiłem RESET.BAT ponownie - wrócił komunikat z postu #11, ostrzeżenie o wyłączonej zaporze. I brak było w ogóle połączenia z internetem. W obecnej chwili ESET jest odinstalowany i nie mam w systemie żadnego antywirusa ani zapory. Żadnych komunikatów wprawdzie nie mam, ale muszę się szybko zabezpieczyć. Co byście polecili? Jaki antywirus (darmowy) i firewall?

--

Zainstalowałem Comodo Antivirus i: dzisiaj sporo robiłem przy filmach i procesor był bardzo zajęty. Ale po zakończeniu pracy nadal jedzie na najwyższych i nawet wyższych niż podczas pracy, obrotach. Nie jest w stanie odświeżyć ikon (explorer) b. długo, czasem w ogóle. Długo uruchamia programy, a niektórych w ogóle nie chce. 5 minut temu sprawdzałem - 99% było dla Comodo - "cdmagent.exe", dopiero przed chwilą komputer przycichł, przestały wyć wiatraki.

I chyba ostatnia rzecz - rozpocząłem skan tym Comodem i przerwałem po ok. 3/4 procesu. Znalazł parę rzeczy, m.in.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

i

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE

Nie pamiętam, co to jest to drugie, ale to pierwsze mam notorycznie i parę programów to ciągle wykrywa. Usuwałem na różne sposoby i wydawało mi się, że jak tego nie ma w żadnym autostarcie, to wystarczy. Ale w logu Comodo jest "Niepowodzenie" usunięcia tego "load".

I jeszcze jedna rzecz - podczas zamykania systemu mam "Kończenie pracy" (mam XP) i np. przy ostatnim restarcie czekałem na zamknięcie (kurcze, nie zdążyłem zapisać) cytuję: !!QTPluginMasterWindow!! i coś w rodzaju _acroS_ Żadnej z tych rzeczy nigdy w życiu nie widziałem. A okazało się, że to było uruchomione.

(w tej chwili - system i firefox - komputer szumi normalnie - firefox ok. 180% pamięci a comodo ok. 10%).

Jako, że rozważam Avast (nie ujmując mu niczego) albo format, bardzo proszę o pomoc.

 

•

Edytowane 9 Czerwca 2011 przez picasso
9.06.2011 - Temat zostaje zamknięty. Wygasła jego żywotność ustalona zasadami. //picasso