LeonZawodowiec Opublikowano 14 Czerwca 2011 Zgłoś Udostępnij Opublikowano 14 Czerwca 2011 Witam, skierował mnie na wasze forum gajedan, z forum idg. :-) Jestem posiadaczem Windowsa 7 x64, z programem Anty-Virusowym o nazwie: "ESET Smart Security", w najnowszej wersji. A więc przechodząc do sedna sprawy: Przez ostatnie 6 dni z mojego łącza zostało ściągnięte ponad 300 GB, co jest w ogóle nie realne.. Firma u której mam internet wydała mi taki log: Przedstawione są tam 2 IP, choć użytkuje z 3 komputerów -.^ 10.29.168.95 10.29.168.93 Trochę główkowałem i w końcu doszedłem do tego, że mój router ma IP: 10.29.168.95 (to z którego przeszło tyle danych) Na moich komputerach gdy wpisuje ipconfig /all pokazuje mi się, że moje IP to: 192.168.1.100 Wszystkie moje komputery są podpięte do routera (2 bezprzewodowo, 1 przewodowo). I teraz się bierze pytanie skąd ten adres "10.29.168.93" ? Router ma filtrację MAC Adressów oraz szyfrowanie hasła typu "WPA2-Personal AES" a hasło składa się z losowych znaków w schemacie "xxxx-xxxx-xxxx". (Nie, nie mam Ruskich sąsiadów z Q4 w SLI) Dla mnie jedynym rozwiązaniem/wytłumaczeniem takiej ilości przesłanych danych wydaje się być jakiś wirus, już kiedyś miałem jakiegoś wirusa typu "IRC Botnet" (Na komputerze brata). Nawet dzisiaj ESET usuną mu 4 takie wirusy.., lecz mniejsza z nim (zrobię mu formata). I teraz gdy gajedan udzielał mi pomocy już drugi raz natkną się u mnie na tego wirusa: "sknc.dll" a obecnie "spdg.dll". Znajduje się on w folderze: C:\Windows\SysWow64\spdg.dll I teraz pytanie jak go usunąć gdy u mnie nie zadziała ComboFIX i ważniejsze pytanie jaki Tibijski syf tworzy mi to ? Jest jakaś metoda, która wykaże mi dokładnie co stworzyło ten plik ? Może widzicie u mnie jakieś inne infekcje w dołączonych logach ? Bardzo proszę o pomoc :-( A tak pomiędzy nami to bardzo ładnie macie stworzone te tematy z instrukcjami jak tworzyć logi Log Pomocniczy: Results of screen317's Security Check version 0.99.7 Windows 7 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: EasyCleaner Java 6 Update 24 Out of date Java installed! Adobe Flash Player 10.3.181.22 Adobe Reader 9.2 - Polish Out of date Adobe Reader installed! Mozilla Firefox (x86 pl..) Firefox Out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` W logu widać Firefoxa, a używam Google Chroma. Gajedan, pomagał mi w tym temacie: http://forum.idg.pl/problem-dotyczacy-bezpieczenstwa-sieci-i-komputera-t205306.html OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 I teraz gdy gajedan udzielał mi pomocy już drugi raz natkną się u mnie na tego wirusa: "sknc.dll" a obecnie "spdg.dll". Znajduje się on w folderze: C:\Windows\SysWow64\spdg.dll Definitywnie, ten plik podejrzewam o aktywność sieciową i niewyjaśnione transfery. Jest to biblioteka o zdolnościach typu "remote". W bazie Symantec skrócony opis: KLIK. I teraz pytanie jak go usunąć gdy u mnie nie zadziała ComboFIX ComboFix to tylko pomoc i nie jest konieczny do operacji. Wystarczy podmienić pliki WS2_32.DLL, a sposobów by to wykonać jest multum. Dodatkowo, tu jeszcze sprawa jest łagodniejsza, bo system jest 64-bitowy, a moduł malware 32-bitowy = czyli biblioteką poszkodowaną powinna być tylko 32-bitowa wersja C:\Windows\SysWow64\WS2_32.DLL a nie 64-bitowa C:\Windows\System32\WS2_32.DLL, i to ma mniej drastyczne skutki dla systemu, tylko emulacja 32-bit podlega działaniu. i ważniejsze pytanie jaki Tibijski syf tworzy mi to ? Jest jakaś metoda, która wykaże mi dokładnie co stworzyło ten plik ? Która paczka Tibia = nie mam pewności, ale to jest pochodna którejś "instalacji" związanej z Tibia. Oto co masz od Tibia w logu: [2011/04/03 23:54:11 | 000,005,632 | ---- | C] () -- C:\Windows\SysWow64\spdg.dll [2011/01/09 01:35:42 | 000,105,760 | ---- | C] () -- C:\Windows\os4.exe[2011/01/09 01:35:42 | 000,059,904 | ---- | C] () -- C:\Windows\zlib1.dll[2011/01/09 01:35:42 | 000,000,056 | ---- | C] () -- C:\Windows\memlist.dat[2011/01/09 01:35:42 | 000,000,018 | ---- | C] () -- C:\Windows\Last.dat[2011/01/09 01:35:42 | 000,000,009 | ---- | C] () -- C:\Windows\Language.dat[2011/01/09 01:35:42 | 000,000,004 | ---- | C] () -- C:\Windows\test.dat(do tej grupy należy usuwany w alternatywnym wątku podejrzany plik windate.exe = cały blok to pliki z Tibia MULTI-ip changer) [2011/05/05 00:26:33 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Tibia[2011/04/03 21:13:05 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TibiaAPI[2011/04/04 12:37:22 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Tibiacast[2011/05/24 19:21:05 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TS3Client + zainstalowane: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"ElfBot NG_is1" = ElfBot NG 4.5.9"TMIPC" = Tibia MULTI-ip changer Pytanie: czy przypadkiem w obroty nie szedł crack do bota? Na początek pokaż mi zestawienie potencjalnych kopii plików, by było wiadome czy jest skąd brać 32-bitową wersję biblioteki. Uruchom SystemLook x64 i do skanu wklej warunek: :filefind WS2_32.DLL Klik w Look i podaj raport końcowy. . Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 [2011/01/09 01:35:42 | 000,105,760 | ---- | C] () -- C:\Windows\os4.exe [2011/01/09 01:35:42 | 000,059,904 | ---- | C] () -- C:\Windows\zlib1.dll [2011/01/09 01:35:42 | 000,000,056 | ---- | C] () -- C:\Windows\memlist.dat [2011/01/09 01:35:42 | 000,000,018 | ---- | C] () -- C:\Windows\Last.dat [2011/01/09 01:35:42 | 000,000,009 | ---- | C] () -- C:\Windows\Language.dat [2011/01/09 01:35:42 | 000,000,004 | ---- | C] () -- C:\Windows\test.dat Żadnego z w/w plików nie kojarzę, co to jest to "os4.exe" ? TS3Client = Team Speak 3 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "ElfBot NG_is1" = ElfBot NG 4.5.9 "TMIPC" = Tibia MULTI-ip changer Owszem, zcrackowany, ale moim zdaniem to wina IP Changera, ściągnąłem jakiegoś przestrzelonego z 1 linku w googlach... Tak czy owak już ich nie tknę. Teraz proszę o pomoc w wyczyszczeniu syfu jakiego narobiłem. :-( Załączam skan "System Look". #Edit Nie doczytałem (do tej grupy należy usuwany plik windate.exe = cały blok to pliki z Tibia MULTI-ip changer) Z gajedanem usunęliśmy ten "windate.exe" zanim tu przybyłem. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Owszem, zcrackowany, ale moim zdaniem to wina IP Changera, ściągnąłem jakiegoś przestrzelonego z 1 linku w googlach... Nie do końca jestem pewna. Nie mam niestety żywego testowego materiału, by to sprawdzić. Jeśli ciągle masz instalatory tego bota + cracka oraz changera, wszystko zapakuj do ZIP, wyślij mi na PW, a ja to puszczę przez wirtualną maszynę. Żadnego z w/w plików nie kojarzę, co to jest to "os4.exe" ? Już powyżej dopisałam. Ten cały blok + usuwany windate.exe to jest właśnie Tibia MULTI-ip changer. Wiele razy usuwaliśmy to na forum, ten plik windate.exe zwykle występuje podwójnie, w katalogu Windows oraz dodaje się do Autostartu. Całość wygląda nienormalnie. Z gajedanem usunęliśmy ten "windate.exe" zanim tu przybyłem. Tego właśnie dotyczył mój komentarz, tego co usuwaliście. Na temat SystemLook, porównanie sum kontrolnych i dat 32-bitowej wersji biblioteki: Wyniki z mojego systemu: ========== filefind ========== C:\Windows\SysWOW64\ws2_32.dll --a---- 206848 bytes [02:39 29/05/2011] [12:21 20/11/2010] 7FF15A4F092CD4A96055BA69F903E3E9 C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7600.16385_none_f28e06e62fa99b35\ws2_32.dll --a---- 206336 bytes [23:12 13/07/2009] [01:16 14/07/2009] DAAE8A9B8C0ACC7F858454132553C30D C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll --a---- 206848 bytes [02:39 29/05/2011] [12:21 20/11/2010] 7FF15A4F092CD4A96055BA69F903E3E9 -= EOF =- Wyniki z Twojego: ========== filefind ========== C:\Windows\SysWOW64\ws2_32.dll --a---- 207360 bytes [15:01 28/02/2011] [21:54 03/04/2011] F544258294C703D4530010887842C154 C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7600.16385_none_f28e06e62fa99b35\ws2_32.dll --a---- 206336 bytes [23:12 13/07/2009] [01:16 14/07/2009] DAAE8A9B8C0ACC7F858454132553C30D C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll --a---- 206848 bytes [15:01 28/02/2011] [12:21 20/11/2010] 7FF15A4F092CD4A96055BA69F903E3E9 -= EOF =- W podsumowaniu: istnieje w Twoim systemie kopia tej biblioteki wykazująca cechy prawidłowe i ona zostanie użyta do zamiany. 1. Uruchom BlitzBlank, wejdź do karty Script i wklej w pustym polu: CopyFile: C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll C:\Windows\SysWOW64\ws2_32.dll Klik w Execute Now. Zatwierdź restart komputera. 2. Po restarcie komputera wyprodukuj następujące logi: z SystemLook na ten sam warunek co poprzednio + nowy log z OTL (nie potrzebuję Extras). Dorzuć raport wygenerowany przez BlitzBlank, czyli C:\blitzblank.log. Jeśli podmiana biblioteki pójdzie sprawnie, będzie można wyrzucić z systemu plik szkodnika spdg.dll. . Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Zaraz wykonam twoje polecenia, lecz teraz popatrz na daty modyfikacji mojego pliku ws2_32.dll .. Równa się ona "Tibiacast", który muszę przyznać, że też nie działał.. chyba też przestrzelonego go ściągnąłem tylko nie za bardzo pamiętam skąd - o dziwo nadal go updatują na oficjalnej stronie ! Prawdopodobnie pochodzi on właśnie z stamtąd () [usuń link, jeżeli nie powinien tu być]. Dorzucam jeszcze spakowanego bota, wydaje mi się, że do infekcji jak już to może dochodzić przy crackowaniu. Crack był osobno do ściągnięcia.. naprawde jest tego "multum" na internecie ;/ (http://www.google.com/webhp?hl=pl#sclient=psy&hl=pl&site=webhp&source=hp&q=ElfBot+NG+crack&aq=f&aqi=g4&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=9fa348cdc5a12dfd&biw=1600&bih=785) Stronka IP Changera: Mój IP Changer: Warto by porównać sumy kontrolne No i Bot o którym wcześniej wspomniałem: Powodzenia w testach a ja się zabieram do tworzenia logów =) Dzięki. [Dam tu edita]. Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Oj chyba nie będzie tych logów.. Szczerze mówiąc to się w[Filtr wulgaryzmów]iłem widząc error podczas bootowania. A więc tak: Wkleiłem to do tego programu, dałem Execute Script i podczas bootowania Windowsa, jakiś error na czarnym tle o coś tam "register ws2_32.dll" potem niebieściutki ekran, który mnie "zdenerwował" jeszcze bardziej. A na nim taki napis: STOP: c000021a {Fatal System Error} The Verification of a KnownDLL failed. System process terminated unexpectedly with a status of 0xc0000020 (0x007dbe30 0x00000000). The System has been shut down. No to mam nadzieję, że masz jakiegoś AS'a w rękawie.. bo nie śni mi się korzystać z Linuksa zainstalowanego obok :-) Zrobiłem jeszcze zdjątko aparatem, lecz to linux i tu nic nie działa.. Mam dostęp poprzez Linuxa do folderu systemowego co znacznie ułatwi mi podmianę gdyż te pliki nie są aktualnie używane :-) Proszę o instrukcje. Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Czy to znaczy, że system w ogóle nie startuje i ponowny restart zwraca BSOD? Jeśli tak, czy jest możliwe wejście w Tryb awaryjny? A jeśli nie, to do wykorzystania będzie 64-bitowa wersja płyty WinRE i do wypróbowania po kolei: opcja automatycznej naprawy startu, a jeśli ta nie podoła to z linii komend przekopiowanie plików. PS. Żadnych linków nie wolno na forum podawać, jeżeli chodzi o materiały nieznanej konduity. Dlatego prosiłam o PW. Linki sobie przekleiłam, możesz post zedytować. A cracków to jest wiele, nie każdy działa tak samo. Chodzi mi o szczególny, ten którego używałeś. Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Tak każdy ponowny restart komputera zwraca to samo. Nie mam możliwości wybrania trybu awaryjnego czy też wiersza poleceń. Mam za to Linuxa z przepiękną czerwoną konsolką (BackTrack 5). Podasz komendę ? ;> Linki usunięte Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Tak każdy ponowny restart komputera zwraca to samo. Nie mam możliwości wybrania trybu awaryjnego czy też wiersza poleceń. Mam za to Linuxa z przepiękną czerwoną konsolką (BackTrack 5). Podasz komendę ? ;> Mówię: zastosuj płytę WinRE, gdyż to jest technologia pasująca do naprawy 64-bitowego Windows. Chodzi mi w pierwszej kolejności o moduł autonaprawy startu, czy system zdoła sięgnąć do własnych repozytoriów i przywrócić poprawne wersje. Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Albo mi się zdaje albo Oryginalna płytka Windowsa ma takie same opcje, jeżeli się mylę to sorry i popraw mnie przy okazji dając mega instrukcję jak to wypalić na linuxie ponieważ na tym systemie jestem kompletnie zielony Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Albo mi się zdaje albo Oryginalna płytka Windowsa ma takie same opcje Tak, pełna orginalna płyta ma ten moduł. Pytanie sugeruje, że masz płytę instalacyjną = to z niej wejdź do WinRE. Warunek: płyta instalacyjna musi być 64-bitowa. jak to wypalić na linuxie ponieważ na tym systemie jestem kompletnie zielony Które distro? . Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Dobra, podziałało. Teraz logi: SystemLook i zaraz dołączę OTL'a i nieudany z BlitzBlank: BlitzBlank 1.0.0.32 File/Registry Modification Engine native application CopyFileOnReboot: sourceFile = "\??\c:\windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll", destinationFile = "\??\c:\windows\syswow64\ws2_32.dll"GetDataFromFile: ZwOpenFile failed: status = c0000022 SystemLook.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 W porządku. MD5 się uzgodniły do spodziewanego układu: ========== filefind ========== C:\Windows\SysWOW64\ws2_32.dll --a---- 206848 bytes [15:01 28/02/2011] [12:21 20/11/2010] 7FF15A4F092CD4A96055BA69F903E3E9 C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll --a---- 206848 bytes [15:01 28/02/2011] [12:21 20/11/2010] 7FF15A4F092CD4A96055BA69F903E3E9 1. Wykończ Tibia-resztki z dysku. Odmontuj te podejrzane dodatki. Przez SHIFT+DEL skasuj z dysku: [2011/04/03 23:54:11 | 000,005,632 | ---- | C] () -- C:\Windows\SysWow64\spdg.dll[2011/01/09 01:35:42 | 000,105,760 | ---- | C] () -- C:\Windows\os4.exe[2011/01/09 01:35:42 | 000,059,904 | ---- | C] () -- C:\Windows\zlib1.dll[2011/01/09 01:35:42 | 000,000,056 | ---- | C] () -- C:\Windows\memlist.dat[2011/01/09 01:35:42 | 000,000,018 | ---- | C] () -- C:\Windows\Last.dat[2011/01/09 01:35:42 | 000,000,009 | ---- | C] () -- C:\Windows\Language.dat[2011/01/09 01:35:42 | 000,000,004 | ---- | C] () -- C:\Windows\test.dat 2. Wprawdzie zaznaczasz, że korzystasz z Google Chrome, ale w Firefox jest rozszerzenie adware Virtus Search Opt-In (weszło z instalacją Aero Fox). Uruchom menedżer rozszerzeń Firefox i odinstaluj to. 3. Następnie wykonaj pełny skan przez Kaspersky Virus Removal Tool i podaj raport końcowy. A testy paczek od Ciebie to nie teraz. Jestem już wykończona i to przekładam na jutro. Doczekałam tylko do ustalenia sprawy, by Cię nie zostawić na lodzie i w razie poważniejszej awarii podsunąć jakąś operację (na szczęście już niekonieczne), ostatkiem sił załatwiam tu dwa tematy i idę spać. . Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 [2011/04/03 23:54:11 | 000,005,632 | ---- | C] () -- C:\Windows\SysWow64\spdg.dll [2011/01/09 01:35:42 | 000,105,760 | ---- | C] () -- C:\Windows\os4.exe [2011/01/09 01:35:42 | 000,059,904 | ---- | C] () -- C:\Windows\zlib1.dll [2011/01/09 01:35:42 | 000,000,056 | ---- | C] () -- C:\Windows\memlist.dat [2011/01/09 01:35:42 | 000,000,018 | ---- | C] () -- C:\Windows\Last.dat [2011/01/09 01:35:42 | 000,000,009 | ---- | C] () -- C:\Windows\Language.dat [2011/01/09 01:35:42 | 000,000,004 | ---- | C] () -- C:\Windows\test.dat Usunięte. Jutro (tzn. dzisiaj) dam log'a z OTL po restarcie komputera. Log z Kasperskiego w trakcie tworzenia :-) (Trochę to potrwa) Co do Firefox'a to usunąłem to z Menadżera Dodatków, lecz nadaj widnieje mi wpis o FF w SecurityCheck. To czekam na analizę tych plików Może uda się znaleźć przyczynę. Dzięki za poświęconą noc. #Edit Jeszcze to: ^^ I teraz się bierze pytanie skąd ten adres "10.29.168.93" ? Odnośnik do komentarza
ichito Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 I teraz się bierze pytanie skąd ten adres "10.29.168.93" ? Tu 2 namiary na IP lakoniczne http://www.ipchecking.com/?ip=10.29.168.93&check=Lookup dokładne http://whois.domaintools.com/10.29.168.93 Masz coś wspólnego z firmą IANA z Marina del Rey w USA? Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Masz coś wspólnego z firmą IANA z Marina del Rey w USA? Nie Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Ale to nie jest "firma" w dosłownym rozumieniu. Wklepcie sobie inne "routerowe" adresy i też będzie IANA. Does it look like we're attacking you? There are, however, special sets of numbers that are designed not to be assigned to any particular person. Instead, they are general allocations that are either used in special ways, or designed for people to use internally within local networks. These numbers are primarily in the following ranges: These numbers are primarily in the following ranges: * Begins with 10. (i.e. 10.0.0.0 through to 10.255.255.255) * Begins with 127. * Begins with 169.254. * Begins with 172.16. through 172.31. * Begins with 192.168. * Shows up in your logs with a name like blackhole-1.iana.org There are additional ranges of numbers that are also marked as "IANA Reserved" and similarly are not operated by IANA, although these are the most common ones we receive abuse reports concerning. If you are seeing unexplained Internet traffic to your computer from these numbers, it is important to remember the following things: * The traffic does not come from IANA. As the authority for IP addresses, we have simply reserved these numbers in our databases, but we do not use or operate them, and we are not the source of the traffic. * As use of these numbers is untracked and unrestricted, we can not tell you who is using these numbers. * It is perfectly normal to see traffic from these numbers if you have a small home or office network. By default, most routers and access points use these numbers to assign to your local computers. It is most likely these numbers represent computers on your own internal network. * If you see these numbers in the headers of an unsolicited email, they usually indicate transit between servers within a corporate network or ISP. They are not useful in identifying the origin of an email. In such cases you can usually find the true origin by looking for the earliest "Received" mail header that is not an IANA Reserved address. Ja tu nie widzę nic szczególnego w tym IP, które Ci się pokazuje. Wg mnie to są IP Twoich komputerów. Przedstawione są tam 2 IP, choć użytkuje z 3 komputerów Temat na IDG przedstawia, że dwa komputery były zainfekowane, oba powinny wykazywać w czasie zainfekowania tajemniczą aktywność sieciową. . Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Chyba już wiem: 10.29.168.95 - Jest to IP mojego Routera, jak wcześniej wspomniałem. Wszystkie moje komputery są do niego podpięte przez co mają ten adres IP na logu 10.29.168.94 - Switch, który jest podłączony do routera 10.29.168.93 - Czarna puszeczka (nie znam jej dokładnej fachowej nazwy ), jest ona podłączona do switcha.. Odpowiada za telefon. Myślę, że te małe ilości MB to właśnie przychodzące/wychodzące rozmowy lecz pewności nie mam. Kaspersky skanuje już to 8 godzin.. i dopiero 34%. Mój sprzęt to http://www.samsung.com/pl/consumer/pc-peripherals-prtinters/ultra-mobile-pc/rf-series/NP-RF710-S02PL/index.idx?pagetype=prd_detail&tab=specification Teraz daje logi z ostatniego komputera. :-) Jest on na platformie 32 bitowej ! #Edit Bramka VOIP, nawet znalazłem jej obrazek: (http://www.wisp.pl/index.php?p2154,grandstream-ht486-bramka-voip-router-1-linia) Log z Security Check: Results of screen317's Security Check version 0.99.13 Windows 7 Service Pack 1 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: ESET NOD32 Antivirus WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Adobe Flash Player 10.3.181.22 Adobe Reader 9.4.4 - Polish Out of date Adobe Reader installed! Mozilla Firefox (x86 pl..) ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` OTL.Txt Extras.Txt grem.txt Odnośnik do komentarza
LeonZawodowiec Opublikowano 15 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Niestety to się już skanuje prawie 10h, a ja muszę wyjechać do wieczora Dotychczas Kasperki wykrył tam parę "ala Tojanów", które są nieszkodliwe (jestem przekonany) i "rootkita" też niegroźnego w skrypcie do odblokowania "Multi-Touch" w telefonie Xperia X10.. Wiadomo, skrypt edytuje kod systemu w telefonie, więc wykrywa go jako rootkit'a. Były jeszcze 2 "Game.Trojany" w grach w które już nie gram. Usunąłem je przez Revo Uninstaller, wraz z kluczami w rejestrze. Polecam program, korzystam już trochę z niego. (Ostatnia wersja bez prefixu "Pro" - czyli darmowa). Zawsze znajdywał wszystkie śmiecie. Teraz co do drugiego komputera. Mam jeszcze z jakieś 20 minut, więc jeżeli zdążysz to wykonam jakieś "fixy" a jak nie to wieczorkiem. Dzięki. #Edit Jeszcze możesz mi wyjaśnić co to jest: Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2011 Zgłoś Udostępnij Opublikowano 15 Czerwca 2011 Lewych paczek jeszcze nie ruszyłam (i nie mam od Ciebie dokładnie identycznego cracka). Nie miałam czasu zamontować nowej wirtualnej maszyny do tego celu. Jak coś osiągnę, dam tu znać w temacie. Tematu nie zamykam, mimo że problemy właściwe prawie rozwiązane. Sprawę IP sobie wyjaśniłeś i OK. IP tu w ogóle nie było przeze mnie brane pod uwagę jako ważne (od pierwszego posta założyłam, że to IP "po LANie" i nie ma tu absolutnie co analizować co to za IP), natomiast przewalanie GB przez łącza w cichociemny sposób = moim zdaniem działanie infekcji (równolegle z kilku kompów). Infekcja na tym 64-bitowym wygląda na usuniętą. Raport z Kasperskiego jednak chciałabym ujrzeć w oryginale. Na koniec obowiązkiem jest tu: 1. Drobne aktualizacje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 24"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish"Gadu-Gadu 10" = Gadu-Gadu 10 - Do wymiany 32-bitowa wersja Java, Adobe Reader oraz aktualizacji Flash w wersji dla Firefox (Google Chrome jeździ na własnym wbudowanym): INSTRUKCJE. - Szczerze też polecam zamianę potwora GG10 na program znacznie lepiej zgrany z Twoją edycją systemu, bo mający natywną wersję 64-bit, a przy okazji lekki, bez reklam i z przyzwoitą obsługą protokołu Gadu 10. Te walory prezentuje niejaki WTW opisany w temacie Darmowe komunikatory. Program w najnowszej wersji potrafi zaimportować archiwum GG10. 2. Wykonanie czyszczenia folderów Przywracania systemu (które zapewne ma nagraną złą wersję ws2_32.dll): INSTRUKCJE. Jeszcze możesz mi wyjaśnić co to jest Pytasz o naturę błędu czy obiekty tu wyliczone? Obiekty są pochodną .NET Framework 4.0. Błąd przetwarzania jest dla mnie niewiadomy, może Kaspersky nie miał dostępu (?) do plików. W każdym razie ten zestaw zdarzeń nie jest moim zdaniem niczym czym miałbyś zawracać sobie głowę. Co do Firefox'a to usunąłem to z Menadżera Dodatków, lecz nadaj widnieje mi wpis o FF w SecurityCheck. Usunięcie tego dodatku nie mogło wpłynąć na odczyt w SecurityCheck, gdyż ten czepia się wersji browsera. Możliwe, że są to głupoty w detekcji na systemie 64-bitowym, bo widzę na liście zainstalowanych: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) Raport SecurityCheck dzielę czasem przez dwa, bo nie zawsze narzędzie jest dostatecznie precyzyjne. Precyzją muszę wykazać się ja. Tu: wykrywa IE8 a w OTL jest IE9, mąci o Firefoxie, nie zauważa starszego Adobe Reader i nie jest uzgodnione pod kątem najnowszej aktualizacji Flash. Polecam program, korzystam już trochę z niego. (Ostatnia wersja bez prefixu "Pro" - czyli darmowa). Zawsze znajdywał wszystkie śmiecie. Znaju. Ale uwagi mam. System 64-bitowy, to i Revo w darmowej wersji jest sprawny tylko w połowie, widzi tylko i wyłącznie 32-bitowe instalatory. Wątek obsługi partii natywnie 64-bitowej był omawiany w tym temacie forum: KLIK. Nie stosuj także Revo do deinstalacji następującego typu oprogramowania: "wtyczkowce" przeglądarek takie jak Flash lub oprogramowanie zabezpieczające. Od tego są firmowe deinstalatory producentów, przeprowadzające roboty w znacznie lepszy sposób. Teraz daje logi z ostatniego komputera. :-) Jest on na platformie 32 bitowej ! Bity to ja czytam z zamkniętymi oczami z raportów. Tu z kolei mamy zmorę ostatnich czasów, czyli infekcję Qooqlle (nabyta via podfałszowane "kodeki"), którą sobie na pół gwizdka wyłączyłeś w msconfig (ale wszystkie obiekty infekcji są na dysku + przejęte preferencje Firefox i Internet Explorer). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3916604919-2912353607-3506189148-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.google.pl/" [2011/05/18 23:46:33 | 000,001,860 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\ttkoryos.default\searchplugins\search.xml [2011/05/31 12:52:04 | 000,000,004 | ---- | C] () -- C:\windows\sbsystem.dat [2011/06/06 19:09:37 | 000,000,194 | ---- | C] () -- C:\windows\${FILENAME_INI} MsConfig - StartUpReg: Readar_sl - hkey= - key= - C:\Users\admin\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) MsConfig - StartUpReg: TunesHelper - hkey= - key= - C:\ProgramData\TunesHelper.exe () MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: SynTPEnh - hkey= - key= - File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3916604919-2912353607-3506189148-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-3916604919-2912353607-3506189148-1001..\Run: [AdobeBridge] File not found :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 2. Przedstawiasz: wyniki czyszczenia + nowy zestaw logów. . Odnośnik do komentarza
LeonZawodowiec Opublikowano 17 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Dobrze więc, wykonałem ten skrypt na moim 32 bitowym systemie (laptopie). Wszystko ładnie, dzięki. Lecz transfer nadal był zżerany (odczekałem 1-2 dni) mimo po czystkach etnicznych na komputerach. Postanowiłem więc sformatować mojego laptopa (ten podłączony bezprzewodowo (64 bity)) i problem już nie występuje. Tak więc coś musiało zostać pominięte :-). Dziękuję za poświęcony czas. Teraz mam jeszcze pytanka: Jak tam te paczki, przetestowane czy brak czasu ? ^^ I jeszcze jak najlepiej oczyścić PenDriv'a z jakichś ukrytych świństw ? I np. dlaczego jak wgrywam coś na niego to przy ostatnich "5 sekundach (czyt. 99%)" nagle zatrzymuje się i czekać trzeba z 5 min aż zakończy kopiowanie.. Pozdrawiam. Log'a już nie przedstawiam po czyszczeniu bo po co ? Problem naprawiony ^^. Jak chcesz to możesz jeszcze raz przejrzeć logi czy na pewno wtedy wszystko wychwyciłaś, bo jednak to nie ten "Tibia Trojan" był problemem. Ahh ta ciekawość co to mogło być Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2011 Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Dobrze więc, wykonałem ten skrypt na moim 32 bitowym systemie (laptopie). (...) Log'a już nie przedstawiam po czyszczeniu bo po co ? To teraz przedstaw wyniki. Zawsze sprawdzam czy zadanie się na pewno wykonało i jakie ewentualnie inne zmiany zaszły między skryptem a prezentacją wyników. Nie zawsze też skrypt pomyślnie wykonany rzeczywiście jest do końca pomyślnie wykonany. Lecz transfer nadal był zżerany (odczekałem 1-2 dni) mimo po czystkach etnicznych na komputerach. Postanowiłem więc sformatować mojego laptopa (ten podłączony bezprzewodowo (64 bity)) i problem już nie występuje. Tak więc coś musiało zostać pominięte :-). (...) Jak chcesz to możesz jeszcze raz przejrzeć logi czy na pewno wtedy wszystko wychwyciłaś, bo jednak to nie ten "Tibia Trojan" był problemem. W logach 64-bitowego na pewno nic nie opuściłam. Ale: - mam wątpliwości, czy wszystko od Tibia wtedy zlikwidowałeś, chodzi mi o fragment "Odmontuj te podejrzane dodatki.". Czytając raz jeszcze Twoją wypowiedź "Usunięte" pod cytatem plików z Changera odnoszę teraz wrażenie, że zająłeś się tylko tym. - nie widziałam wyników z Kasperskiego, które oceniłeś sam i kilka ominąłeś "Dotychczas Kasperki wykrył tam parę "ala Tojanów", które są nieszkodliwe (jestem przekonany) i "rootkita" też niegroźnego w skrypcie do odblokowania "Multi-Touch" w telefonie Xperia X10.. Wiadomo, skrypt edytuje kod systemu w telefonie, więc wykrywa go jako rootkit'a.". Nie widziałam na własne oczy = nie wierzę na słowo. - logi z OTL to proste logi, wycinek czasowy i zawężona sfera do sprawdzenia. I nie był sprawdzony odczyt z TDSSKiller pod kątem ewentualnej infekcji w MBR. Jak tam te paczki, przetestowane czy brak czasu ? ^^ Jeśli się nie odzywam na ten temat, to znaczy że nie ruszyłam jeszcze zadania. Niestety, bardzo brakuje mi czasu na wszystko. I jeszcze jak najlepiej oczyścić PenDriv'a z jakichś ukrytych świństw ? Skan antywirusem? Ja co najwyżej mogę sprawdzić "widok" tego urządzenia, przez wykonanie komendy podobnej do "dir". np. dlaczego jak wgrywam coś na niego to przy ostatnich "5 sekundach (czyt. 99%)" nagle zatrzymuje się i czekać trzeba z 5 min aż zakończy kopiowanie.. Jaki system plików, jaka pojemność i ile zajęte, czy zdefragmentowane (a nie ser szwajcarski), czy urządzenie jest optymalizowane pod "szybkie usuwanie" czy "większą wydajność" (karta Zasady we Właściwościach). . Odnośnik do komentarza
LeonZawodowiec Opublikowano 17 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Wtedy usunąłem wszystkie te pliki, które wymieniłaś. Co do tego rootkita z Multi Touch'a: PenDrive: NTFS Właśnie defragmentuje, "Zasady" nigdzie nie widzę we właściwościach. (Windows 7) Log z OTL'a z 32 bitowego dołączę w najbliższym czasie. (Jak będę na tamtym kompie). Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2011 Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 Moim zdaniem nie wykonałeś zadań do końca wtedy i jest to przyczyna dla nierozwiązania problemu. Wtedy usunąłem wszystkie te pliki, które wymieniłaś. Było powiedziane: "Odmontuj te podejrzane dodatki.". To oznaczało, że do deinstalacji było wszystko związane z Tibia: Elfbot do którego ładowałeś crack ("Owszem, zcrackowany"), Changer (wpis nie usunie się sam z listy Dodaj / Usuń ani bynajmniej operacją usunięcia wskazanych plików z dysku) i potencjalnie wszystko inne związane z Tibia co nie było dla mnie widzialne w raportach (logi są ograniczone a Extras nie pokazuje deinstalatorów które nie idą przez rejestr). Jeśli Ty skończyłeś jedynie na kasowaniu plików, które zakreślałam, to była to tylko połowa zadania przeze mnie zalecona. Co do tego rootkita z Multi Touch'a To tylko filmik, nie mam raportu pokazującego precyzyjnie wynik i porównania plików z Twojego systemu (czy paczka była 1:1) a nie YouTube. O ile tu mogę ewentualnie założyć w dobrej wierze coś, to nie jest wszystko co było tu wykryte. Prócz rootkita była także mowa o "Kasperki wykrył tam parę "ala Tojanów", które są nieszkodliwe (jestem przekonany)". Natomiast ja w temacie wiem, że nie mogę polegać na Twojej ocenie sytuacji, bo zainfekowanie kilku systemów w banalny sposób (tak - wszystkie zainfekowane w bardzo prosty sposób.) mówi samo za siebie. Ja oceniam konkrety = raporty. Nie pokazałeś mi wcale Kasperskiego, dlatego ja nie mogę przyjąć tego na wiarę. Do teraz nie wiem co to było i w jaki sposób wykryte. "Zasady" nigdzie nie widzę we właściwościach. (Windows 7) Zapewne nie przeszedłeś przez UAC. W Mój komputer > pobierasz Właściwości dysku > karta Sprzęt > podświetlasz ów dysk > Właściwości > Zmień ustawienia (UAC) > wtedy pokaże się dodatkowa karta Zasady. . Odnośnik do komentarza
LeonZawodowiec Opublikowano 17 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2011 "Windows 7 (UAC is disabled!) " Było trzeba od razu powiedzieć, że to jest w karcie "Sprzęt" Mam ustawione na "Szybkie Usuwanie". Co do raportów, te "Trojany" to były moje silniki do prywatnych serwerów tibii.. Znam ich kod, więc wiem co one robiły.. "Odmontuj te podejrzane dodatki.".", użyłem wtedy Revo Uninstaller - Właśnie napisałaś, że jest zły i mam używać "wbudowanych Deinstalatorów Aplikacji dostarczonych przez producenta".. Teraz chciałbym sprostować, że Revo najpierw uruchamia załączony deinstalator od producenta a po zakończonej deinstalacji szuka pozostawionych wpisów i plików. Odnośnik do komentarza
Rekomendowane odpowiedzi