Reich Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Mam problem tego typu, że jeden z komputerów skanuje mi porty drugiego kompa co 15 min. i wykrywa to Eset Smart Security. Zainfekowany komp wcześniej miał Avast, a po instalacji Eseta został przeskanowany i coś tam usunął, ale problem skanowania portów jest nadal. Oba komputery mam podłączone do routera. Próbowałem użyć Combofix, RiKlii, a on nadal skanuje. Proszę o pomoc w załączeniu logi z OTL i Extras. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Brak tu jakichkolwiek oznak infekcji, ale nie sprawdzony drugi komputer. I w związku z brakiem znaków infekcji: Mam problem tego typu, że jeden z komputerów skanuje mi porty drugiego kompa co 15 min. i wykrywa to Eset Smart Security. Baza wiedzy ESET: How do I resolve "Detected Port Scanning Attack" notifications? (Part II). I jak mówi ESET, skanowanie portów nie jest dowodem infekcji: Important! The notification below indicates that ESET Smart Security has detected and blocked an intrustion attempt. It does not indicate that your system is infected. Zainfekowany komp wcześniej miał Avast, a po instalacji Eseta został przeskanowany i coś tam usunął, ale problem skanowania portów jest nadal. Jaki tu dowód zainfekowania komputera jest? Konkrety proszę. I co było usuwane, również konkrety tzn. raporty z narzędzi. Próbowałem użyć Combofix, RiKlii, a on nadal skanuje. Na temat używania ComboFix, i gdzie log z niego (zasady obowiązkowo to punktują): KLIK. A RKill nie służy do usuwania trwałego, tylko zabija procesy i nic więcej (akcja tymczasowa do następnego resetu): KLIK. PS. I drobne usuwanie odpadków adware przeprowadź: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1387010487-238118090-295124475-1000\..\SearchScopes\{03752DC1-822B-4c4b-A8CD-17139D29BDF0}: "URL" = "http://search.speedbit.com/searchresults.asp?src=default&q={searchTerms}" IE - HKU\S-1-5-21-1387010487-238118090-295124475-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_US" IE - HKU\S-1-5-21-1387010487-238118090-295124475-1000\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Speedbit" FF - prefs.js..browser.search.defaulturl: "http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q=" FF - prefs.js..browser.search.order.1: "Speedbit" FF - prefs.js..browser.search.selectedEngine: "Speedbit" FF - prefs.js..keyword.URL: "http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q=" [2010-12-20 11:44:24 | 000,002,254 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\o2gldnym.default\searchplugins\askcom.xml [2012-06-28 13:24:00 | 000,002,520 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\o2gldnym.default\searchplugins\speedbit.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{0329E7D6-6F54-462D-93F6-F5C3118BADF2}"=- "searchpredict@speedbit.com"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Na koniec Sprzątanie w OTL. 2. Uruchom AdwCleaner i zastosuj Delete. Po tym zaś Uninstall. . Odnośnik do komentarza
Reich Opublikowano 18 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2012 Dziękuję za odpowiedz, jestem teraz na wyjeździe, więc po powrocie sprawdzę jak to zadziała i dam znać. Odnośnik do komentarza
Reich Opublikowano 28 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Witam, zastosowałem się do powyższych wskazówek i niestety efekt jest nadal ten sam. Teraz nawet Eset wyrzuca komunikat o próbie skanowania portów z częstotliwością co 5 minut. Nie wiem czy to ma znaczenie, ale na komputerze są trzy profile użytkowników. Wszystkie jednak operacje robiłem z poziomu admina. W załączeniu logi z OTL i Adwcleaner. AdwCleanerS1.txt otl-1.txt Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 (edytowane) Podaj jeszcze logi z tego drugiego komputera. zastosowałem się do powyższych wskazówek i niestety efekt jest nadal ten sam. Teraz nawet Eset wyrzuca komunikat o próbie skanowania portów z częstotliwością co 5 minut. Ale co konkretnie wykonałeś? Czy zrealizowałeś z artykułu ESET ustęp "Part II: Disable intrusion detection notifications", czyli wyłączenie powiadomień? I przypominam, to działanie nie utnie tej aktywności (ESET nadal będzie blokował skanowanie) tylko ma w zamierze przełączyć na mało inwazyjny dla użytkownika tryb logowania, a samo zjawisko nie jest potwierdzeniem infekcji w systemie. "Important! Remember that these notifications indicate that ESET Smart Security has detected and blocked an intrusion attempt - they do not indicate an infection. ESET will continue to block these attacks even after notifications are disabled." Reszta podanych zadań (skrypt do OTL + AdwCleaner) nie mają związku ze sprawą. Nawiasem mówiąc, wygląda iż skrypt do OTL chyba przetwarzałeś dwa razy, bo prawie wszystko ma status "not found". . Edytowane 18 Września 2012 przez picasso 18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi