Chyba padłem ofiarą sieci botnet

[exik]

Było to dawno, a problem dalej jest. Wszedłem na strone IPVoid (nad paskiem skanera był napis z jakimś adresem, nie moim) Wkleiłem w pasek skanera swój ip i skanery CBL_AbuseAt i Spamhaus wsakazały (skanerów było 37) że jestem zarażony jakimś botnetem czy cbl'em, Pokaże wam screeny. z raportów

(Pierwszy screen w dwóch połówkach)

 

Cz.1 http://naforum.zapodaj.net/519d5391a631.png.html

Cz.2 http://naforum.zapodaj.net/b95302670819.png.html

http://naforum.zapodaj.net/4e83d997aa33.png.html

 

W ogóle tych treści opisujących mój problem było tyle że najwieksza polska lektura jest krótsza.

Oprócz treści w screenach pisało też coś po kliknieciu w pewien odnosnik, że

UWAGA!, Jeśli jesteś na tej stronie, ponieważ Twój e-mail jest zablokowany lub Twoje IP jest na liście, jesteś po złej stronie.

...Że na poczte mam jakiś włam bla bla bla.... I jeszcze w następnym odnośniku coś o rejestracji, ale to bym waz zamęczył jakbym wam to wszystko dał. Myślę że te screeny wam wystarczą aby mi pomóc. PS. Później wpisałem w google "zarażenie botnet" i i przeczytałem nie pamiętam jaka to była strona aby przeskanować komputer na specjalnej stronie dns-changer.eu i tam wyszło że mam czystego kompa. Co mam zrobić aby usunąć infekcje? Kliknąć na ten duży niebieski link na drugim screenie ? Serio, nie jest mi do śmiechu.

 

PS

Dodam, że mam dwa kompy. Jeden stacjonarny i drugi notebook/netbook (myli mi sie) Oba maja ten sam adres IP

Mam na balkonie taką skrzynkę/radio na rurce z której kabelek prowadzi do routera (końcówka zmontowana końcówka łączy kabel z kabelkiem od routera i i zasilaczem który jest w kontakcie - PS te dwa kabelki łączy taka kostka, fabrycznie) Natomiast jest jeszcze drugi kabelek wpięty w router który łączy ze sobą własnie router i komp stacjonarny.

 

Ze względów osobistych odpiszę dopiero jutro, ale mimo to już dziś proszę o nie lekceważenie sprawy i próbę pomocy

[Landuss]

Skoro założyłeś temat w tym dziale to dostosuj się do zasad. Wykonaj raporty z OTL + Gmer. Jeśli system 64-bitowy Gmer odpada.

[exik]

Widzę że sprawdziłeś moje logi w dużo wcześniejszym temacie http://www.fixitpc.p...__fromsearch__1 dotyczącym sprawy botneta. Ja jednak tego wczoraj nie zdąrzyłem przeczytac, więc zrobiłem dziś logi o które prosiłeś (przepraszam ogólnie za założenie dwóch tematów ad. botneta, ale we wcześniejszym tak długo nikt mi nie odoowiadał, że zwątpiłem) Dodam, że logi z gmera zrobiłem tym razem w inny sposób bo zawsze pobierałem gmera w formie zip a na waszym forum wyczytałem w instr. tworzenie logów iż rootkity mogą się przed taką formą gmera kryć, więc zapodaję logi gmera z instalki exe. Dodam jeszcze że wyłączyłem uprzednio antywirusa i zapore jak w instrukcji tworzenia logów zalecano,m wcześniej tego nie robiłem, oraz doczekałem się w koncu logów gmer z notebooka. Z otl'em wiedziałem jak postapić (instrykcja była jak każda inna ad. tego progsu) Ale do rzeczy, logi:

 

Stacjonarny

otl.txt http://wklej.org/id/818164/

extras.txt http://wklej.org/id/818166/ (PS na marginesie, mam kilka błędów w systemie, tutaj chyba je widać, prosze powiedzieć, są jakieś poważne?)

gmer http://wklej.org/id/818170/

 

Notebook

otl.txt http://wklej.org/id/818175/

extras.txt http://wklej.org/id/818177/

gmer http://wklej.org/id/818179/

 

 

PS. Przypomnę/dodam, że skanowałem kompy m.in. avastem free 7 trialem noda, kaspera, nodem online, bitdefenderem online, pandą online (również skanerem samej poczty), avirą, mbamem,Microsoft Windows Malicious Software Removal Tool'em, dr webem i hitmanem pro. Żadne z nich o ile dobrze pamietam nic nie wykryły, tylko dr web i hitman wykryły jakieś zmiany w pliku hosts w oddzielnych datach ale chyba na obu kompach. Doszedłem do wniosku po rozmowie z expertami z innego forum że Hitman dosyc dziwnie wg mnie naprawił hostsa więc postanowilem później iść za radą expów z tego forum gdyż zostali mi poleceni i idąc ich radami pobrałem ze strony microsoftu program przywracajacy domyslny hosts i później juz nie skanowałem bo sie bałem że bedzie znowu coś nie tak z hostsem wg hitmana, ale myśle pomimo tego, że sie nie odwarzyłem na powtórny skan że hosts jest w porządku no bo w końcu naprawiałem go aplikacją z microsoftu. Sprawa tego hostsa odnosi sie do kompa stacjonarnego (wersja windowsa nie oryginalna) Na notebooku hitman (bo wtedy nim przeprowadzałem skan na kompach) zastrzeżeń nie miał.

[exik]

Postanowiłem zareagować i napisać ten temat gdyż już expert który mi pomagał nie odpowiada (jakby zapomniał)

więcej na temat ów botneta tutaj:

http://www.fixitpc.p...__fromsearch__1

Edytowane 27 Sierpnia 2012 przez picasso
Proszę się trzymać zasad działu. Bez dopisywania się do cudzych tematów, bez tworzenia nowych tematów. Skoro prowadzący nie odpowiada, to znaczy że nie ma jeszcze odpowiedzi i sprawy nie przyśpieszysz. //picasso

[Landuss]

@exik logi są czyste i nie wiem czego chcesz się na silę w nich doszukiwać. Nie skojarzyłem wcześniej dwóch twoich tematów a już je przecież sprawdzałem raz https://www.fixitpc.pl/topic/11787-podejrzenie-botneta/page__fromsearch__1

[exik]

tak tak, tylko chciałem abys sprawdził te tutaj logi bo dodałem logi gmer ze stacjonarnego i pobrałem gmera w wersji exe a wczesniej była to wersja zip która czasami uniemozliwia odkrycie rootkita jak pisze na waszym forum w instr. zamieszczania logów PS. W tych logach też nie widać nic groźnego?

[Landuss]

Gmer też nie pokazał nic groźnego, żadnego rootkita. Jakby coś było to bym napisał przecież.

[exik]

Zatem jak teraz to wszystko odebrać

 

słowa DawidaS28

 

1.

Jesteś tylko na czarnej liście jednej z organizacji. A to jeszcze w Twoim przypadku nie jest powód do przejmowania się. Co innego, gdybyś miał pod tym adresem serwer poczty elektronicznej, ale dla jednego użytkownika to nie jest problem.Ponowne sprawdzenie odbyło się, wynika z niego, że dalej wysyłasz spam. Proponuję z każdego komputera w sieci zrobić logi i wrzucić do Działu pomocy doraźnej. Tam masz ogłoszenie, co dokładnie jest wymagane.

 

słowa staniqa z innego forum

 

2.

.....używasz jakiegoś programu pocztowego? Prawdopodobnie tam tkwi problem, bo Twój program pocztowy będąc zainfekowany wysyła spam, dlatego znalazłeś się na liście. Myślę, że pomogłem.

 

> cały wątek http://forum.dobrepr...oc-t489130.html (ważne)

 

3. Cały ten komunikat tych dwóch skanerów IP

 

Rozważam kilka mozliwosci

 

- klikać w ten niebieski link ze screena bodajże drugiego o skresleniu z listy

 

- powiedziec komuś z firmy w której mam neta by , zobaczyli i spróbowali usunać monit o zainfekowanym IP

(na dniach i tak mają przyjechać w sprawie zawiszania się przeglądarki w netbooku) .

 

- uznać tego całego botneta za fałszywy alarm i nie przejmować sie wynikami skanu IP

[exik]

liczę w dalszym ciągu na odp od kogoś

[DawidS28]

Jesteś na jednej liście, z około trzydziestu liczących się. Spamhaus pobiera dane z CBL (czy jak mu tam było), a to jeszcze nie jest powód, żeby panikować. Poza tym, dawałeś tutaj logi chyba 3 razy.

[exik]

Ale otl potrafi wychwycić botneta w logach skoro to wirus IP a nie pliku? i czy otl uwzględnia outlooka w skanie

[exik]

Może wyraże sie inaczej, dokładniej. Czy otl i gmer potrafią zapisać w logach botneta? i czy expert potrafi to wychwicic w nich i usunąć albo ewentualnie antywirusy tez potrafia wykryc botneta..? Jak nie wiesz to nie szkodzi