Czarodziej Opublikowano 26 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2013 Witam Od rana na dwóch różnych laptopach (podłączone Wi-Fi do jednego routera) ESET Smart Security raportuje mi ataki: Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS dla adresu: 192.168.1.1:53 Ataki wyświetla podczas aktywnego korzystania z Internetu (podczas przeglądania różnych stron), różnie co 5-3-10 minut. Ta sama strona raz się ładuje (szybko bez problemy), innym razem zwraca komunikat: Nie uzyskano połączenia z serwerem Po kilkukrotnym odświeżeniu strona wraca do normy (szybciutko ładuje całą stronę). Natomiast na komputerze stacjonarnym ( połączony kablem do routera), brak jakichkolwiek raportów o ataku pakietami( ten sam ESET), natomiast występuje sytuacja z losowym ładowaniem/nieładowaniem strony. ---- Logi antywirusa na komputerach czyściusieńkie od 6 miesięcy. TYLKO na jednym z laptopów znalazłem infekcje z dzisiaj (wyleczoną przez poddanie kwarantannie ): Win32/Somoto.B W poście dołączam logi z laptopa z infekcją. W związku z zbliżającą się zmianą dołączyłem logi z OTL i FRST (wiem, że są alternatywne ), możecie wybrać preferowany a drugi zignorować. ---- Znalazłem na tym forum podobny temat: https://www.fixitpc.pl/topic/12580-eset-atak-z-preparowaniem-pakietow-dla-pamieci-podrecznej/ i link na strone ESET’a: http://kb.eset.com/esetkb/index?page=content&id=SOLN2933 Tylko dlaczego teraz mam tworzyć strefy zaufania, skoro wcześniej działało ? Dlatego aktualnie daruje sobie wykonywanie jakichkolwiek działań w ESET. Jestem trochę w temacie i moja diagnostyka problemu przedstawia się następująco: Problem nie leży po stronię komputerów (pliki Hosts są czyste), a po stronie centrali DNS dostawcy Internetu (w której aktualnie coś robią/very small stuff). Infekcja Win32/Somoto.B jest czystym zbiegiem okoliczności. Jak uczy życie dzwonić do konsultantów nie ma sensu bo oni o czymś takim nigdy nie mają zielonego pojęcia. Trzeba odczekać kilka godzin i ponownie sprawdzić stan rzeczy. Realny scenariusz ? gmer.txt OTL.Txt Extras.Txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Nie widzę tu oznak infekcji trojanami, ale jest adware Conduit (wprowadzone instalacją BS Player). Skopiuj na Pulpit ten plik preferencji Firefox: C:\Documents and Settings\jacek_\Dane aplikacji\Mozilla\Firefox\Profiles\it7vqg3w.default\prefs.js Zapakuj do ZIP, shostuj gdzieś i wyślij na PW link do paczki. Dopiero po tym przejdź do usuwania adware: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k [x] HKLM\...\Command Processor: S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x] S3 SNPSTD3; system32\DRIVERS\snpstd3.sys [x] S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [x] Folder: C:\Documents and Settings\All Users\Dane aplikacji\Logs Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 5. Zaktualizuj systemowy Internet Explorer (to istotne mimo używania innej przeglądarki): KLIK. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt log AdwCleaner. TYLKO na jednym z laptopów znalazłem infekcje z dzisiaj (wyleczoną przez poddanie kwarantannie ) Plik bitool.dll w Temp wygląda na adware będące pochodną integracji sponsora SOMOTO w instalatorze DAEMON Tools. Instalki DAEMON Tools nie są czyste. Znalazłem na tym forum podobny temat: http://www.fixitpc.p...eci-podrecznej/ i link na strone ESET’a: http://kb.eset.com/e...ent&id=SOLN2933 Tylko dlaczego teraz mam tworzyć strefy zaufania, skoro wcześniej działało ? Dlatego aktualnie daruje sobie wykonywanie jakichkolwiek działań w ESET. Na chwilę obecną nie jestem w stanie poradzić nic innego jak to co już baza ESET opisała, a konkretnie ustalenie reguły dla zakresu uznawanego za "bezpieczny": 192.168.x.x. Problem nie leży po stronię komputerów (pliki Hosts są czyste), a po stronie centrali DNS dostawcy Internetu (w której aktualnie coś robią/very small stuff). Jak uczy życie dzwonić do konsultantów nie ma sensu bo oni o czymś takim nigdy nie mają zielonego pojęcia. Trzeba odczekać kilka godzin i ponownie sprawdzić stan rzeczy. Realny scenariusz ? Ale twierdzisz, że drugi komputer w tej samej sieci nie ma problemu: Natomiast na komputerze stacjonarnym ( połączony kablem do routera), brak jakichkolwiek raportów o ataku pakietami( ten sam ESET), natomiast występuje sytuacja z losowym ładowaniem/nieładowaniem strony. . Odnośnik do komentarza
Czarodziej Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 1-6 zrobione. Tak jak pisałem zaleciłem ignorowanie tego komunikatu. Trudno napisać mi kiedy, ale problem z ładowaniem/nieładowaniem strony zniknął po krótkim czasie (1-3 godzin). Komunikat pozostał i pojawiał się około 2 razy w ciągu godziny po 2-3 komunikaty występujące w odstępnie sekund. Po 18 wszystko wróciło do normy tj. komunikaty zniknęły. (17:54:21 na jednym i 17:09:02 na drugim ESET zapisał ostanie raporty o atakach). Jedyne co różni te komputery to sposób połączenia z routerem i inne bazy sygnatur wirusów (dzisiaj się aktualizowała, nie wiem jak było wczoraj). AdwCleaner.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Dzięki za prefs.js. Akcje pomyślnie wykonane. Kończąc ten wątek: 1. Porządki po narzędziach. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Documents and Settings\jacek_\Pulpit\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji jeszcze te aplikacje: ==================== Installed Programs ======================= Adobe Flash Player 10 ActiveX (Version: 10.1.102.64) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.7.700.202) ----> wtyczka dla Firefox Adobe Reader 9.5.0 - Polish (Version: 9.5.0) Microsoft Office Professional Plus 2010 (Version: 14.0.4763.1000) ----> instalacja SP1 Po 18 wszystko wróciło do normy tj. komunikaty zniknęły. (17:54:21 na jednym i 17:09:02 na drugim ESET zapisał ostanie raporty o atakach). Czyli problem samoczynnie ustał? . Odnośnik do komentarza
Czarodziej Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Dziękuje Tak, problem zniknął. Odnośnik do komentarza
Rekomendowane odpowiedzi