"Skanowanie portów"

[raff]

Prowadzę serwis internetowy i firma zajmująca się "obsługą techniczną" dokonała przeniesienia go na nowy serwer. Od tego czasu mam problem z zalogowaniem się, a jest mi to potrzebne w celu pełnej kontroli nad działalnością serwisu. Twierdzą, że u nich wszystko działa ok. Natomiast mój komputer podczas próby zalogowania się wykonuje "skanowanie portów", co prowadzi do zablokowania dostępu przez serwer. Pojawiła się więc sugestia, że mam na kompie wirusa, a to co rejestruje serwer (i w skutek czego blokuje dostęp) to "próba ataku". Nie mogę używać oprogramowania antywirusowego działającego w tle (próbowałem Activir i Kasperski), bo poważnie spowalnia mi to komputer (cóż nie jest to najnowszy sprzęt, ale działa dość dobrze, a co dla mnie najważniejsze ma "stabilną" klawiaturę - nic się nie ugina, nie trzeszczy... - więc nie zmieniam). Ale dość często sprawdzam komputer mks-vir. Po dzisiejszym skanowaniu nie wykryto żadnego zagrożenia. Zaproponowano mi więc użycie ComboFix. Po dokładnym przejrzeniu instrukcji, zainstalowałem i uruchomiłem program. W raporcie okazało się, że jednak jakieś szkodliwe oprogramowanie było na moim komputerze - ComboFix usunął 6 plików. Nie rozwiązało to jednak problemów z logowaniem się do serwera. Być może problemem są także inne pliki - może coś wykazanego w "sekcji Find3M"? Ja nie wiem. Ludzie z firmy zajmującej się techniczną stroną serwisu też nie potrafią mi pomóc. I tak oto, z powyższą prośbą trafiłem na to forum. Log w załączeniu. I gorąca prośba o pomoc

 

Chciałem dodać jeszcze o jednym dość dziwnym zachowaniu komputera - od kilku tygodni, pomimo, że nie używam napędu, CD-rom się ciągle "odzywa", tak jakby była w nim płyta i startował napęd; raz nawet zdarzyło się, że samodzielnie otworzyła się kieszeń napędu (poczytałem na forum, że są programy, które mogą infekować np. sterownik od cd-rom, więc może...)

log.txt

[picasso]

Zaproponowano mi więc użycie ComboFix. Po dokładnym przejrzeniu instrukcji, zainstalowałem i uruchomiłem program. W raporcie okazało się, że jednak jakieś szkodliwe oprogramowanie było na moim komputerze - ComboFix usunął 6 plików. Nie rozwiązało to jednak problemów z logowaniem się do serwera. Być może problemem są także inne pliki - może coś wykazanego w "sekcji Find3M"? Ja nie wiem.

 

Proszę dostosuj się do wymogów działu: KLIK. Obowiązkowe logi to z OTL + GMER. Log z ComboFix już zostaw, bo musi być wiadome co robił, ale to za mało. A co robił: usuwał robaka rozprzestrzenianego via media przenośne (np. USB) i nie zrobił tego do końca:

 

2010-12-08 11:00 . 2010-12-08 11:00	115200	--sh--r-	c:\windows\system32\mgking2.dll

 

Ale dość często sprawdzam komputer mks-vir.

 

Pożegnaj się z nim. MKS ma czasy świetności za sobą. Do skanowania systemu można użyć innych nowoczesnych mini skanerów np.: Kaspersky Virus Removal Tool, Dr. Web CureIt, ESET Online Scanner.

 

 

.

[raff]

A czy jakimś rozwiązaniem będzie sformatowanie dysku i ponowna instalacja systemu?

Oczywiście będę musiał ściągnąć od nowa wszystkie SP, sterowniki do drukarek i dysku oraz zainstalować pakiet biurowy (poza nim, CMS i WinSCP właściwie nie mam żadnych programów), ale staram się nie trzymać na kompie żadnych plików (poza tymi nad którymi aktualnie pracuję) więc niczego w sumie nie stracę - a chyba takie rozwiązanie powinno usunąć wszelkie "świństwo" z komputera? Pytanie tylko, czy jakieś "szkodniki" mogą schować się na dysku sieciowym, gdzie mam wszystkie swoje pliki? I czy aby nie za bardzo "kombinuję"?

[picasso]

A czy jakimś rozwiązaniem będzie sformatowanie dysku i ponowna instalacja systemu?

 

To dość drastyczne, nie sądzisz?

 

Nadal oczekuję na zestaw logów, o które prosiłam. Przypominam, że pozostał jeden plik nie usunięty przez ComboFix. Jego kasacja nie stanowi dla nas trudności, ale musimy mieć raporty.

[raff]

W załączeniu logi z OTL. GMER po preskanie pokazał puste okno, a podczas pełnego skanowania wystąpił błąd - w załączeniu zrzut ekranu. Co dalej mam zrobić?

Extras.Txt

OTL.Txt

[raff]

Ponowna próba uruchomienia GMERa spowodowała restart systemu - "poważny błąd systemu". Ponowne próby uruchomienia programu zawieszają system i konieczny jest reset

 

 

Gdy udało się (po restarcie systemu) uruchomić GMERa, to zatrzymał się na

Section: C:\WINDOWS\system32\DRIVERS\serial.sys

Naciśnięcie <stop> po parunastu minutach oczekiwania spowodowało zawieszenie się systemu...

[picasso]

Widzę tylko ów zakreślony wcześniej plik. Aczkolwiek, jest tu dysk sieciowy, nie jest znana jego zawartość, a infekcja która tu zagościła charakteryzuje się replikacją na wszystkie dostępne dyski.

 

Drive C: | 18,62 Gb Total Space | 3,47 Gb Free Space | 18,63% Space Free | Partition Type: NTFS
Drive Z: | 923,57 Gb Total Space | 915,69 Gb Free Space | 99,15% Space Free | Partition Type: NTFS

 

1. Ukończmy sprawę usuwania widzialnej tu infekcji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2010-12-08 12:00:32 | 000,115,200 | RHS- | C] () -- C:\WINDOWS\System32\mgking2.dll
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Komputer będzie restartował. Po restarcie otrzymasz log z tego działania.

 

2. Wygeneruj nowe logi z OTL opcją Skanuj. Zaprezentuj również log z USBFix z opcji Listing. Log ten ma na celu wykaz co leży bezpośrednio w root dysku sieciowego.

 

 

GMER po preskanie pokazał puste okno, a podczas pełnego skanowania wystąpił błąd - w załączeniu zrzut ekranu. (...) Ponowna próba uruchomienia GMERa spowodowała restart systemu

 

Spróbuj odznaczyć w opcjach skanowania pozycję IAT/EAT. Ponadto, na wszelki wypadek załącz także odczyt z Kaspersky TDSSKiller (nie pomyl go z innym narzędziem firmy, uprzednio już tu wspominanym, Kaspersky Removal Tool).

 

 

 

.

[raff]

Niestety mój komputer odmówił współpracy - co chwilę się zawieszał, a uruchomić go w trybie awaryjnym się nie dało (albo niedostatecznie się starałem) i... wykonałem ten drastyczny krok w postaci sformatowania twardego dysku i ponownej instalacji systemu - ściągam aktualnie SP i instaluję Kaspersky Internet Security 2011 i spróbuję jeszcze TDSSKiller...

 

Ale po informacjach, które podałaś, postanowiłem sprawdzić drugi pracujący w sieci - komputer żony. Raporty w załączeniu (OTL2 po podłączeniu dysku sieciowego, bo przy pierwszym skanowaniu zapomniałem, że odłączyłem dysk instalując system de novo na moim komputerze... Chciałbym też "sprawdzić" ten dysk sieciowy - da się go jakoś przeskanować?

Extras.Txt

GMER.txt

OTL.Txt

OTL2.Txt

[raff]

Ku mojemu zdziwieniu po przeinstalowaniu systemu USBfix znalazł jeszcze jakiegoś "szkodnika" (ale po usunięciu i zaszczepieniu, kolejne skonowanie wykazało, że wszystko jest ok). Niestety GMER wciąż nie chce działać - zawiesza się albo przy preskanie, albo w trakcie (IAT: C:\\WINDOWS\system32\csrss.exe[616]\???\C:\WINDOWS\system32\csrss.exe). Kaspersky TDSSKiller niczego nie znalazł. A Kaspersky Internet Security 2011 nie wykrył zagrożeń na dysku sieciowym. Wydawałoby się więc, że wszystko powinno być ok, ale po tych ostatnich przygodach jakoś nie mam zaufania... Tym bardziej, że niczego to nie zmieniło w zakresie dostępu do serwera z moim serwisem (nie wiem czy przyczyny są takie same, ale zalogować się nie mogę)

 

UsbFix3.txt

UsbFix_1.txt

Extras.Txt

OTL.Txt

TDSSKiller.2.4.18.0_27.02.2011_19.29.29_log.txt

TDSSKiller.2.4.18.0_28.02.2011_01.33.02_log.txt

UsbFix.txt

UsbFix2.txt

[picasso]

Na temat Twojego komputera:

Nie widzę nic zdrożnego. Tylko obowiązkowo odmontuj prehistoryczną wersję Java 2 Runtime Environment, SE v1.4.2 i wymień na najnowszą Java (JRE).

 

 

Na temat komputera żony:

Ten GMER coś podejrzanie krótki, to na pewno pełny skan a nie preskan? W żadnych raportach nie notuję objawów infekcji w stanie czynnym, ale był tu na pewno podpinany nośnik zainfekowany, o czym świadczy to mapowanie pozostałe po podpięciu USB:

 

O33 - MountPoints2\{002bc8ce-292e-11e0-8441-0016d49cd6c1}\Shell\AutoRun\command - "" = E:\wq.exe
O33 - MountPoints2\{002bc8ce-292e-11e0-8441-0016d49cd6c1}\Shell\open\Command - "" = E:\wq.exe

Cóż, mogę tu przeprowadzić usuwanie tego co widzę i pewnego typu kosmetykę (usuwanie wpisów "not found" i zgwałconych ustawień przeglądarek przez paski narzędziowe SweetIM i Babylon Toolbar), ale to nie rozwiąże problemu głównego.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O33 - MountPoints2\{002bc8ce-292e-11e0-8441-0016d49cd6c1}\Shell\AutoRun\command - "" = E:\wq.exe
O33 - MountPoints2\{002bc8ce-292e-11e0-8441-0016d49cd6c1}\Shell\open\Command - "" = E:\wq.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=15627"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/home?AF=15627"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=15627&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "chrome://browser-region/locale/region.properties"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties"
O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} -  File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} -  File not found
O3 - HKLM\..\Toolbar: (StylerToolBar) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [babylonToolbar]  File not found
O4 - HKCU..\Run: [Gadu-Gadu 10]  File not found
O4 - HKCU..\Run: [PKTray]  File not found
[2010-12-31 14:45:30 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Marlena Młynarska\Dane aplikacji\Mozilla\Firefox\Profiles\4b9iwgg0.default\searchplugins\sweetim.xml
[2011-01-07 17:31:34 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
[2011-01-07 17:31:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marlena Młynarska\Dane aplikacji\BabylonToolbar
[2010-12-31 15:30:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marlena Młynarska\Dane aplikacji\Styler
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Po restarcie systemu otrzymasz log z tych porządków. Wystarczy, że tylko on zostanie pokazany.

 

2. Należy jeszcze zaktualizować Adobe Reader 9.4.2 do najnowszej wersji Adobe Reader X.

 

 

Raporty w załączeniu (OTL2 po podłączeniu dysku sieciowego, bo przy pierwszym skanowaniu zapomniałem, że odłączyłem dysk instalując system de novo na moim komputerze... Chciałbym też "sprawdzić" ten dysk sieciowy - da się go jakoś przeskanować?

 

OTL nie poda żadnych informacji na temat tego dysku, za wyjątkiem ewentualnej detekcji pliku autorun.inf infekcji (tu brak takiego odczytu). OTL jest specjalizowany do przedstawiania przede wszystkim dysku systemowego. Sprawdzanie dysku sieciowego ogranicza się tu do:

1. Wspominanego tu USBFix z opcji Listing. To tylko da pojęcie o zawartości leżącej bezpośrednio w katalogu głównym. W owym listingu nie widzę nic podejrzanego.

2. Przeskanowanie całego dysku sieciowego antywirusem. Zrobiłeś to i wynik zwrotny to brak wykrytych zagrożeń.

Więcej nie jestem w stanie zrobić w celu sprawdzenia tego dysku.

 

 

Ku mojemu zdziwieniu po przeinstalowaniu systemu USBfix znalazł jeszcze jakiegoś "szkodnika" (ale po usunięciu i zaszczepieniu, kolejne skonowanie wykazało, że wszystko jest ok).

 

################## | Files # Infected Folders |
 
 
Deleted ! C:\WINDOWS\fonts\RandFont.dll
Deleted ! C:\Recycler\S-1-5-21-1708537768-746137067-839522115-1003

Wątpię, by to była infekcja prawdziwa. Defektem USBFix jest słaba ocena sytuacji, leci po predefiniowanych ciągach. I tak tu namierzył Recycler (nazwa Kosza na systemie plików NTFS) i nic nie wskazuje, by ów kasowany Kosz nosił coś w sobie brzydkiego. Plik RandFont.dll natomiast wygląda na plik Hewlett-Packard (KLIK).

 

Na temat szczepień: zainteresuj się jeszcze Panda USB Vaccine.

 

 

Wydawałoby się więc, że wszystko powinno być ok, ale po tych ostatnich przygodach jakoś nie mam zaufania... Tym bardziej, że niczego to nie zmieniło w zakresie dostępu do serwera z moim serwisem (nie wiem czy przyczyny są takie same, ale zalogować się nie mogę)

 

A jaki błąd / efekt otrzymujesz teraz podczas próby zalogowania? Czy po czyszczeniu systemu ponownie kontaktowałeś się z obsługą techniczną?

 

 

 

.

[raff]

Dzięki wielkie za pomoc. Oba komputery wyczyściłem oraz zainstalowałem KIS2011, co ostatecznie przekonało mnie do zakupu nowego sprzętu, bo z Athlonem 518Mhz i 448MB RAMu przy włączonej ochronie zbyt wiele się zrobić nie da - teraz głównie siedzę i patrzę na komputer )

W kwestii dostępu do serwera, sprawa się wczoraj wyjaśniła - ze względu na "wielokrotne próby ataku na serwery webmaker, ograniczono dostęp do FTP, a ja próbowałem SCP i dlatego nie mogłem "wejść" (nie znam się, czy to tłumaczenie ma sens, ale faktem jest, że wczoraj, po wprowadzeniu w/w zmiany zalogowałem się na serwer i pobrałem to co potrzebowałem).

Ale to nie koniec "kłopotów", bo mam jakąś kolizję KIS2011 i FF - ciągle wyskakują mi problemy z jakimś skryptem, a działający Kaspersky pochłania mi 60-95% zasobów procesora (konkretnie proces avp.exe, a wyczytałem gdzieś, że jest to powiązane właśnie z KIS). Jednak to już chyba temat na oddzielny post )

 

Raz jeszcze dziękuję za pomoc i choć próby dokładnego zdefiniowania problemu, zakończyły się koniecznością przeinstalowania systemu (czyli jak pisałaś - drastycznego działania), to wiele się nauczyłem (!). I nie tylko ja, ale i syn, który dość bezkrytycznie korzystał a komputera żony i... parę "dodatków" za dużo ściągnął.

Edytowane 4 Marca 2011 przez picasso
Główny problem wyjaśniony. Temat zamykam. //picasso