vicekexe Opublikowano 31 Maja 2011 Zgłoś Udostępnij Opublikowano 31 Maja 2011 Witam. Wczoraj w firmie udostępniliśmy internet na 3 komputerach. Pierwszą rzeczą jaką chcieliśmy zrobić było oczywiście zabezpieczenie komputerów, lecz pojawił się problem czy to przy aktualizacji MS Essentiala czy przy próbie pobrania jakiegokolwiek programu antywirusowego - brak połączenia z serwerem. 'Coś' nie dopuszcza nas na strony związane z programami antywirusowymi. Proszę o pomoc - w związku z tym, iż problem występuje na 3 komputerach mogę załączyć logi (z OTL i GMER - racja?) z wszystkich do tego tematu czy każdy z kolejna ? Extras PC1.Txt Extras PC2.Txt Extras PC3.Txt GMER PC1.txt GMER PC2.txt GMER PC3.txt OTL PC1.Txt OTL PC2.Txt OTL PC3.Txt Odnośnik do komentarza
Landuss Opublikowano 31 Maja 2011 Zgłoś Udostępnij Opublikowano 31 Maja 2011 Możliwe, że to infekcja Conficker. Załącz logi z każdego komputera w tym temacie. Odnośnik do komentarza
vicekexe Opublikowano 31 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2011 Na chwilę obecną PC1 i PC2 są zajęte, więc daję logi z PC3 - jak tylko się zwolnią dwa pierwsze komputery zrobię skany i uaktualnię post. Odnośnik do komentarza
Landuss Opublikowano 31 Maja 2011 Zgłoś Udostępnij Opublikowano 31 Maja 2011 Logi z OTL prosze poprawić. Mają wyjść dwa logi z tego narzędzia. Podczas skanu opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". I według spodziewań jest Conficker... Odnośnik do komentarza
vicekexe Opublikowano 1 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2011 Poprawiono - dodałem logi z wszystkich 3 komputerów. No to się porobiło z tym Conficker'em Odnośnik do komentarza
Landuss Opublikowano 1 Czerwca 2011 Zgłoś Udostępnij Opublikowano 1 Czerwca 2011 Komputer 1 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\WINDOWS\System32\xrjsx.dll :Services svrhost rgybgf :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "6486:TCP"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchom ponownie OTL i tym razem wykonaj nowe log na dodatkowych warunkach - Własne opcje skanowania/Skrypt wklej: netsvcs DIR /A C:\ /C DIR /A D:\ /C DIR /A E:\ /C Kliknij w Skanuj ( nie w Wykonaj skrypt). 4. Prezentujesz nowe logi z OTL. Komputer 2 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\WINDOWS\System32\lnfbwvu.dll :Services tbvtaae :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5620:TCP"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchom ponownie OTL i tym razem wykonaj nowe log na dodatkowych warunkach - Własne opcje skanowania/Skrypt wklej: netsvcs DIR /A C:\ /C DIR /A E:\ /C Kliknij w Skanuj ( nie w Wykonaj skrypt). 4. Prezentujesz nowe logi z OTL. Komputer 3 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\system32\btzbflss.dll :Services srbdfgdfm NMIndexingService Harmonogram automatycznej usługi LiveUpdate :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "8912:TCP"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchom ponownie OTL i tym razem wykonaj nowe log na dodatkowych warunkach - Własne opcje skanowania/Skrypt wklej: netsvcs DIR /A C:\ /C Kliknij w Skanuj ( nie w Wykonaj skrypt). 4. Prezentujesz nowe logi z OTL. Odnośnik do komentarza
vicekexe Opublikowano 3 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Logi z Komputer 1 Komputer 2 Komputer 3 G KOMUNIKAT OTL PC2.txt G OTL PC2.Txt G KOMUNIKAT OTL PC3.txt G OTL PC3.txt G KOMUNIKAT OTL PC1.txt G OTL PC1.Txt Odnośnik do komentarza
vicekexe Opublikowano 4 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Czerwca 2011 Komputery łączą się z witryną ms.com - ms essential się uaktualnia już z góry bardzo dziękuję Landuss za pomoc - i proszę jeszcze tylko o zerknięcie logów końcowych w celu upewnienia się że wszystko gra i buczy. Odnośnik do komentarza
Landuss Opublikowano 4 Czerwca 2011 Zgłoś Udostępnij Opublikowano 4 Czerwca 2011 Zamontuj kolejne skrypty bo jeszcze zostały szczątki. Komputer 1 :OTL NetSvcs: rgybgf - File not found Komputer 2 :OTL SRV - File not found [Auto | Stopped] -- -- (tbvtaae) NetSvcs: zrxqhqt - File not found NetSvcs: tbvtaae - File not found Komputer 3 :OTL NetSvcs: srbdfgdfm - File not found Logów żadnych już nie pokazuj. Po tych skryptach wykonaj czynności końcowe: 1. Na każdym z komputerów użyj opcji Sprzątanie z OTL. 2. Zabezpiecz komputery przed infekcjami z mediów przenośnych za pomocą Panda USB Vaccine 3. Wykonaj obowiązkowe aktualizacje (KLIK): Komputer 1: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Komputer 2: Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16) Komputer 3: "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) 4. Na każdym z komputerów opróżnij folder Przywracania systemu: KLIK. . Odnośnik do komentarza
vicekexe Opublikowano 6 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 6 Czerwca 2011 Bardzo dziękuję Landuss wszystko jest OK, bardzo pomocne forum !! Temat można zamknąć Odnośnik do komentarza
Rekomendowane odpowiedzi