waldemar Opublikowano 15 Grudnia 2011 Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Witam, Korzystam z Avira Free Antyvirus, świeża instalacja Windows XP (lagalny), żadnych programów do P2P itp. Dołączam log z combofix'a. Gdy zadzwoniłem do nich, powiedzieli mi, ze z mojego adresu został przeprowadzony atak na ich urządzenia. W ciągu jednej sekundy 30000 pakietów. Co spowodowało automatyczne odcięcie mnie od sieci. Brak jakichkolwiek objawów. System działa stabilnie. ComboFix.txt OTL.Txt Extras.Txt mbam-log-2011-12-15 (16-57-03).txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2011 Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Nie widzę tu żadnych bezpośrednich znaków infekcji. Czy odcięcie od sieci jest stanem trwałym i nadal nie masz dostępu? Na temat legalności: na pewno? W logach są subtelne ślady, że kombinowano z aktywacjami. Czyli: modyfikacja w pliku HOSTS oraz ComboFix skasował plik winlogon.bak i wskazuje modyfikację pliku winlogon.exe. Ten zestaw może tłumaczyć użycie "legalizatora". ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..c:\windows\system32\winlogon.bak..(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2011-12-14 19:00 . 2004-08-04 12:00 504832 ----a-w- c:\windows\system32\winlogon.exe2011-12-14 18:49 . 2004-08-04 12:00 504832 ----a-w- c:\windows\system32\winlogon.Del . Odnośnik do komentarza
waldemar Opublikowano 15 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Tak. legalny. Z aktywacją był problem, gdyż: 1. Nie był zainstalowany sterownik karty sieciowej, przez co nie wykonałem aktywacji zaraz po instalacji. Zainstalowałem gołego XP i poszedłem spać. 2. Wyczerpana bateria biosu (już wymieniona) spowodowała przestawienie daty na 1999 rok Co spowodowało zablokowanie XP i niemożliwość dokonania aktywacji normalnie. Okno aktywacji zapętlało się, więc "oszukałem" Windows z aktywacją. To pozwoliło mi na zalogowanie się do systemu i zainstalowanie sterowników karty sieciowej. Następnie wpisałem klucz produktu, który mam na naklejce i dokonałem aktywacji. Po potraktowaniu systemu Combofix'em i MalwerBytes, które usunęły kilka znalezionych robaków jest OK. Panowie z ISP ręcznie znoszą blokadę, gdy do nich zadzwonię. Dlatego teraz mogę swobodnie pisać na forum. Myślę, że XP jest już czysty. Teraz jeszcze mam do sprawdzenia laptopa z Windows 7 X64, który jest bardziej zawalony... Zaraz przeskanuję go i sprawdzę logi. Co do samej sieci, to możliwe, iż na moim Linksys WRT54GS z Tomatoo ktoś coś kombinował. Miałęm włączony dostęp po SSH, Telnet i WAN port 80. Zmieniłem hasła i wyłączyłem wszystko co zbędne. Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2011 Zgłoś Udostępnij Opublikowano 15 Grudnia 2011 Po potraktowaniu systemu Combofix'em i MalwerBytes, które usunęły kilka znalezionych robaków jest OK. Tylko, że ani ComboFix (notabene: użyty niepotrzebnie, nie powinieneś go startować, to nie jest skaner domowego użytku) ani MBAM nie wykryły infekcji i nie kasowały żadnych robaków. 1. MBAM wykrył kombinację z aktywatorem: Zainfekowanych plików:c:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> No action taken. 2. ComboFix kasował winlogon.bak od kombinacji aktywatorem, pliki pk*.pif są od Total Commander (przypuszczalnie skasowane przez ComboFix ze względu na zerowe parametry), zaś CSC to pliki offline i ów d6 także jest na moim XP (nie wiem dlaczego ComboFix go ruszył, choć obserwuję powtarzalność tego na różnych czystych systemach): ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\windows\CSC\d6c:\windows\pkunzip.pifc:\windows\pkzip.pifc:\windows\system32\winlogon.bak Poza tym, ComboFix należy teraz prawidłowo odinstalować, w Start > Uruchom > wklejając kombinację: "C:\documents and settings\waldek\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall Tak więc te programy nie powinny mieć żadnego związku z polepszeniem warunków bytowych. Znacznie bardziej prawdopodobne jako przyczyna jest: Co do samej sieci, to możliwe, iż na moim Linksys WRT54GS z Tomatoo ktoś coś kombinował. Miałęm włączony dostęp po SSH, Telnet i WAN port 80. Zmieniłem hasła i wyłączyłem wszystko co zbędne. . Odnośnik do komentarza
waldemar Opublikowano 16 Grudnia 2011 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2011 Jednak jest to jakiś robak, którego nie mogę zlokalizować. Odłączyłem router, podpiąłem się bezpośrednio do kabla ISP. Na komputerze stacjonarnym zapuściłem sniffer. Okazało się, że z mojego komputera wysyłane jest wiele pakietów z fałszywymi adresami IP (na liście różne Local Address). Następnie następuje lawinowe zasypanie mojego komputera odpowiedziami przez port ICMP - 130K pakietów, 200K pakietów itd. Wygląda to jak atak ICMP Flood. Nie wiem jaki to wirus, ale programy, które używałem nie wykrywają go :/ Laptop jest czysty, jestem od godziny podłączony i brak podobnych objawów. Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2011 Zgłoś Udostępnij Opublikowano 16 Grudnia 2011 (edytowane) Jak mówiłam, w raportach nie ma śladu. Kasacje wykonane przez programy nie mają znaczenia (chyba, że ów "legalizator" był trefny), a usunięcie przez ComboFix folderu plików Offilne (pustego) c:\windows\CSC\d6 zostało przeze mnie już zgłoszone jako błąd narzędzia, ponieważ kasacja ta się wykonuje nawet na mojej wirtualnej maszynie XP. To jest archaiczny system XP zaraz po instalacji (nawet z SP3 to nie jest system szczelny i duuuuużo mu brakuje = wszystkie łaty z Windows Update zaaplikowane?). Zastosuj podstawę: Windows Worms Doors Cleaner. . Edytowane 16 Stycznia 2012 przez picasso 16.01.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi