Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Powolna praca komputerów oraz łączność z internetem/LAN w firmie - Conficker

kubi

Przez kubi
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

kubi

kubi

Opublikowano
Opublikowano

Witam Was!!!

 

Zwracam się z prośbą o przeanalizowanie logów, które wykonałem na kilku komputerach w firmie. Użytkownicy skarżą się na brak płynnej pracy oraz nieustanne przycinanie się komputerów, zwłaszcza oprogramowania SAP. Na komputerach wgrany jest antywirus ESET NOD32, który wykazał, że większość jednostek jest zarażona wirusem Win32/Conficker.AA robak. Szkodnik został usunięty przez oprogramowanie lecz podejrzewam, że jeszcze gdzieś coś zostało i to tak spowalnia komputery oraz ich pracę po sieci LAN, zwłaszcza transfery plików do/z serwera oraz łączność do internetu.

 

Poniżej przedstawiam logi z 5 jednostek i gorąco proszę o szybką pomoc. Użytkownicy na pewno upomną się na nowy rok o to aby wszystko chodziło gładko a ja nie chcę reinstalować niepotrzebnie systemów jak może istnieje możliwość naprawy jednostek.

STACJA01 - OTL.Txt

STACJA01 - Extras.Txt

STACJA02 - OTL.Txt

STACJA02 - Extras.Txt

STACJA03 - OTL.Txt

STACJA03 - Extras.Txt

STACJA04 - OTL.Txt

STACJA04 - Extras.Txt

STACJA06 - OTL.Txt

STACJA06 - Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Tak na prawdę tylko Komputer1 ma ślady infekcji Conficker i wygląda, że to weszło na urządzeniu przenośnym. Jeśli je posiadasz to dobrze by było je też przeczyścić. Na razie wyczyść system. Logi z reszty komputerów są czyste.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\user\ydwzro.exe) - File not found
O33 - MountPoints2\{16d8ff0e-ce1a-11e0-bbbe-000fea2f0979}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE	  .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{43476fdb-0689-11e0-ba50-000fea2f0979}\Shell\AutoRun\command - "" = F:\kratakspoj\\\verujmi.exe
O33 - MountPoints2\{43476fdb-0689-11e0-ba50-000fea2f0979}\Shell\explore\command - "" = F:\kratakspoj\\\verujmi.exe
O33 - MountPoints2\{43476fdb-0689-11e0-ba50-000fea2f0979}\Shell\Install\command - "" = F:\kratakspoj\\\verujmi.exe
O33 - MountPoints2\{43476fdb-0689-11e0-ba50-000fea2f0979}\Shell\open\command - "" = F:\kratakspoj\\\verujmi.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5165:TCP"=-
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Odnośnik do komentarza
kubi

kubi

Opublikowano
  • Autor
Opublikowano

Landuss, serdecznie dziękuję za odpowiedź. Wykonałem dodatkowe logi oraz dodałem dwie stacje, które poprzednio nie mogłem zeskanować. Proszę Ciebie Landuss o przeanalizowanie logów i sprawdzenie czy czasami nie zostały wyłączone ważne usługi, gdyż po zawieszeniu oprogramowania SAP pojawia się błąd z serwerem RPC - Connection faild. Serwer RPC jest niedostępny.

 

Poniżej logi:

STACJA1-OTL.Txt

STACJA2-OTL.Txt

STACJA4-OTL.Txt

STACJA6-OTL.Txt

STACJA6-Extras.Txt

STACJA7-OTL.Txt

STACJA7-Extras.Txt

STACJA8-OTL.Txt

STACJA8-Extras.Txt

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Skrypt został prawie wykonany w całości, jedynie wpis O20 się ostał ale to się da skorygować inaczej.

 

Otworz sobie notatnik i wklej taki tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

Więcej nic tutaj nie ma do roboty.

 

sprawdzenie czy czasami nie zostały wyłączone ważne usługi, gdyż po zawieszeniu oprogramowania SAP pojawia się błąd z serwerem RPC - Connection faild. Serwer RPC jest niedostępny.

 

To już tematyka do działu Windows. Z obecnych logów nie jestem w stanie za wiele wyciągnąć ale zapewniam, że nie jest to wina infekcji zaś sam błąd niewiele mi mówi.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...