sider5 utworzono 1 października 2013 utworzono 1 października 2013 Witam. Moze zaczne od poczatku aby przedstawic dokladnie sytuacje. Jakis czas temu dokladnie z 3 miesiace podlapalem nie wiadomo skad jakiegos syfa, ktory powodowal wysokie skoki pingu pod wieczor i po poludniu (rano nie) nie tylko u mnie ale tez u innych. Dostawca internetu pierw stwierdzil, ze jest to wina przegladarki gdyz tak to wygladalo. Po kilkudniowych testach ze strony dostawcy uznali, ze mam pewnego rodzaju trojana, ktory byl na win xp i sie dziwil dlaczego zlapalem to na 64x bitowy system. I to moje pytania: Jaki antywirus wybrac na tego typu syfy nod? avast? czy cos innego(pieniadze tutaj nie graja az takiej roli, aby antywirus byl dobry). Zaznacze jeszcze, ze dostawca, ktory takze naprawia komputery sformatowal i za pierwszym razem nie udalo sie usunac wirusa i gosciu od serwisu powiedzial, ze wirus schowal sie miedzy partycjami. I tu pytam, bo zgralem pliki(zdjecia itp.) na pendrive i karty pamieci i nie wiem co z tym zrobic bo sie boje, ze ten wirus przeszedl takze na te pendrive'y i co ja mam z nimi zrobic? Podlaczyc pod pc i przeskanowac bo koles mowil, ze to na wlasne ryzyko czy moze na innym komputerze ktorego nie uzywam? No i jak sie dobrze zabezpieczyc przed tymi syfami? Up
Youki komentarz 3 października 2013 komentarz 3 października 2013 Jak wirus był na innej partycji to wiadomo, że formatowanie jednej nic nie da. Prawda jest taka, że nawet najlepszy antywirus nie jest w stanie wykryć wszystkich wirusów i ich pochodne. ;)
Natsuki Kuga komentarz 4 października 2013 komentarz 4 października 2013 I tu pytam, bo zgralem pliki(zdjecia itp.) na pendrive i karty pamieci i nie wiem co z tym zrobic bo sie boje, ze ten wirus przeszedl takze na te pendrive'y i co ja mam z nimi zrobic? Podlaczyc pod pc i przeskanowac bo koles mowil, ze to na wlasne ryzyko czy moze na innym komputerze ktorego nie uzywam? Zapoznaj się z tym tematem: http://www.forumpc.pl/topic/277786-nieingerencyjne-narzedzia-do-tworzenia-logow-systemowych/#entry1683581 i pokaż zestaw logów z OTL + Gmer. Po kilkudniowych testach ze strony dostawcy uznali, ze mam pewnego rodzaju trojana, ktory byl na win xp i sie dziwil dlaczego zlapalem to na 64x bitowy system. Ciekawi mnie, jak to wywnioskowali? Ktoś przychodził od dostawcy, czy analizowali ruch pakietów (ruch sieciowy) przechodzący przez twój komputer? (swoją drogą, trzeba być naprawdę oblatanym w temacie bezpieczeństwa, żeby tak sobie wywnioskować, co to dokładnie za wirus, a u ISP raczej ciężko kogoś takiego spotkać..) Win XP był głównie 32-bitowy (bo x64 to jakieś nieporozumienie), Windows 7 x64 ma kompatybilność wstecz z platformą x86, więc nie ma problemu żeby podmontować szkodnika, taki będzie widoczny w menedżerze zadań z dopiskiem *32 przy nazwie procesu. gosciu od serwisu powiedzial, ze wirus schowal sie miedzy partycjami Miejsce między partycjami, w którym może zagnieździć się wirus, to tak właściwie może być tylko MBR (zakładając, że nie masz miejsca nieprzydzielonego dla żadnej z partycji), a rootkita MBR na pewno nie wykryje się od tak podczas skanu antywirusem.
sider5 komentarz 10 października 2013 Autor komentarz 10 października 2013 (edytowane) Najdziwniejsze jest to, ze wirus "wlaczal sie" o okreslonym czasie tzn. wieczorem lub po poludniu. Rano ping byl czysty i nie ruszony. No i jeszcze cos bo zrobilem tego formata i czasem gdy pinguje powiedzmy wp.pl -t to wyskakuje mi uplynal limit czasu zadania czy cos takiego. Natsuki Kuga chodzi Ci o np. chrome.exe *32, NvTmru *32 i inne? bo u mnie kilka procesow ma zakonczenie *32 Zakonczylem skanowanie i wyskoczylo mi, ze prawdopodobnie posiadam rootkit'a. W zalaczniku skan programem GMER
Natsuki Kuga komentarz 12 października 2013 komentarz 12 października 2013 chodzi Ci o np. chrome.exe *32, NvTmru *32 i inne? bo u mnie kilka procesow ma zakonczenie *32 Tak. Gmer prawdopodobnie wykrył to: Service C:\Windows\system32\drivers\aswFsBlk.sys (*** hidden *** ) [AUTO] aswFsBlk <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswMonFlt.sys (*** hidden *** ) [AUTO] aswMonFlt <-- ROOTKIT !!! Service C:\Windows\System32\Drivers\aswrdr2.sys (*** hidden *** ) [SYSTEM] aswRdr <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswRvrt.sys (*** hidden *** ) [BOOT] aswRvrt <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswSnx.sys (*** hidden *** ) [SYSTEM] aswSnx <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswSP.sys (*** hidden *** ) [SYSTEM] aswSP <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswTdi.sys (*** hidden *** ) [SYSTEM] aswTdi <-- ROOTKIT !!! Service C:\Windows\system32\drivers\aswVmm.sys (*** hidden *** ) [BOOT] aswVmm <-- ROOTKIT !!! Service C:\Program Files\AVAST Software\Avast\AvastSvc.exe (*** hidden *** ) Te pliki są nieszkodliwe, to składniki Avasta. Dla dokładniejszej analizy przydałyby się jeszcze logi z OTL.
sider5 komentarz 12 października 2013 Autor komentarz 12 października 2013 (edytowane) Prosze bardzo oto skany z programu OTL. A tak na marginesie to nie wiesz co moze powodowac skoki pingu? Bo przed formatem koles od serwisu powiedzial, ze to wirus ktory wchodzil mi na adresy internetowe ktorych nie znalem, i powiedzial, ze zaklocam w ten sposob odbior internetu innym w poblizu, i ze to jest karalne. Gdy pingowalem wp.pl -t to mialem po 2-4 tys. pingu i od czasu do czasu "uplynal limit czasu rzadania". Czy jakis wirus moze to powodowac? A i jeszcze cos na stronce GMERA znalazlem jakies pliki, ktore o ile dobrze wyczytalem pomagaja avastowi zwalczac rootkity. Czy one pomagaja?
Natsuki Kuga komentarz 13 października 2013 komentarz 13 października 2013 A tak na marginesie to nie wiesz co moze powodowac skoki pingu? Najczęściej infekcja, drugim takim powodem może być znaczne obciążenie sieci w godzinach, kiedy dużo osób korzysta z łącza. powiedzial, ze to wirus ktory wchodzil mi na adresy internetowe ktorych nie znalem, i powiedzial, ze zaklocam w ten sposob odbior internetu innym w poblizu, i ze to jest karalne Karalne to by mogło być, jakbyś to robił specjalnie. Ty nawet jeśli miałbyś wirusa, to przecież nie byłoby działanie celowe (mało kto specjalnie infekuje sobie system), na dodatek przecież chcesz jak najszybciej pozbyć się szkodnika z systemu. Moim zdaniem gość chce cię po prostu nastraszyć (tylko nie wiem po co, bo tak jakby z góry zakładał, że chcesz zrobić coś złego). A i jeszcze cos na stronce GMERA znalazlem jakies pliki, ktore o ile dobrze wyczytalem pomagaja avastowi zwalczac rootkity. Czy one pomagaja? Domyślam się, że chodzi ci o to: Avast! antivirus integrated with GMER actively protecting over 170 million PCs aswMBR - antirootkit with avast! AV engine Tu chodzi o narzędzie aswMBR - ono pomaga wykryć rootkity siedzące w MBR, przy okazji wykorzystuje silnik Avasta. ;) Po sprawdzeniu logów Infekcja jednak jest.1. Odinstaluj wymienioną pozycję z Dodaj/usuń programy: metaCrawler2. Wykonaj ten skrypt w OTL: [log] :OTL IE - HKU\S-1-5-21-2174462364-3476653861-2060745326-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=502000241D67298A&affID=121565&tsp=5024 CHR - homepage: http://www.delta-search.com/?babsrc=HP_ss&mntrId=502000241D67298A&affID=121565&tsp=5024 O8:64bit: O8:64bit: :Files C:\Windows\SysWow64\Extensions C:\Windows\SysWow64\searchplugins C:\ProgramData\DSearchLink C:\ProgramData\Babylon C:\Users\pc\AppData\Roaming\Babylon C:\Program Files (x86)\BonanzaDeals C:\Program Files (x86)\metaCrawler C:\Program Files (x86)\BonanzaDealsLive C:\ProgramData\BonanzaDealsLive C:\Users\pc\AppData\Local\BonanzaDealsLive C:\Users\pc\AppData\Roaming\MetaCrawler C:\Windows\tasks\MetaCrawler.job C:\Users\pc\AppData\Local\metacrawler-speeddial.crx [/log] Pokaż raport.3. Użyj AdwCleaner z opcji Usuń. Pokaż raport.4. Pokaż nowe logi z OTL.
sider5 komentarz 14 października 2013 Autor komentarz 14 października 2013 http://www.sendspace.com/file/ybxgza < LInk do skanu ze skryptu, nie moglem dodac jako zalacznik poniewaz wyskoczyl mi Błąd Nie masz uprawnień do wysyłania tego typu plików.
Natsuki Kuga komentarz 16 października 2013 komentarz 16 października 2013 Wykonaj pełny skan MBAMem: http://www.malwarebytes.org/ , pokaż raport.
sider5 komentarz 18 października 2013 Autor komentarz 18 października 2013 Wykonaj pełny skan MBAMem: http://www.malwarebytes.org/ , pokaż raport. Oto raport
Natsuki Kuga komentarz 19 października 2013 komentarz 19 października 2013 Występują jeszcze jakieś problemy? Jeśli nie, podam kroki końcowe.
sider5 komentarz 19 października 2013 Autor komentarz 19 października 2013 Wiesz co, nie jestem pewny bo od czasu do czasu mam lekki skok i przestaje ale to tak z 2 razy dziennie do 400-500 pingu. Ale nie wiem od czego to moze byc moze od avasta czy cos. Nie powiem ze mi to nie przeszkadza bo tak nie jest.. moze to byc przez to ze slucham muzyki online przez grooveshark ale nie jestem pewien czy przez to. Moze masz jakis program notujacy ruch w sieci, taki np. notujacy na jakie stronki moj komputer wchodzi i co mi aktualnie korzysta z internetu.
Natsuki Kuga komentarz 21 października 2013 komentarz 21 października 2013 Spróbuj testowo wyłączyć Avasta, zobacz, czy będzie tak samo. Moze masz jakis program notujacy ruch w sieci, taki np. notujacy na jakie stronki moj komputer wchodzi i co mi aktualnie korzysta z internetu. Wypróbuj Comodo Firewall.
sider5 komentarz 22 października 2013 Autor komentarz 22 października 2013 (edytowane) Ook podaj juz kroki koncowe. Wydaje mi sie ze problem ustapil. A i mam pytanie jeszcze mozesz mi podeslac jakis dobry poradnik do usuwania tych rootkitow zebym na nastepny raz nie musial prosic o pomoc :) A i czy program ktory wyslales MBAM to moge go miec caly czas, nie bedzie sie "zarl" z avastem? Ook podaj juz kroki koncowe. Wydaje mi sie ze problem ustapil. A i mam pytanie jeszcze mozesz mi podeslac jakis dobry poradnik do usuwania tych rootkitow zebym na nastepny raz nie musial prosic o pomoc :) A i czy program ktory wyslales MBAM to moge go miec caly czas, nie bedzie sie "zarl" z avastem? i tem comodo firewall?
Natsuki Kuga komentarz 26 października 2013 komentarz 26 października 2013 A i mam pytanie jeszcze mozesz mi podeslac jakis dobry poradnik do usuwania tych rootkitow zebym na nastepny raz nie musial prosic o pomoc :) Myślę, że to na początek będzie dobre: http://www.gmer.net/#faq http://www2.gmer.net/rootkits.php Zawsze jak będziesz miał wątpliwości, możesz do mnie napisać :) A i czy program ktory wysłałaś MBAM to moge go miec caly czas, nie bedzie sie "zarl" z avastem? i tem comodo firewall? Będzie w porządku, bo Avast to antywirus, MBAM to antymalware, a Comodo to firewall. Po jednym programie z każdego rodzaju, będzie ok. Kroki końcowe: 1. Kliknij Sprzątanie w OTL, Odinstaluj w AdwCleaner.2. Zainstaluj: Dodatek SP1 dla systemu: http://windows.microsoft.com/pl-PL/windows7/learn-how-to-install-windows-7-service-pack-1-sp IE 10: http://windows.microsoft.com/pl-pl/internet-explorer/ie-10-worldwide-languages 3. Opróżnij foldery przywracania systemu: http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry50 To wszystko.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.