x-kom hosting

[Rozwiązany] Dylemat dotyczacy antywirusa oraz problem dot. pewnego wirusa.

sider5
utworzono
utworzono

Witam.
Moze zaczne od poczatku aby przedstawic dokladnie sytuacje.
Jakis czas temu dokladnie z 3 miesiace podlapalem nie wiadomo skad jakiegos syfa, ktory powodowal wysokie skoki pingu pod wieczor i po poludniu (rano nie) nie tylko u mnie ale tez u innych. Dostawca internetu pierw stwierdzil, ze jest to wina przegladarki gdyz tak to wygladalo. Po kilkudniowych testach ze strony dostawcy uznali, ze mam pewnego rodzaju trojana, ktory byl na win xp i sie dziwil dlaczego zlapalem to na 64x bitowy system. I to moje pytania: Jaki antywirus wybrac na tego typu syfy nod? avast? czy cos innego(pieniadze tutaj nie graja az takiej roli, aby antywirus byl dobry). Zaznacze jeszcze, ze dostawca, ktory takze naprawia komputery sformatowal i za pierwszym razem nie udalo sie usunac wirusa i gosciu od serwisu powiedzial, ze wirus schowal sie miedzy partycjami. I tu pytam, bo zgralem pliki(zdjecia itp.) na pendrive i karty pamieci i nie wiem co z tym zrobic bo sie boje, ze ten wirus przeszedl takze na te pendrive'y i co ja mam z nimi zrobic? Podlaczyc pod pc i przeskanowac bo koles mowil, ze to na wlasne ryzyko czy moze na innym komputerze ktorego nie uzywam? No i jak sie dobrze zabezpieczyc przed tymi syfami?


Up

Youki
komentarz
komentarz

Jak wirus był na innej partycji to wiadomo, że formatowanie jednej nic nie da. 

Prawda jest taka, że nawet najlepszy antywirus nie jest w stanie wykryć wszystkich wirusów i ich pochodne. ;)

Natsuki Kuga
komentarz
komentarz

I tu pytam, bo zgralem pliki(zdjecia itp.) na pendrive i karty pamieci i nie wiem co z tym zrobic bo sie boje, ze ten wirus przeszedl takze na te pendrive'y i co ja mam z nimi zrobic? Podlaczyc pod pc i przeskanowac bo koles mowil, ze to na wlasne ryzyko czy moze na innym komputerze ktorego nie uzywam?

 

Zapoznaj się z tym tematem: http://www.forumpc.pl/topic/277786-nieingerencyjne-narzedzia-do-tworzenia-logow-systemowych/#entry1683581 i pokaż zestaw logów z OTL + Gmer.

 

 

Po kilkudniowych testach ze strony dostawcy uznali, ze mam pewnego rodzaju trojana, ktory byl na win xp i sie dziwil dlaczego zlapalem to na 64x bitowy system.

 

Ciekawi mnie, jak to wywnioskowali? Ktoś przychodził od dostawcy, czy analizowali ruch pakietów (ruch sieciowy) przechodzący przez twój komputer? (swoją drogą, trzeba być naprawdę oblatanym w temacie bezpieczeństwa, żeby tak sobie wywnioskować, co to dokładnie za wirus, a u ISP raczej ciężko kogoś takiego spotkać..) Win XP był głównie 32-bitowy (bo x64 to jakieś nieporozumienie), Windows 7 x64 ma kompatybilność wstecz z platformą x86, więc nie ma problemu żeby podmontować szkodnika, taki będzie widoczny w menedżerze zadań z dopiskiem *32 przy nazwie procesu.

 

gosciu od serwisu powiedzial, ze wirus schowal sie miedzy partycjami

Miejsce między partycjami, w którym może zagnieździć się wirus, to tak właściwie może być tylko MBR (zakładając, że nie masz miejsca nieprzydzielonego dla żadnej z partycji), a rootkita MBR na pewno nie wykryje się od tak podczas skanu antywirusem.

sider5
komentarz
komentarz (edytowane)

Najdziwniejsze jest to, ze wirus "wlaczal sie" o okreslonym czasie tzn. wieczorem lub po poludniu. Rano ping byl czysty i nie ruszony. No i jeszcze cos bo zrobilem tego formata i czasem gdy pinguje powiedzmy wp.pl -t to wyskakuje mi uplynal limit czasu zadania czy cos takiego. 

Natsuki Kuga

 chodzi Ci o np. chrome.exe *32, NvTmru *32 i inne? bo u mnie kilka procesow ma zakonczenie *32


Zakonczylem skanowanie i wyskoczylo mi, ze prawdopodobnie posiadam rootkit'a. W zalaczniku skan programem GMER

Natsuki Kuga
komentarz
komentarz

chodzi Ci o np. chrome.exe *32, NvTmru *32 i inne? bo u mnie kilka procesow ma zakonczenie *32

 

Tak.

 

Gmer prawdopodobnie wykrył to:

 

 

Service   C:\Windows\system32\drivers\aswFsBlk.sys (*** hidden *** )                                                                                                          [AUTO] aswFsBlk                                                                                                                                      <-- ROOTKIT !!!
Service   C:\Windows\system32\drivers\aswMonFlt.sys (*** hidden *** )                                                                                                         [AUTO] aswMonFlt                                                                                                                                     <-- ROOTKIT !!!
Service   C:\Windows\System32\Drivers\aswrdr2.sys (*** hidden *** )                                                                                                           [SYSTEM] aswRdr                                                                                                                                      <-- ROOTKIT !!!
Service   C:\Windows\system32\drivers\aswRvrt.sys (*** hidden *** )                                                                                                           [BOOT] aswRvrt                                                                                                                                       <-- ROOTKIT !!!
Service   C:\Windows\system32\drivers\aswSnx.sys (*** hidden *** )                                                                                                            [SYSTEM] aswSnx                                                                                                                                      <-- ROOTKIT !!!
Service   C:\Windows\system32\drivers\aswSP.sys (*** hidden *** )                                                                                                             [SYSTEM] aswSP                                                                                                                                       <-- ROOTKIT !!!
Service   C:\Windows\system32\drivers\aswTdi.sys (*** hidden *** )                                                                                                            [SYSTEM] aswTdi                                                                                                                                      <-- ROOTKIT !!!
Service   C:\Windows\system32\drivers\aswVmm.sys (*** hidden *** )                                                                                                            [BOOT] aswVmm                                                                                                                                        <-- ROOTKIT !!!
Service   C:\Program Files\AVAST Software\Avast\AvastSvc.exe (*** hidden *** )

 

 

Te pliki są nieszkodliwe, to składniki Avasta.

 

Dla dokładniejszej analizy przydałyby się jeszcze logi z OTL.

sider5
komentarz
komentarz (edytowane)

Prosze bardzo oto skany z programu OTL. A tak na marginesie to nie wiesz co moze powodowac skoki pingu? Bo przed formatem koles od serwisu powiedzial, ze to wirus ktory wchodzil mi na adresy internetowe ktorych nie znalem, i powiedzial, ze zaklocam w ten sposob odbior internetu innym w poblizu, i ze to jest karalne. Gdy pingowalem wp.pl -t to mialem po 2-4 tys. pingu i od czasu do czasu "uplynal limit czasu rzadania". Czy jakis wirus moze to powodowac? A i jeszcze cos na stronce GMERA znalazlem jakies pliki, ktore o ile dobrze wyczytalem pomagaja avastowi zwalczac rootkity. Czy one pomagaja?

Natsuki Kuga
komentarz
komentarz

A tak na marginesie to nie wiesz co moze powodowac skoki pingu?

 

Najczęściej infekcja, drugim takim powodem może być znaczne obciążenie sieci w godzinach, kiedy dużo osób korzysta z łącza.

 

 

powiedzial, ze to wirus ktory wchodzil mi na adresy internetowe ktorych nie znalem, i powiedzial, ze zaklocam w ten sposob odbior internetu innym w poblizu, i ze to jest karalne

 

Karalne to by mogło być, jakbyś to robił specjalnie. Ty nawet jeśli miałbyś wirusa, to przecież nie byłoby działanie celowe (mało kto specjalnie infekuje sobie system), na dodatek przecież chcesz jak najszybciej pozbyć się szkodnika z systemu. Moim zdaniem gość chce cię po prostu nastraszyć (tylko nie wiem po co, bo tak jakby z góry zakładał, że chcesz zrobić coś złego).

 

 

A i jeszcze cos na stronce GMERA znalazlem jakies pliki, ktore o ile dobrze wyczytalem pomagaja avastowi zwalczac rootkity. Czy one pomagaja?

 

Domyślam się, że chodzi ci o to:

 

 

 

Avast! antivirus integrated with GMER
actively protecting over 170 million PCs

 

aswMBR - antirootkit with avast! AV engine

 

 

Tu chodzi o narzędzie aswMBR - ono pomaga wykryć rootkity siedzące w MBR, przy okazji wykorzystuje silnik Avasta. ;)

 

Po sprawdzeniu logów

 

Infekcja jednak jest.

1. Odinstaluj wymienioną pozycję z Dodaj/usuń programy: metaCrawler

2. Wykonaj ten skrypt w OTL:
[log]
:OTL
IE - HKU\S-1-5-21-2174462364-3476653861-2060745326-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=502000241D67298A&affID=121565&tsp=5024
CHR - homepage: http://www.delta-search.com/?babsrc=HP_ss&mntrId=502000241D67298A&affID=121565&tsp=5024
O8:64bit:
O8:64bit:

:Files
C:\Windows\SysWow64\Extensions
C:\Windows\SysWow64\searchplugins
C:\ProgramData\DSearchLink
C:\ProgramData\Babylon
C:\Users\pc\AppData\Roaming\Babylon
C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\metaCrawler
C:\Program Files (x86)\BonanzaDealsLive
C:\ProgramData\BonanzaDealsLive
C:\Users\pc\AppData\Local\BonanzaDealsLive
C:\Users\pc\AppData\Roaming\MetaCrawler
C:\Windows\tasks\MetaCrawler.job
C:\Users\pc\AppData\Local\metacrawler-speeddial.crx
[/log]
Pokaż raport.

3. Użyj AdwCleaner z opcji Usuń. Pokaż raport.

4. Pokaż nowe logi z OTL.
 

sider5
komentarz
komentarz

http://www.sendspace.com/file/ybxgza < LInk do skanu ze skryptu, nie moglem dodac jako zalacznik poniewaz wyskoczyl mi Błąd Nie masz uprawnień do wysyłania tego typu plików. 

Natsuki Kuga
komentarz
komentarz

Wykonaj pełny skan MBAMem: http://www.malwarebytes.org/ , pokaż raport.

sider5
komentarz
komentarz

Wykonaj pełny skan MBAMem: http://www.malwarebytes.org/ , pokaż raport.

Oto raport 

Natsuki Kuga
komentarz
komentarz

Występują jeszcze jakieś problemy? Jeśli nie, podam kroki końcowe.

sider5
komentarz
komentarz

Wiesz co, nie jestem pewny bo od czasu do czasu mam lekki skok i przestaje ale to tak z 2 razy dziennie do 400-500 pingu. Ale nie wiem od czego to moze byc moze od avasta czy cos. Nie powiem ze mi to nie przeszkadza bo tak nie jest.. moze to byc przez to ze slucham muzyki online przez grooveshark ale nie jestem pewien czy przez to. Moze masz jakis program notujacy ruch w sieci, taki np. notujacy na jakie stronki moj komputer wchodzi i co mi aktualnie korzysta z internetu.

Natsuki Kuga
komentarz
komentarz

Spróbuj testowo wyłączyć Avasta, zobacz, czy będzie tak samo.

 

 

Moze masz jakis program notujacy ruch w sieci, taki np. notujacy na jakie stronki moj komputer wchodzi i co mi aktualnie korzysta z internetu.

 

Wypróbuj Comodo Firewall.

sider5
komentarz
komentarz (edytowane)

Ook podaj juz kroki koncowe. Wydaje mi sie ze problem ustapil. A i mam pytanie jeszcze mozesz mi podeslac jakis dobry poradnik do usuwania tych rootkitow zebym na nastepny raz nie musial prosic o pomoc :) A i czy program ktory wyslales MBAM to moge go miec caly czas, nie bedzie sie "zarl" z avastem?


Ook podaj juz kroki koncowe. Wydaje mi sie ze problem ustapil. A i mam pytanie jeszcze mozesz mi podeslac jakis dobry poradnik do usuwania tych rootkitow zebym na nastepny raz nie musial prosic o pomoc :) A i czy program ktory wyslales MBAM to moge go miec caly czas, nie bedzie sie "zarl" z avastem?

i tem comodo firewall?

Natsuki Kuga
komentarz
komentarz

A i mam pytanie jeszcze mozesz mi podeslac jakis dobry poradnik do usuwania tych rootkitow zebym na nastepny raz nie musial prosic o pomoc :)

 

Myślę, że to na początek będzie dobre:

http://www.gmer.net/#faq

http://www2.gmer.net/rootkits.php

Zawsze jak będziesz miał wątpliwości, możesz do mnie napisać :)

 

 

A i czy program ktory wysłałaś MBAM to moge go miec caly czas, nie bedzie sie "zarl" z avastem?

i tem comodo firewall?

 

Będzie w porządku, bo Avast to antywirus, MBAM to antymalware, a Comodo to firewall. Po jednym programie z każdego rodzaju, będzie ok.

 

Kroki końcowe:

 

1. Kliknij Sprzątanie w OTL, Odinstaluj w AdwCleaner.

2. Zainstaluj:

3. Opróżnij foldery przywracania systemu: http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry50

 

To wszystko.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.