Atak spyware

Dla specjalistów Bezpieczeństwo
#1

Dzisiaj na noc zostawiłem właczone pobieranie, rano przychodze i chce wejść do systemu, ale nie moge wpisać hasła (zawsze blokuje komputer zeby nikt nie grzebał)

Nie wchodzi litera “w”, nie działa backspace…

Dobra, po resecie działa, ale w firewallu (mks 2005) jest kupa połączeń procesu IEXPLORE.EXE do jakichś dziwnych adresów IP.

Zapuszczam ad-aware - nic

Zapuszczam mks vira na cały dysk C, znalazł jakiś Spyware.Delf… i jakichś dll który miał w nazwie wykrytego wirusa też słowo Delf (bodajże Trojan.Delf…)

Wywaliłem wszystko, restart OK, myśle że czysto.

Łacze sie z netem i proces IEXPLORE.EXE nie wysyła już nic, ale przy samym połaczeniu proces svchost.exe próbował coś wysłać do około 20 adresów IP, teraz sie uspokoiło.

Widze, że mam pozmieniane ustawienia klawiatury, np. prędkość migania kursora…

Wirusa niby wywaliłem, ale ciągle coś sie wysyła, czyli ciągle coś mam…

Adresy IP: 193.219.28.100 do końcówki 193.219.28.255 - ale nie wszystkie. To po wywaleniu wirusa było już, a przed wywaleniem też wysyłał, ale do przeróżnych adresów IP…

Log:

Widze, że przy ponownym połączeniu svchost coś wysyła do loopbacka, a potem do tych adresów IP… ciągle mam tego wirusa.

#2

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Możesz kosmetycznie ciachnąć HJT.

Możesz przeskanować http://www.ewido.net/en/ lub http://www.kaspersky.pl/virusscanner.html i wkleić raport plus log z SilentRunners.

#3

WWDC użyłem już dawno temu (zaraz po instalce systemu) i mam te porty pozamykane.

Wirus jednak jakoś sie dostał i ciągle jest i ciągle coś wysyła do internetu.

Zaraz dam loga ze slient runners

EDIT:

Slient runners:

Jak mówiłem miałem pozmieniane ustawienia klawiatury, więc możliwe że ktoś sie bawił moim kompem i możliwe że nadal sie bawi…

#4

Nic szkodliwego nie widzę.

Gdzie raport z ewido lub kasperskiego? Przy okazji możesz pokazać jeszcze log z Comboscan i dwa logi z Gmer’a wykonane przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.

http://forum.dobreprogramy.pl/viewtopic.php?t=96929

#5

Tak sie tylko wydaje, właśnie przed chwila mks wykrył że jakiś plik z wirusem utwarzał sie w katalogu temp internet explorera, znowu poszła porcja danych na te adresy IP co dałem…

Robie skan gmerem, comboscan niemoge pobrać, pokazuje brak pliku.

Link do ewido prowadzi do jakiegoś AVG AntiSpyware - to ten?

PS: Przed sekundą ściągnęły sie te pliki, które wywaliłem wcześniej (spyware.delf.lh)

PS2: Teraz jakiś proces guard.exe - niemoge ubić, odmowa dostępu…

Wszystko w szybkim tępie zmierza ku formatowi…

EDIT:

Szybciej zrobie format niż to wszystko ściągne, zeskanuje i powywalam (a jutro to wróci)…

Przed chwilą ściągnął mi sie znowu ten Delf-cośtam ale pod jakąś nową inną nazwą…

Szkoda mi nerwów na tą walke z wirusami, która i tak prawdopodobnie skończy sie wiadomo czym…

EDIT2:

Zmasowany atak wirusów, chyba gdzieś z wnętrza systemu, teraz znowu jakiś wimadap.exe sie właczył… robie format, bo jak sie beda moje dane wysyłać gdzieś do intenetu to raczej nie bedzie fajnie…

PS: Chyba przyznam racje przeciwnikom windowsa - windows jest dzurawy jak ser szwajcaski.

To coś dostało sie samo do regularnie aktualizowanego systemu…

Jakby na linuxie działały gry… to może bym sie przesiadł.

PS2: A to jest strona na którą wirus usiłuje coś wysłać… http://193.219.28.111/

#6

Masz racje. Ktoś się zabawia twoim kompem.

Przeskanuj kompa dokładniej, Najlepiej zainstaluj sobie jeszcze Visual Shock Keylogger. On na starcie Ci powie, czy na twoim kompie znajdują się keyloggery. Podejżewam, że nie masz Neostrady, bo z nią by nie było takiego problemu, modem automatycznie przy resecie systemu zmienia ip. Co do przesiadki, przecież możesz instalować patche do linuxa, nie ??

No wiesz, żeby gry chulały =P