Dużo nieznanych połączeń (incomming), zwolniona praca kompa


(Joanfedu) #1

Cześć,

mam nadzieję, że tu znajdę pomoc, bo próbowałam już wszystkich znanych mi sposobów...

Podejrzewam, że mój komputer złapał jakieś trojany albo wirusy....

Zaczęło się od tego, że Avast burzył mi się o plik rwchw.sys w C:\Windows\System32\drivers - niby go usunął ale po restarcie plik wracał.

Wymieniłam Avasta na ArcaVira, włączyłam w nim firewalla ale wciąż mam niezidentyfikowane połączenia przy wyłączonych wszystkich programach internetowych (więcej ściąga niż wysyła) - netstat wypluwa zawsze ich dobrych kilkadziesiąt albo i kilkaset - identyfikuje jako połączenia Arcavira, Services.exe, svchost.exe itp. Podobnie monitor połączeń ArcaVirowego firewalla nic z nimi nie robi :frowning: Wydaje mi się, że rozpoznaje te połączenia jako generowane przez procesy systemowe.

Skanowałam ArcaVirem, Ad-awarem i Spy doctorem i żadnego świństwa nie znalazło.

Wczoraj - po kilku dniach takiego zachowania i po wcześniejszych bezproblemowych skanowaniach antywirusowych znalazło mi trojana Bredolab - niby go usunęło. W rejestrze znalazłam też kilka dziwnych wpisów np. siszyd32.exe, a.exe itp - powywalałam ze wszystkich mi znanych miejsc ale dalej ten ruch w sieci... Podejrzewam, że te dwa ostatnie trojany były ściągnięte przez jakiegoś Trojan Downloadera --> czyli usunęłam jedną z konsekwencji ale nie przyczynę.

Załączam logi z OTLa.

http://www.wklejto.pl/51794


(jessica) #2

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\rwchw.sys

C:\Documents and Settings\ITK01\Dane aplikacji\avdrn.dat


Drivers to delete:

rwchw

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

jessi


(Joanfedu) #3

Chyba rzeczywiście pomogło:)

W trakcie wykonywania tego polecenia przez avangera arcavir znalazł jakiegoś trojana i go wykasował.

Potem wszystko zakończone poprawnie i restart.

Log z avangera:

http://wklejto.pl/51798


(jessica) #4

Miejmy nadzieję, że tak jest rzeczywiście.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Joanfedu) #5

Przywracanie systemu wyłączyłam wcześniej - przed usunięciem avangerem.

Teraz będę obserwować, czy już jest ok, czy dalej coś w tle śmieci i jakby coś dam znać.

-- Dodane 29.12.2009 (Wt) 15:03 --

Chyba jednak nie jest całkiem ok ;(

Niby nie generuje mi już tylu połączeń, ale dalej zachowuje się trochę dziwnie np. tak jakby blokował dostęp do niektórych plików systemowych . Pełne skany antywirusowe i anty spywarowe oczywiście nic nie wykrywają.

No i dziwnie mi wyglądają niektóre pliki/wpisy, które jeszcze znalazłam modyfikowane w ostatnich dniach np.

  • fvgqad.dat w Danych aplikacji

albo w C:\Windows\system32: wpa.dbl, PerfStringBackup.ini, perfh015.dat, perfh019.dat, perfc015.dat, perfc009.dat

Niestety instalowałam w ostatnich dniach trochę narzędzi diagnostycznych, firewalle, nowego antywira i nie wiem, czy te wpisy są normalne czy to pozostałości szkodników.

Może powinnam wygenerować logi z jakiejś aplikacji diagnostycznej z konkretnymi parametrami?

-- Dodane 29.12.2009 (Wt) 18:06 --

No to przeskanowałam jeszcze raz system OTLem po ustawieniu MOdules i Processes na All i z parametrami:

%systemdrive%*.exe

%systemdrive%\eventlog.dll /s /md5

%systemdrive%\scecli.dll /s /md5

%systemdrive%\netlogon.dll /s /md5

%systemdrive%\cngaudit.dll /s /md5

%systemdrive%\sceclt /s /md5

Czy mógłby ktoś rzucić okiem, co jeszcze wygląda tam nieładnie?

http://wklejto.pl/51853