Dziwna infekcja. Niekontrolowane rozsyłanie wiadomości


(Khaoss) #1

Witam,

Piszę ponieważ nie mogę sobie poradzić z poniższym problemem. Przejrzałem to forum w szerz i wzdłuż, ale problemu nie udało mi się zlikwidować. Używam programu Norton AntiVirus + Kaspersky Anti-Hacker Firewall. Pewnego dnia zauważyłem, że skaner poczty zaczął wyświetlać na pulpicie okienka skanowanych wiadomości. Zasypało mi cały pulpit. Jakiś robak pomyślałem i wziąłem się za czyszczenie kompa.

Update Nortona + skan, czysto. Update mks_vir online, czysto, Update Ad-aware + skan, jakieś pierdoły. Update Trojan-remover + skan jakieś 3 trojany. Problem zniknął na około miesiąc czasu. Od dwóch dni jednak pojawił się na nowo. Jedyne co blokuje uruchamianie się skanera i rozsyłanie jakichś wiadomości pod przypadkowe adresy to rozłączenie się z siecią lub ustawienie w Kasperskym security level na "Block All", ale to oczywiście jest jednoznaczne z brakiem możliwości korzystania z siecią.

Wykonałem niezbędne update'y i komp wydaje się czysty. Skorzystałem z Windows Worms Door Cleaner i Hijackthis w trybie awaryjnym systemu. Usunąłem podejrzane wpisy. Restart kompa + ponowny skan. Problem nadal występuję. Można go zblokować, ale co kilkanaście minut daje o sobie znać praktycznie uniemożliwiając jakąkolwiek pracę.

Nawet jeśli ten problem się nie pojawia to Kaspersky zgłasza albo blokowanie ataku Helkern, albo SYN flood attack, a nawet coś czego nazwy nie pamiętam... jakieś DDos denied service albo coś w tym stylu.

Przyznam się, że jestem kompletnie zrezygnowany i wizja formatowania staje się co raz bliższa...

Może ktoś podsunie mi jakiś pomysł??

Poniżej załączam świeżutkiego log'a.


(Bbieniol) #2

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Po zabiegach nowy log z Hijacka + log z Silent Runners


(Khaoss) #3

Dzięki za bardzo szybką reakcję i pomoc! W trybie awaryjnym usunąłem wpisy w Hijackthis. Podczas usuwania AppInit_DLLs pojawił się błąd, ale wpis zniknął z loga. Niestety nie odnalazłem żadnych folderów i plików na dysku twardym. Mimo tego, że w przypadku dlgctl32.dll jest podana pełna ścieżka dostępu... Szukałem tych plików wyszukiwarką, ale również nic nie namierzyła. Nie wiem jak to rozumieć.

Poniżej nowy Log z Hijackthis:

A tutaj ze Silent Runner'a


(adam9870) #4

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\system32\ert.dll

Klikasz X czerwony i restart kompa.

Otwórz notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym.

Po wykonaniu pokaż nowy log z Silenta.


(Khaoss) #5

Witam

Piękne dzięki za kolejną podpowiedź !!

OK, wszystko zrobione zgodnie z podaną instrukcją.

Poniżej nowy log z Silent Runner'a


(adam9870) #6

Hmm... start => uruchom => wpisz regedit i kliknij ok => przejdź do lokalizacji:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

i będąc tam skasuj z prawokliku {3E898EEA-FEFA-451b-ACF2-7561F94B1191}

Potem możesz pokazać nowy log z Silenta.


(Khaoss) #7

Dzięki! !!


(Bbieniol) #8

Czysto :slight_smile:

Czy jest jeszcze problem?


(Khaoss) #9

Przed sekundą pojawił się komunikat w Kasperskym - o wykryciu ataku typu Helkern, ale skaner poczty na razie milczy. Dopóki atak jest blokowany z ustawieniem firewall'a na medium to jest OK. Po to jest, żeby blokował :slight_smile: Najważniejsze, że pulpit mam czysty i mogę normalnie działać.

Ogromne dzięki za pomoc! !!


(Bbieniol) #10

Skoro ataki są blokowane, to nie masz się czym przejmować :slight_smile: