Komputer "zoombie". Złapany w bootnet

DiamondBack · 27 Sierpień 2012 16:47

Wczoraj odpaliłem bardzo mało zaufany program, który zakamuflował się w systemie. Wczoraj było ok ale dziś już mam sporo dziwnych połączeń sieciowych. Żaden AV tego syfu nie widzi (skanowałem plik przed uruchomieniem na Virustotal)

screen z net limitera

Teraz zainfekowany komputer jest odpięty od sieci dlatego te połączenia nie mają transferu.

Tu logi z OTL ale pewnie to będzie za mało w tym wypadku…

LOG Z OTL

EXTRAS

Logi poprawione.

Acorus · 27 Sierpień 2012 17:07

Odinstaluj Spybot - Search & Destroy,XfireXO Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKLM…\SearchScopes{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157 IE - HKU\S-1-5-21-2863682368-140912018-1272741051-1001…\SearchScopes{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157 [2012-03-04 15:40:58 | 000,000,000 | —D | M] (XfireXO Community Toolbar) – C:\Users\DiamondBack\AppData\Roaming\mozilla\Firefox\Profiles\i1iw50dx.default\extensions{5e5ab302-7f65-44cd-8211-c1d4caaccea3} O3 - HKU\S-1-5-21-2863682368-140912018-1272741051-1001…\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta … s-i586.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) :Commands [emptytemp] [resethosts]

Kliknij Wykonaj skrypt.

W OTL użyj opcji Sprzątanie.

.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”

DiamondBack · 27 Sierpień 2012 17:39

Spybot wywalony, skrypt wykonany, malware nic nie znalazł.

Problem nadal występuje.

Acorus · 27 Sierpień 2012 18:38

Przeskanuj programem Dr.WEB CureIt http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

DiamondBack · 27 Sierpień 2012 19:13

Nic nie znalazł. Co mnie wcale nie dziwi, bo jak już pisałem program przed uruchomieniem skanowałem na virustotal z negatywnym wynikiem każdego z programów.

– Dodane 28.08.2012 (Wt) 10:46 –

wrócę do domu to dam loga z combofix, bo otlem, mozna się po jajkach w moim wypadku podrapać a to co mi zostalo podane moglem zrobić Ccleaneram.

Mój komputer jest podpięty do jakiegos bootnetu na bank, bo adresy z którymi mam te połączenia byly juz zglaszane do abuse OVH.

miki25 · 28 Sierpień 2012 16:52

Wykorzystaj do pomocy skaner KillSwitch z zestawu CCE. Do pobrania z http://forums.comodo.com/polski-polish/ … #msg573032

Sposób obsługi skanera KillSwitch - http://forums.comodo.com/polski-polish/ … #msg572843

DiamondBack · 5 Wrzesień 2012 18:58

Jako, że żaden z w/w programów nic nie pomógł - a dziś znów miałem pełno połączeń wychodzących z dziwnymi serwerami OVH daję log z Combofix.

http://wklej.org/hash/eee5b8e9e3f/

miki25 · 6 Wrzesień 2012 19:54

Zainstaluj na początek zaporę comodo - http://www.dobreprogramy.pl/Comodo-Pers … 20399.html

Wybierz -> Ustawienia zachowania zapory -> zaawansowane i zaznacz wszystkie pozycje.

Zablokuj wszystkie żądania oznaczone na czerwono.

Wykonaj pełny skan za pomocą CCE, wersja musi być odpowiednia do zainstalowanego systemu, http://forums.comodo.com/polski-polish/ … #msg573032