Komputer "zoombie". Złapany w bootnet


(DiamondBack) #1

Wczoraj odpaliłem bardzo mało zaufany program, który zakamuflował się w systemie. Wczoraj było ok ale dziś już mam sporo dziwnych połączeń sieciowych. Żaden AV tego syfu nie widzi (skanowałem plik przed uruchomieniem na Virustotal)

screen z net limitera

image_id: 4990

Teraz zainfekowany komputer jest odpięty od sieci dlatego te połączenia nie mają transferu.

Tu logi z OTL ale pewnie to będzie za mało w tym wypadku..

LOG Z OTL

EXTRAS

Logi poprawione.


(Acorus) #2

Odinstaluj Spybot - Search & Destroy,XfireXO Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.

W OTL użyj opcji Sprzątanie.

.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”


(DiamondBack) #3

Spybot wywalony, skrypt wykonany, malware nic nie znalazł.

Problem nadal występuje.


(Acorus) #4

Przeskanuj programem Dr.WEB CureIt http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html


(DiamondBack) #5

Nic nie znalazł. Co mnie wcale nie dziwi, bo jak już pisałem program przed uruchomieniem skanowałem na virustotal z negatywnym wynikiem każdego z programów.

Dodane 28.08.2012 (Wt) 10:46

wrócę do domu to dam loga z combofix, bo otlem, mozna się po jajkach w moim wypadku podrapać a to co mi zostalo podane moglem zrobić Ccleaneram.

Mój komputer jest podpięty do jakiegos bootnetu na bank, bo adresy z którymi mam te połączenia byly juz zglaszane do abuse OVH.


(Krzych Wiel) #6

Wykorzystaj do pomocy skaner KillSwitch z zestawu CCE. Do pobrania z http://forums.comodo.com/polski-polish/ … #msg573032

Sposób obsługi skanera KillSwitch - http://forums.comodo.com/polski-polish/ … #msg572843


(DiamondBack) #7

Jako, że żaden z w/w programów nic nie pomógł - a dziś znów miałem pełno połączeń wychodzących z dziwnymi serwerami OVH daję log z Combofix.

http://wklej.org/hash/eee5b8e9e3f/


(Krzych Wiel) #8

Zainstaluj na początek zaporę comodo - http://www.dobreprogramy.pl/Comodo-Pers … 20399.html

Wybierz -> Ustawienia zachowania zapory -> zaawansowane i zaznacz wszystkie pozycje.

Zablokuj wszystkie żądania oznaczone na czerwono.

Wykonaj pełny skan za pomocą CCE, wersja musi być odpowiednia do zainstalowanego systemu, http://forums.comodo.com/polski-polish/ … #msg573032