Laptop wysyła pakiety Muli internet

Dla specjalistów Bezpieczeństwo
#1

moze ktoś zajrzęć w tego loga ? http://www.wklejto.pl/70167 mam kłopot po podlaczeniu do domowej sieci laptopa wysyla on mnostwo pakietów do sieci przez co dziala tylko gg i to nie zawsze a stronki wczytuja sie bez konca… co uniemozliwia calkowicie ich przegladanie Czy w logu coś widać ? co wysyła te pakiety ? z czego mały ułamek ich wraca… kaspersky nic nie wykrywa #-o ![-o<

#2

Niezbyt dobrze to wygląda.

Jest półRootkit, są podstawione pliki, udające pliki Microsoftu, jest widoczna usługa atapi, co sugeruje możliwość obecności Rootkita TDS, są pliki Systemowe, które zostały zmodyfikowane w chwili rozpoczęcia infekcji, i nie ma pewności, że Kaspersky je naprawił.

Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL.

Podaj wyniki.

  1. Użyj TDSKiller >http://support.kaspersky.com/pl/faq/?qid=208280681

Daj z niego raport

  1. Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

c:\windows\system32\drivers\qvjoyj.sys

c:\windows\system32\dllcache\lbrtfdc.sys

c:\windows\system32\drivers\lbrtfdc.sys

c:\windows\system32\dllcache\i2omgmt.sys

c:\windows\system32\drivers\i2omgmt.sys

c:\windows\system32\dllcache\changer.sys

c:\windows\system32\drivers\changer.sys

c:\documents and settings\LocalService\Dane aplikacji\vqdlkr.dat

c:\documents and settings\LocalService\Dane aplikacji\qvjsge.dat


Registry keys to delete:

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qvjoyj


Drivers to delete:

qvjoyj

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

  1. Daj log z OTL , bo ComboFix nie pokazuje nawet wersji ServicePack.

Log zrób na dodatkowym ustawieniu:

W pole Custom Scans/Fixes wklej:

i dopiero wtedy kliknij “Run Scan”.

jessi

#3
  1. Więc tak - VIRUSTOTAL - nie chciał coś ruszyć… “Nie udało się nawiązać połączenia”

Więc użyłem JOTTI/

i tutaj, 1-szego pliku nie znalazłem już w systemie…

reszta scanu poza ostatnim wyjątkiem (patrz niżej) - Pozytywnie…

przy ostatnim pliku Parport.sys wyskakiwało info. plik pusty 0KB nie było czego przesłać na serwer, takze brak z niego testu…

  1. Log z TDSKiller http://www.wklejto.pl/70313

  2. Raport z Avenger’a http://www.wklejto.pl/70314

  3. Log OTL http://www.wklejto.pl/70315

extras OTL http://www.wklejto.pl/70316

Także czekam na ewentualne wytyczne… :wink: dzięki serdeczne i pozdrawiam… :-({|=

BTW - ciekawie opisane podpunkty - sprawdź, kliknij, użyj, ściągnij, daj… :x [-X

#4 
1-szego pliku nie znalazłem już w systemie..

A w logu jest:

[2010-06-03 18:04:13 | 000,000,002 | RHS- | M] () – C:\WINDOWS\winstart.bat

Daję go do usuwania.

A w logu widać, że ma rozmiar:

Poza tym:

W raporcie TDSKiller:

Jak widać, MD5 jest rozpoznawalne, a w logu OTL:

jest napisane, że MD5 jest nierozpoznawalne.Jest tez jakiś plik .bak.

Ściągnij plik “parport.sys” stąd>http://www.speedyshare.com/files/23004772/parport.sys, i umieść go bezpośrednio na dysku C:\

Potem:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Na Forum nie ma miejsca na grzeczności, najlepiej zwracać się bezpośrednio.

jessi

#5

Dziwne, bo nie widzialem go nawet w ukrytych plikach jak i w search tez go na hdd nie lokalizowalo…

Tego z “bak” tez widzialem i probowalem wrzucic na JOTTI/ ale to samo fiasko co z sys czyli 0KB…

Tym razem ruszył virustotal i po załadowaniu parport wskakuje podobnie co JOTT…

Kolejna gafa to plik od Ciebie ze speedyshare nie moglem go pobrać na dysk Niby sie zapisywal ale nie moglem go zlokalizowac “po”. Wiec pobralem z komputera z obok pokoju i przynioslem na pendrivie i tez zonk… nie mozna skopiowac pliku coś o zrodle itp… udalo sie w awaryjnym :slight_smile: i wyladowal w koncu na C:\

Ale do meritum - Podaje raport z usuwania http://www.wklejto.pl/70345c + nowy log z OLT http://www.wklejto.pl/70343

co widać?

i mały offtop

ps. musze stwierdzić iż mógłbym doznawać codziennie takiego typu niegrzeczności… :smiley: a co do bezposredniości to jestem za tym aby korzystać z niej i poza forum :stuck_out_tongue:

coraz bardziej podobają mi sie owe niegrzeczności, proszę zatem kontynuować… :biggrin:

#6

Nie udało się.

Spróbuj podmienić przy pomocy Replacer’a: >http://www.searchengines.pl/Replacer-t89288.html

jessi

#7

nie można zmienić atrybutu… :frowning:

jednak F8, - awaryjny i poszło… Completed :D/

btw: po co to w ogóle czyniliśmy ?

…coś dalej mój O:) ?? :smiley:

#8

Po to, by pozbyć się tego pliku podstawionego przez infekcję, który tylko z nazwy udawał plik Microsoftu, ale w ogóle nie był podobny do prawidłowego pliku, miał rozmiar prawie 10 razy większy od dobrego pliku.

Chyba, że chciałbyś mieć dalej ten plik infekcji w komputerze? :slight_smile: :slight_smile: :slight_smile:

jessi

#9

Nie no, jakakolwiek forma infekcji jest niewskazana… hyhy Jednak to nie mój laptok więc moze jakos jej skutki bym przezyl… no ale fajnie ze chyba koniec koncem wszystko sie udało ? skoro nie slysze dalszych wytycznych…Pakiety podobno juz przed zalozeniem wątku przestały sie mnożyć jak chinskie dzieci Nawet jakby nie udało sie nic zrobić to jestem zobowiazany za przemiłe towarzystwo, czy dobrze odczytuje - damy?

Niestety nie bardzo mam jak sie zrewanżować… oczywiście nie infekcją :slight_smile: więc bije brawo =D> i składam pokłony ![-o<