Nie potrafię zidentyfikować problemu - proszę o pomoc : )


(Nuclearboogie) #1

Witam wszystkich użytkowników!

Na starcie przepraszam, że tytuł nie przedstawia istoty problemu, ale to dlatego, że już sam nie wiem o co chodzi.

Mam ewidentnie zainfekowany komputer, mimo iż próbowałem wykryć infekcję, choć to zapewne dość amatorskie, czym się da. Malware Bytes, Symantec, Kaspersky online, bootowalna-linux-plyta G DATA i jeszcze kilka innych rzeczy - nic mi nie wykryły.

Objawy są następujące:

po pierwsze, cały czas generuje stały upload na poziomie 5 KB/s - domyślam się, że nieświadomie i masowo dystrybuuję obcojęzyczne listy o powiększaniu penisa itp

po drugie, mam zablokowane wszystkie strony producentów antywirusów, strony microsoftu i pewnie jeszcze wiele innych.

log z hijacka: http://www.wklejto.pl/26224

będę bardzo wdzięczny za pomoc, bo już trochę zwątpiłem.


(huber2t) #2

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Nuclearboogie) #3

dzięki za szybką reakcję, log z combo: http://wklej.eu/index.php?id=373ac8e6a3


(huber2t) #4

Wklej do notatnika:

File::

f:\windows\system32\nqsywzlj.dll


Driver::

lqdtweynd


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lqdtweynd]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 

"AppInit_DLLs"=-

"AppInit_DLLs"=""

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Nuclearboogie) #5

no właśnie w tym jest problem, że nic nie widać :confused:

powyższe rzeczy już robiłem, kaspersky nic nie znajduje


(Hindol) #6

dla mnie podejrzanie wyglądają wpisy :

2006-03-02 12:00 162,060 --sha-r f:\windows\system32\nqsywzlj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=motwir.dll

S2 lqdtweynd;Time System;f:\windows\system32\svchost.exe -k netsvcs [2006-03-02 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

lqdtweynd

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lqdtweynd]

"ServiceDll"="f:\windows\system32\nqsywzlj.dll"

pozatym, czym sprawdzasz wysyłanie danych do sieci (modemy kablowe generują ciągłe obciążenie pakietami ARP, DHCP i paroma innymi, zależnie od dostawcy)

blokada stron producentów - podejrzane :expressionless: , sprawdź ustawienia swojego dns, sprawdź plik c:\WINDOWS\SYSTEM32\drivers\etc\hosts

wszelkie podejrzane linijki wywalić


(Nuclearboogie) #7

co zrobić z tymi podejrzanymi wpisami?

wysyłanie danych sprawdzam CS Fire Monitor - mam astera, i jak komp jest czysty, to tylko raz na kilka sekund w gore mignie jakies kilka bajtów... teraz jest na stałe około 5 KB/s i dam sobie palec uciąć, że to jakieś parszystwo :wink:

hostsa na samym początku sprawdziłem, czysty jest (chyba: http://wklej.eu/index.php?id=4dc74ed232)

thx

-- Dodane 14.02.2009 (So) 14:00 --

dobra, dzięki wszystkim za pomoc - wyrwałem chwasta ;]

(wypierdzielając wszystko, co wymienił hINDUss, jednocześnie chyba ostro uszkadzając system ;] ale już wszystko naprawione, śmiga : ) )


(jessica) #8

To był wirus " Conficker" - przejrzyj:(http://forum.hotfix.pl/viewtopic.php?f=42&t=415

Ponieważ ten "Conficker" jeszcze stale przeszukuje sieć w poszukiwaniu komputerów nie mających zainstalowanej łatki Microsoftu "MS08-067" ("WindowsXP-KB958644-x86-PLK.exe"), by te komputery zarazić, więc zainstaluj tę łatkę albo ze strony Microsoftu, albo stąd: >http://www.speedyshare.com/521477892.html. Jeśli ściągniesz stąd na pulpit, to uruchom tę łatkę poprzez dwuklik.

jessi