Nie potrafię zidentyfikować problemu - proszę o pomoc : )

roman_boryczko · 13 Luty 2009 21:25

Witam wszystkich użytkowników!

Na starcie przepraszam, że tytuł nie przedstawia istoty problemu, ale to dlatego, że już sam nie wiem o co chodzi.

Mam ewidentnie zainfekowany komputer, mimo iż próbowałem wykryć infekcję, choć to zapewne dość amatorskie, czym się da. Malware Bytes, Symantec, Kaspersky online, bootowalna-linux-plyta G DATA i jeszcze kilka innych rzeczy - nic mi nie wykryły.

Objawy są następujące:

po pierwsze, cały czas generuje stały upload na poziomie 5 KB/s - domyślam się, że nieświadomie i masowo dystrybuuję obcojęzyczne listy o powiększaniu penisa itp

po drugie, mam zablokowane wszystkie strony producentów antywirusów, strony microsoftu i pewnie jeszcze wiele innych.

log z hijacka: http://www.wklejto.pl/26224

będę bardzo wdzięczny za pomoc, bo już trochę zwątpiłem.

huber2t · 13 Luty 2009 21:35

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

roman_boryczko · 13 Luty 2009 21:52

dzięki za szybką reakcję, log z combo: http://wklej.eu/index.php?id=373ac8e6a3

huber2t · 13 Luty 2009 22:02

Wklej do notatnika:

File::

f:\windows\system32\nqsywzlj.dll


Driver::

lqdtweynd


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lqdtweynd]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 

"AppInit_DLLs"=-

"AppInit_DLLs"=""

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

roman_boryczko · 13 Luty 2009 22:06

no właśnie w tym jest problem, że nic nie widać

powyższe rzeczy już robiłem, kaspersky nic nie znajduje

hINDUss · 13 Luty 2009 23:02

dla mnie podejrzanie wyglądają wpisy :

2006-03-02 12:00 162,060 --sha-r f:\windows\system32\nqsywzlj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

“AppInit_DLLs”=motwir.dll

S2 lqdtweynd;Time System;f:\windows\system32\svchost.exe -k netsvcs [2006-03-02 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

lqdtweynd

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lqdtweynd]

“ServiceDll”=“f:\windows\system32\nqsywzlj.dll”

pozatym, czym sprawdzasz wysyłanie danych do sieci (modemy kablowe generują ciągłe obciążenie pakietami ARP, DHCP i paroma innymi, zależnie od dostawcy)

blokada stron producentów - podejrzane , sprawdź ustawienia swojego dns, sprawdź plik c:\WINDOWS\SYSTEM32\drivers\etc\hosts

wszelkie podejrzane linijki wywalić

roman_boryczko · 13 Luty 2009 23:44

co zrobić z tymi podejrzanymi wpisami?

wysyłanie danych sprawdzam CS Fire Monitor - mam astera, i jak komp jest czysty, to tylko raz na kilka sekund w gore mignie jakies kilka bajtów… teraz jest na stałe około 5 KB/s i dam sobie palec uciąć, że to jakieś parszystwo

hostsa na samym początku sprawdziłem, czysty jest (chyba: http://wklej.eu/index.php?id=4dc74ed232 )

thx

– Dodane 14.02.2009 (So) 14:00 –

dobra, dzięki wszystkim za pomoc - wyrwałem chwasta ;]

(wypierdzielając wszystko, co wymienił hINDUss, jednocześnie chyba ostro uszkadzając system ;] ale już wszystko naprawione, śmiga : ) )

jessica · 14 Luty 2009 17:31

To był wirus " Conficker" - przejrzyj:(http://forum.hotfix.pl/viewtopic.php?f=42&t=415

Ponieważ ten “Conficker” jeszcze stale przeszukuje sieć w poszukiwaniu komputerów nie mających zainstalowanej łatki Microsoftu “MS08-067” (“WindowsXP-KB958644-x86-PLK.exe”), by te komputery zarazić, więc zainstaluj tę łatkę albo ze strony Microsoftu, albo stąd: >http://www.speedyshare.com/521477892.html. Jeśli ściągniesz stąd na pulpit, to uruchom tę łatkę poprzez dwuklik.

jessi