Witam,

Program Kaspersky Internet Security 2011 (wersja 30 dniowa) co jakiś czas pokazuje mi, że zablokował

atak sieciowy “Intrusion.Win.NETAPI.buffer-overflow.exploit” i, że komputer atakujący został zablokowany.

Wcześniej natomiast miałem zainstalowany darmowy AVG, jednak z tego co pamiętam o czymś takim

mnie nie informował (może robił wszystko automatycznie?). Kasperskiego zainstalowałem dopiero po

formacie dysku, bo przed formatem podczas wyszukiwania czegoś na Google, wyświetlała mi się strona

(również od Google) aby przepisać kod z obrazka (z tego co pamiętam, było napisane mniej więcej tak,

że dziwny ruch pochodził z mojej sieci i przepisanie kodu miało potwierdzić, że nie jestem maszyną).

Po przepisaniu mogłem kontynuować. Niestety, po pewnym czasie musiałem przy wyszukiwaniu znowu

przepisać kod z obrazka.

Zaniepokoiło to mnie, a ponieważ i tak miałem formatować dysk, to zrobiłem to od razu.

Myślałem, że format załatwił sprawę. Na wszelki wypadek (w celu przeskanowania zgranych danych)

zainstalowałem Kasperskiego. I wtedy zaczęły się pojawiać te komunikaty.

Później formatowałem kilka razy dysk (zrobiłem chociażby jedną partycję na cały dysk), bez skutku.

Google, przy wyszukiwaniu, dalej co jakiś czas wyświetlał tą stronę z obrazkiem. Zainstalowałem również

Comodo Internet Security i ten wyświetlał coś w stylu czy zezwolić na połączenie z 10.x.x.xxx (nie pamiętam tych cyfr).

Dawałem “blokuj”, ponieważ Kaspersky wcześniej blokował ataki sieciowe właśnie od TCP 10.x.x.xxx.

Później znowu zainstalowałem Kasperskiego, mimo to, dalej pokazuje te komunikaty o blokowanych atakach.

W związku z taką sytuacją mam kilka pytań:

1. Czytałem o tym ataku w internecie, na stronie Kasperskiego, i było tam napisane, że powtarzające się

te komunikaty mogą oznaczać obecność pewnego robaka. W takim razie, czy to możliwe, żeby nawet po

formacie gdzieś był?

2. Może ktoś go wysyła jakoś do mnie?

3. Czy ten robak może być w (jeśli coś takiego jest) pamięci modemu?

4. Jak się z nim uporać (dodam, że jestem gotowy na ewentualny format dysku)?

Trochę się rozpisałem, ale chciałem jak najlepiej przedstawić problem.

Dodam jeszcze, że skanowałem Kasperskim i nic nie wykrył, tak samo Comodo i Kido Killer. Sam komputer

działa normalnie i da się wejść na strony producentów antywirusów. Ten robak to podobno: “Net-Worm.Win32.Kido”.

Mój system to Windows XP Home Edition.

1.Skoro masz wątpliwości,podaj LOGI OTL.

2.Możliwe,że robak pozostał,jeśli formatowałeś TYLKO partycję systemową,a nie wszystkie(nie sprecyzowałeś tego,więc podaję tą możliwość).

3.Możliwe,że ten robak(jeśli to robak) zainfekował pliki,które zgrałeś i zainfekował system podczas podłączenia zewnętrznego dysku).

Jeśli chodzi o “Net-Worm.Win32.Kido” to tu masz info o nim: http://support.kaspersky.com/pl/faq/?qid=208279970

Ale skoro Kaspersky i Comodo twierdzą że był to atak z sieci to bardziej prawdopodobne że to ktoś inny z twojej lokalnej sieci/podsieci (ten kogo ip ci pokazują programy) ma nim zainfekowany komputer który cię atakuje ( to jest tzw. “Zombi”) i skoro próba ataku została zablokowana to nie zostałeś zainfekowany.

To że wcześniej przed formatem pojawiały ci się takie komunikaty co opisałeś świadczy że wtedy twój komp był takim zombi.

Jeśli masz ip wewnętrzny a na zewnątrz sieci dzielisz inny ip jeszcze z innymi kompami (np. innymi abonentami twojego dostawcy) i wśród nich znajdzie się choć 1 taki zombi to nawet możecie wszyscy mieć blokadę neta na tym zewnętrznym ip.

W kwestii metod infekcji dodam jeszcze że są teraz popularne wirusy rozsiewające się poprzez plik autorun.inf i jeśli nie ma się odpowiednio zabezpieczonego kompa to wystarczy podłączyć zainfekowany takim czymś dysk/pena do kompa aby złapać infekcję (podobnie jeśli nie masz odpowiednio zabezpieczonego dysku/pena i podłączysz go do zainfekowanego kompa wirus automatycznie wgrywa ci się na dysk/pena).

Jeśli nie masz pewności czy coś ci siedzi w kompie to daj logi z OTL, to najpewniejsza metoda diagnozowania.

Tutaj masz podobny przypadek

http://forum.gmclan.org/index.php?showtopic=24619

przeskanuj kompa

http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

Co do sposobu formatowania, to usunąłem wszystkie partycje najpierw, potem utworzyłem dwie.

Systemową sformatowałem, a drugą sformatowałem dopiero będąc w systemie. Może się

skopiował ten robak z tej drugiej partycji? Trzeba jednak pamiętać, że była tylko utworzona,

nie sformatowana. Po prostu, żeby dostać się na tą drugą partycję musiałem ją wcześniej

sformatować. W takim razie nie wydaje mi się, żeby robak się skopiował z drugiej partycji.

Natomiast jeśli chodzi o zgrane dane, to po formatach nie wkładałem żadnych nośników z

nimi.

Nie zauważyłem ostatnio, żeby przy wyszukiwaniu na Google, pojawiała się ta strona gdzie

trzeba przepisać tekst z obrazka. Tylko te komunikaty o atakach co jakiś czas są.

Później wstawię log z OTL.

– Dodane 01.05.2011 (N) 15:18 –

Czy po takim formatowaniu jak wcześniej napisałem może pozostać nie tylko ten robak, ale w ogóle

jakieś szkodliwe oprogramowanie? Jeśli nie, to spróbowałbym korzystać z internetu u kogoś innego

(już po formacie). Po pierwsze żeby potwierdzić, że rzeczywiście jest coś z moją siecią nie tak.

Drugim powodem jest Kaspersky: wymaga aktywacji przez internet, więc dopóki nie zostanie

aktywowany to coś z mojej sieci się może “wrzucić” na komputer. Jeśli jednak by coś zostało po

formacie to nie powinienem podłączać się do innej sieci, żeby w niej nic nie rozprzestrzenić, tak?

Co do logów to przypomniało mi się, że niedawno skanowałem programem HijackThis i log wrzuciłem

na taką stronę, gdzie ona je skanuje. Nie jestem pewny w 100%, ale chyba nic nie wykazała.

Poza tym, niedawno Kaspersky pokazał mi 2 komunikaty: najpierw, że wykrył zagrożenie PDM.Hidden object,

a następnie zezwolił (też dotyczy PDM.Hidden object). Czy to jest rzeczywiście zagrożenie?

Tak, jeśli miałeś wirusy korzystające z autorun.inf o których wspomniałem to w takim wypadku po formacie pierwszej partycji dalej pozostają ci na drugiej i automatycznie infekują ci tą świeżą instalację windowsa już w momencie uruchomienia go.

Czyli nawet jak ta druga (czyli nie systemowa) partycja jest świeżo utworzona, ale nie sformatowana

(oczywiście nie mam na myśli wyczyszczenia dysku, bo partycje były wcześniej wszystkie usunięte), to

i tak pewne wirusy mogą się przenieść, tak?

W takim razie jak sformatować dysk tak, aby nic nie zostało?

Może pokombinować coś z programami do bezpowrotnego usuwania danych?

Czyli jednak było wszystko usunięte dysk był od nowa podzielony na partycje z których pierwsza została sformatowana i zainstalowano na niej system a druga była świeża, czysta i bez systemu plików, w takim wypadku żadne dane na tym dysku nie przetrwały i wirusy też raczej nie mogły przetrwać.

Ale bez logów to se tylko możemy zgadywać co jest z grubsza bezcelowe.