Problem z otoczeniem sieciowym po użyciu combofix'a


(Bo8ek) #1

Witam,

zwracam sie do Was z problemem. Wczoraj ni stąd ni zowąd NOD zaczął wykrywać mi ataki na komputer z rzekomego adresu: hugehighest.cn/load.exe, po czym każdą próbę udaremniał. Jednak trojan ten/wirus nie dawał za wygraną i atakował dalej. Ciągłe wykrywanie i blokowanie ataków uniemożliwiało pracę z komputerem. Przeszukałem google w poszukiwaniu rozwiązania dla tego problemu, niestety (jak się później okazalo) znalazłem tylko 1 watek, wyjaśniający jak z moim problemem sobie poradzić, a mianowicie ten:

http://forums.spybot.info/showthread.php?p=312592

Zastosowałem się do rad, tam podanych, stosując po kolei możliwe programy do usuwania szkodników, dopiero po użyciu Combofixa, problem z w/w atakami zniknął. Okazało się jednak, że moja radość była przedwczesna, ponieważ teraz internet zaczął "mulic" oraz straciłem możliwość połączenia się z siecią lokalną. Próbowałem różnych rozwiązań, mianowicie:

  • naprawianie połączenia (z kilka razy - przy użyciu opcji "napraw" w windows) - bez efektu

  • przywracanie systemu (kończy się niepowodzeniem, zwracając komunikat, że przywracana wersja nie różni się od obecnej - zarówno dla pktu sprzed kilku dni, jak i kilku tygodni)

  • odinstalowanie i ponowne zainstalowanie karty sieciowej

  • naprawa systemu operacyjnego

Dzisiaj internet zaczął działać mi jakby normalnie, natomiast NOD nie chce się włączyć wyświetlając komunikat, że "nie może połączyć się z jądrem" oraz nadal nie mogę nawiązać połączenia z siecią lokalną.

Aha, wykasowałem Combofix'a oraz katalog Qoobox - niestety jak zorientowałem się po czasie, było to błędem.

W każdym bądź razie czasu nie cofnę, a jakoś muszę sobie z problemem poradzić, stąd moja prośba czy da sie wg Was coś z tą moją obecną sytuacją zrobić, czy lepiej od razu zabrać się za formata i mieć to już z głowy?


(Henio Mazurek) #2

A czy naprawiałeś przez WinsockFix lub coś podobnego?

Wygląda na to, że miałeś szkodliwy wpis w winsock, zostały w nim przywrócone domyślne wartości i niestety skasowane prawidłowe wpisy NOD'a. Wrzuć też log z ComboFix. A NOD jest do przeinstalowania.


(Bo8ek) #3

Uzylem WinsockFix i polaczenie z siecia lokalna odzylo :smiley: =D>

Log z Combofix'a wykonany przed chwila:

http://www.wklej.org/id/97563/


(Henio Mazurek) #4

Myślałem, że już wcześniej używałeś WinsockFix. Dobra, wywal jeszcze ręcznie ten plik

Ma atrybut systemowy więc musisz w opcjach folderów włączyć pokazywanie plików systemowych.

Przeskanuj ten plik na http://www.virustotal.com/pl/ i pokaż raport

Start => Uruchom => wpisz Combofix /u

W logu nic nie ma, poza tym chodziło mi o ten wcześniejszy log, ale już nieważne.

Wyłącz na chwilę przywracanie systemu i przeinstaluj NOD'a. Możesz też wykonać dokładny skan Malwarebytes Anti-Malware.


(Agatonster) #5

jorge111 ,

Proszę poprawić pisownię w opisie problemu. W celu edycji swojego posta proszę skorzystać z przycisku Edytuj przy poście otwierającym temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.


(Bo8ek) #6

Usunąłem

Niestety nie mogę przeskanować tego pliku

przy pomocy http://www.virustotal.com/pl/ ponieważ w firefoxie zwraca mi błąd:

natomiast w Chrom'ie i Operze przesyła, przesyła i przesłać nie może.

Wcześniejszego loga z Combofix'a nie mam, usunąłem wcześniej :?

Natomiast NOD'a będę mógł dopiero przeinstalować jak dostanę klucz aktywacyjny - osoba odpowiedzialna jest dziś niedostępna.

Wydaje mi się, że jeszcze trochę Internet "muli", ale może to moje wrażenie.

A swoją drogą - tak - całość dzieje się na komputerze w pracy, stąd mój lekki stres :slight_smile:


(Henio Mazurek) #7

No to jeszcze pobierz Avenger

http://www.searchengines.pl/index.php?s ... ntry405552

Wklej do niego ten tekst

Klikasz Execute, restart. Później skan Malwarebytes i czyszczenie przez CCleaner.


(Bo8ek) #8

Malwarebytes przy wyborze "szybkiego skanowania" znalazł kilkadziesiąt infekcji, które usunął, poniżej log ze skanowania:


(Henio Mazurek) #9

To wpisy debuggera blokujące programy antywirusowe. Od wczoraj do dzisiaj myślałem, że ComboFix sam to usuwa.

To pewnie pozostałości po jakiejś dawnej infekcji.

Zostały usunięte. Wykonaj pełny skan tym programem i również usuń co znajdzie.


(Bo8ek) #10

Ok, odpalam jeszcze pełne skanowanie.

Co do CCleaner'a wykonałem skanowanie w poszukiwaniu błędów w Windowsie oraz innych programach. Cleaner usunął ok. 200mb danych :-o Czy naprawić również problemy, które znalazło skanowanie rejestru? Cleaner znalazł ich ponad 100. Wolę się upewnić tym razem, zanim znowu coś zepsuję :wink:

edit: NOD sam się naprawił i zaczął działać bez reinstalacji :smiley:


(Henio Mazurek) #11

CCleaner tyle usunął ale on usuwa tylko śmieci. Co do rejestru - nie powinno się nic stać ale możesz zrobić kopię zapasową tych wpisów w rejestrze (CCleaner pyta się czy zrobić kopię przed usuwaniem). Więc zrób kopię i usuń wszystko, jak coś pójdzie nie tak to przez dwuklik można ją przywrócić ale to nie będzie chyba potrzebne. NOD się uruchomił pewnie po usunięciu przez Avenger tej usługi, myślałem, że po leczeniu Malwarebytes ale nic tam od NOD'a nie bylo.


(Bo8ek) #12

Wyczyściłem rejestr CCleaner'em i czekam aż Malwarebytes skończy skanowanie, póki co znalazł 1 nową infekcję.

Jeśli nie zdążyłbym później, chciałem serdecznie podziękować za pomoc, nie liczyłem na tak szybkie i efektywne rady. Twoje zdrowie! :zdrowie:


(Leon$) #13

z podanego loga należy jeszcze usunąć

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Bo8ek) #14

Witam ponownie.

Wykonałem przed chwilą to co napisałeś Leon$, poniżej log z Avenger'a:

Jak się okazuje to nie koniec mojej przygody z wirusami :frowning:

Okazuje się, że wchodząc na stronę napisaną w html'u na użytek firmy - do wysyłania raportów miesięcznych otrzymuje taki oto komunikat w Chrom'ie:

Strona znajduje się na firmowym ftp'ie. Zastanawiam się czy czy jest to następstwo mojej ostatniej "przygody" oraz jak mogę sobie z tym poradzić. Ściągnąłem na dysk pliki raportów, które rzekomo są zainfekowane, przeskanowałem Nod'em i nic nie wykrywa.

Zanim ściągnąłem pliki na dysk przeskanowałem jeszcze komputer Malwarebytes'em, log poniżej:

Czy można w jakiś sposób przeskanować zdalnie ftp'a w celu usunięcia wirusów?

edit: znalazłem w pliku index.html dopisaną linijkę kodu, która przekierowywała na podejrzaną stronę. Usunąłem ją, wrzuciłem plik z powrotem na serwer, ale przy próbie łączenia nadal wyświetla mi ten sam komunikat.


(Henio Mazurek) #15

Znowu się zaraziłeś.

Pokaż nowy log z ComboFix.

Zdalnie ftp'a raczej nie wyczyścisz.

Przetestuj swój serwer przez tą stronę

http://www.unmaskparasites.com/

Tutaj nie raporty będą przyczyną ale pewnie szkodliwy kod na stronie.

Do poczytania

http://www.searchengines.pl/Infekcja-hi ... 24457.html


(Bo8ek) #16

Log z combofix'a:

Ftp stoi u nas w firmie, wiec nie wiem czy jest możliwy test przy pomocy http://www.unmaskparasites.com/

Zastanawiam się czy to ja coś ciągle "rozsiewam" czy równie dobrze może to być ktokolwiek z firmy. :?


(Henio Mazurek) #17

Log z ComboFix jest czysty. Do wykonania instrukcja z przełącznikiem (Combofix /u).

Trochę mnie zdziwiło, że jest czysty bo znów Malwarebytes skasował nałożony debugger, chyba, że jest zakładany celowo.

Na operacjach webmasterskich się nie znam. Więc w tym już nie pomogę. Jedyne co mi przychodzi do głowy to poprawić i zabezpieczyć kod strony.

Ten nameashop.cn przejechałem przez UnmaskParasites i rzeczywiście jest podejrzana.


(Bo8ek) #18

Zaktualizowałem plik index.html - bez podejrzanej linijki kodu. Wrzuciłem na serwer i strona z raportami nie zwraca błędu jak do tej pory. Mam nadzieję, że na tym się skończy i nie będzie więcej szkód.