Wirus, którego nie wykrywają antywirusy

Dla specjalistów Bezpieczeństwo
#1

Witam!

Mam Acera z Vistą. Mam kompa w akademiku, który jest podłączony do sieci, do ktorej są podłączone wszystkie kompy w akademiku. Wczoraj przyjechał do nas administrator sieci, bo ludzie się skarżyli ze u niektórych nie ma netu albo jest, ale strasznie wolno chodzi. Facet chodził po pokojach aż w końcu stwierdził, że niektóre kompy w sieci mają wirusa, który wysyła się na inne kompy.

Do mnie też przyszedł i mówi, że mam tego wirusa. Ale na kompie nic na to nie wskazywało. On wszedł na jakąś stronę tej swojej sieci i pokazał, że między innymi z mojego adresu jest rozsyłany wirus na innne adresy w sieci (on mówił, że mój komp wysyła jakieś zerowe pakiety do sieci, czy coś takiego). Mam na kompie Norton 360, przeskanowałam go tym, przeskanowałam jeszcze programem Ad-Aware oraz zainstalowalam Avast i wykonałam skanowanie podczas rozruchu ale żadna z tych operacji nie ujawniła żadnego wirusa.

Myślę, że wirusy przynosimy z ksera na pendrive, bo jak podłączam pendrive do kompa po przyniesieniu z ksera to nie da się go otworzyć kliknięciem z mojego komputera, a gdy próbuję to zrobic, pojawia się okienko Nortona i pisze, że przetwarza zagrożenia. Póżniej jak się wejdzie w Nortona, to można zobaczyć że właśnie usunął wirusa (ostatnio W32.Fakerecy, lokalizacja f:recycled/ctfmon.exe, a wcześniej Infostealer, lokalizacja f:recycled/info.exe) Ale zawsze Norton usuwa tego wirusa, który próbuje się dostać z pendrive na kompa, a pendrive formatuje. Tak więc nie wiem gdzie jest ten wirus. Ani facet od sieci, ani nikt w akademiku nie wie co to za wirus, więc nie wiemy czego szukać. Facet, każdemu, u którego “niby” wykrył tego wirusa każe robić format, ale kolega po zrobieniu formatu podlączyl sie do sieci i facet powiedział, ze jak tylko się podłączyl, to zacząl emitowac tego wirusa do sieci, ale przecież robił przed chwilą format!

Ja nie chcę formatować bo komp jest nowy, nic nie wskazuje na obecność wirusa a ja nie bardzo znam się na tym wszystkim i nie chcę czegoś popsuć. Zainstalowalam hijack this i silent runners i zrobiłam logi.

Jeśli ktoś jest dobry w tym i na prawdę się zna, to proszę o pomoc, proszę o sprawdzenie logów i napisanie czy coś jest nie tak, a jeśli coś trzeba naprawić - to jak, tylko proszę o taki opis żebym mogla sobie z tym poradzić bo za bardzo nie znam się na tym.

Złączono Posta : 15.11.2007 (Czw) 2:04

Złączono Posta : 15.11.2007 (Czw) 2:06

#2

Proszę usunąć skutki zacięcia . Bardzo rpszę o takie

przeformatowanie tekstu, by stał się czytelniejszy.

Proszę też skasować ten krzyk - nikt tu głuchy nie jest

BTW

Logi wklejamy jednocześnie z opisem problemu

#3

Przepraszam, to nie miał być krzyk :slight_smile: Chciałam tylko zaznaczyć, że bardzo zależy mi na uzyskaniu pomocy, bo sama nie umiem sobie w tej sytuacji poradzić

#4

usuń wpisy HJT

Daj log z ComboFix

#5

Usunęłam to co pokazałeś ale ten ostatni wpis jest nadal, zrobiłam ponowne skanowanie i nadal tam jest. Co to może być?

Złączono Posta : 16.11.2007 (Pią) 1:19

Log z Combofix:

Złączono Posta : 16.11.2007 (Pią) 1:27

Tego nadal nie mogę usunąć w logu HijackThis:

#6

EDIT: Daj tylko jeszcze raz log z HJT

#7

Złączono Posta : 16.11.2007 (Pią) 18:53

Nie wiem czy to jakoś wpłynie na rozwiązanie problemu, ale teraz jestem w domu i łączę się z netem przez Netię a wcześniej w akademiku przez sieć Filar.net

#8

usuń woisy HJT a folder ręcznie

#9

Złączono Posta : 16.11.2007 (Pią) 19:07

To się nie usunęło:

Czy to jest jakiś wirus??

#10

no nie wiem co to jest

#11

Program Aura odinstalowałam i usunęłam folder z Program Files. To był program, który był ustawiony na włączanie się ze startem systemu i włączał podkład dzwięki lasu. Czy on szkodził pracy komputera?

Złączono Posta : 16.11.2007 (Pią) 19:20

No w każdym razie wielkie dzięki za pomoc. Mam jeszcze pytanie czy oprócz tego dziwnego wpisu, coś na moim komputerze wskazywalo na jakiegoś wirusa, który mógł by stwarzac jakieś problemy w sieci, jak twierdził ten facet?

#12

Jeżeli to było to - http://www.download25.com/install/aura.html -to OK

http://spywarefiles.prevx.com/RRFFCF273 … A.EXE.html - plik pamiętałem, że Spyware

#13

Aurę ściągnęłam stąd: http://www.umopit.ru/

Złączono Posta : 17.11.2007 (Sob) 19:15

Dziś jak włączyłam kompa, to wyskakuje mi powiadomienie że centrum zabezpieczeń jest wyłączone, a jak klikam na włącz to wyskakuje powiadomienie że nie można włączyć. Zrobiłam przywracanie systemu, ale po restarcie pisze, że wystąpił niespodziewany błąd i nie da się przywrócić poprzedniego ustawienia systemu. Czy mogło to spowodować usunięcie tego:

Drugi i trzeci wpis przywróciłam w hijackthis, czwarty wcale się nie usunął a 1 i 5 chyba nie mają nic do tego.