Witam

Tydzień temu zrobiłem pełnego formata ale już coś chyba zdążyło zainfekować mój komputer.

Posiadam program antywirusowy Nod32 Business Edition i do tego SpyBota i Malwarebytes’ Anti-Malware.

Po przeskanowaniu tymi programami i dodatkowo skanerem mks vir online nie znaleziono nic podejrzanego.

Strona microsoft.com również zablokowana a potrzebuję pobrać z niej określone oprogramowanie.

Wykonałem skana HijackThis

Oto on:

http://www.wklej.org/id/184633/

Dodatkowo skan z ComboFix’a

http://www.wklej.org/id/184647/

Proszę o pomoc

No a więc złapałeś Confickera oraz zainfekowałeś plik systemowy.

Poza tym znasz ten program?

Pobierz SystemLook i uruchom.

Wklej w niego:

Look i pokazujesz log z szukania.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

Tak ten program jest mi znany i bardzo potrzebny do pracy.

Oto log z SystemLook’a

http://www.wklej.org/id/184726/

Oto log z ComboFix’a po usunięciu:

http://www.wklej.org/id/184749/

Infekcja usunięta, plik podmieniony.

Start -> Uruchom… -> Combofix /u

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

Przeskanowane i usunięto jedną infekcję.

Zastanawia mnie tylko jedno bo od usunięcia tego Confickera w ciągu ostatniej godziny Nod zablokował jego ponowny atak już 3 razy z adresów IP: http://192.168.10.38:7952/bonocxaw i 2 innych podobnych.

To log z noda z dzisiejszego dnia:

2009-10-24 23:39:57	HTTP filter	file	http://192.168.10.38:7952/bnocxayw	a variant of Win32/Conficker.AE worm	connection terminated - quarantined	ZARZĄDZANIE NT\SYSTEM	Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.

2009-10-24 22:54:21	HTTP filter	file	http://192.168.10.168:7261/pxgs	a variant of Win32/Conficker.AE worm	connection terminated - quarantined	ZARZĄDZANIE NT\SYSTEM	Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.

2009-10-24 22:23:01	Real-time file system protection	file	C:\DOCUME~1\TUTAK\USTAWI~1\Temp\Av-test.txt	Eicar test file	cleaned by deleting - quarantined	ZARZĄDZANIE NT\SYSTEM	Event occurred on a new file created by the application: C:\ComboFix\CF6886.exe.

2009-10-24 15:24:48	Startup scanner	file	C:\WINDOWS\System32\mwgxdch.dll	Win32/Conficker worm	cleaned by deleting (after the next restart)		

2009-10-24 08:20:25	Startup scanner	file	C:\WINDOWS\System32\mwgxdch.dll	Win32/Conficker worm	cleaned by deleting (after the next restart)	TUTAK-F69W8GE9W\TUTAK

Czy mam podstawę żeby zgłosić to admina mojej sieci ? Bo wygląda to jakby jakiś serwer w mojej sieci mnie atakował.

Zaraz zabiorę się za oczyszczanie CCleaner’em.

Dzięki Panowie bardzo mi pomogliście bo wszystko zaczęło działać.

Gdy będę miał kolejne problemy z pewnością napiszę

Po pierwsze nie panowie, bo tylko ja jedyny odpisywałem na ten temacik… :mrgreen:

Conficker właśnie jest infekcją, która lubi się rozprzestrzeniać w sieciach jak również poprzez media przenośne typu pendrive.

Ochronić się przed tnim można poprzez instalowanie wszystkich niezbędnych łat i aktualizacji do oprogramowania i systemu.

Na początek pozamykaj porty programem WWDC.

http://pl.wikipedia.org/wiki/Conficker

Che sorki za pomyłkę

Ok porty zablokowane

Aktualizacje systemu się instalują więc powinno być dobrze