Znowu ja. Problem jest stary, ignorowałem go, bo znalazłem łopatologiczną metodę obejścia (restart firewalla, przy odłączanym internecie, rzecz jasna), ale po kolei. Dawno temu zaczął mi szwankować internet. Niektóre strony się wczytywały dopiero po skończeniu oczekiwanego przez Firefoksa czasu połączenia (czyli koło minuty), nie mogłem wysyłać postów na niektórych forach. Wszelakie najprostsze sposoby takie jak defragment, reinstalacja zabezpieczeń i przeglądarki, czyszczenie cache i cookeis nic nie dała. Co najciekawsze, według firewalla atakuje mnie własny router (ip 192.168.0.1) przeprowadzając na mnie ddosa, opis ataku brzmi ICMP PATH MTU denial of service. Jaki pisałem, da się obejść, więc olałem.
Po pewnym czasie matka nie zważając na lamenty podłaczyła pendrive''a mającego kontakt ze szkolnymi komputerami i zawaliła system tak, że byłem gotowy na format, ale obyło się , bo skorzystałem z Norman Malware Cleanera (darmowy AV na żądanie) i wróciło do stanu poprzedniego, ale nie do końca. Otóż po przeskanowaniu nim systemu znajdowało trojany i wyrzucało, co powodowało, że do restartu internet działał jak należy. Po czym trojan pojawiał się znów, mniej więcej w tym samym miejscu, czyli c:\system volume information\_restore...cośtam cośtam długa nazwa. Pewnego razu postanowiłem więc zrobić Normanem 2 skany pod rząd... co zaowocowało tym, że od tego czasu nigdy już się nie udało doprowadzić skanowania do końca. Olałem (znowu) Bo śmieć zdaje się nie przedostawać poza moją sieć lokalną, ani mailem, ani pendrive''ów nie infekuje. Ale że zamierzam rozszerzyć zakres działalności przy użyciu internetu, postanowiłem w końcu sprawę załatwić.
Jeszcze kwestia drugiego komputera. Na początku nic się nie działo, ale po jakimś czasie i on zaczął fiksować, a Norman widzi mniej-więcej w tym samym miejscu trujasia. Trzeci komp ma win7 i opłaconego Nortona i tam nie ma problemu.
Komp 1 to Phenom X3 8750 i Geforce9600 od Asusa, 4 GB Ram i płyta główna MA790-DS4, XP home SP3, zabezpieczony Avira classic i firewallem Sunbelt personal firewall.
Komp 2 to Athlon 1,4 Ghz, gf2, 256 MB ramu na płycie K7s5a, HPhome SP2 (inaczej by nie wyrabiał z obliczeniami), też avira (ale starsza, jak Service pack) i sunbelt.
Aha, Normana odpalałem na full scan ze wszystkim "zaznaczonym" poza rozszerzonymi logami.
I teraz co z tym zrobić? Rozważałem różne nieprawdopodobne warianty, łącznie z zainfekowanym routerem i innymi cudami. Wolałbym, żeby się odbyło bez formata i restartu sieci, bo to razem z zainstalowaniem wszystkiego od nowa za dużo czasu by zajęło.
Hej,
Wyłącz w Sunbelcie NIPS i sprawdź czy dzieje się o samo.
Możesz w sumie przeskanować komputery darmowym Hitmanem Pro, a nuż coś znajdzie.
I co to za wykrywany przez Normana trojan? Możesz ten plik wysłać na VirusTotal?
Znaczy się tak. Jestem pewien, że "coś" siedzi, bo jak pisałem, po usunięciu działało jak trzeba do czasu restartu, a potem śmieć wracał na to samo miejsce, ale jedna kopia jest w kwarantannie, więc zobaczę. Pozostałe opcje zbadam i zdam raport.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Log MBAMa w załączniku. Hitman znalazł tylko śledzące ciacha i jeden zły certyfikat w oryginalnej grze. Co zabawne, podczas skanowania MBAMem avira zapała to:
Hej.
Można usunąć wykryte elementy. To tylko drobne zagrożenia.
Możesz przeskanować jeszcze raz i usunąć te elementy. Nie wiem czy nie wystarczyłoby szybkie skanowanie. Myślę że wystarczy opróżnić kosz i włączyć szybkie skanowanie.
Jak tam z Sunbeltem? To raczej fałszywy alarm IDS-a
Pozdrawiam,
Adam vel Eugeniusz ))
Wyłączenie NIPSa było pierwszą rzecza, którą spróbowałem, gdy problem się pojawił, czyli dawno temu. Ale wyłączenie zabezpieczeń nie wydawało mi się, i nie wydaje nadal, niczym rozsądnym
Się usunęło, nie tzreba było skanować, bo zapisałem log, podesłałem i dopiero kazałem czyścić
Zobaczę jeszcze Nortona i dam na VirusTotal niby-zainfekowany plik z drugiego kompa.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Log obowiązkowy zaraz zrobię. Aktualnie siedzę na kompie nr.2 (stary), I wrzuciłem na Virustotal to, co tam siedziało w kwarantannie Normana. Zawsze brałem rescan. Pierwsze cztery to te z _restore/cośtamcośtam, pozostałe to co innego. Wyniki jak widać:
Norman tutaj zaliczył kilka FP. Odinstaluj go - Avire też, zainstaluj coś lepszego (np. darmowy avast! lub AVG).
Zaktualizuj Internet Explorera do wersji 8.
Zagrożeń w logu nie ma - tylko kosmetyka.
Odinstaluj wszystkie toolbary (Ask, Facemoods, Skype Toolbar i inne)
Uruchom OTL, wklej do niego w okienko (bez KOD):
Kod:
:Processes
killallprocesses
:OTL
IE - HKU\S-1-5-21-842925246-1645522239-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddr
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: []File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
O4 - HKLM..\Run: [GEST]File not found
O4 - HKLM..\Run: [nwiz]File not found
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra ''Tools'' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Kliknij Wykonaj skrypt. Komputer uruchomi się ponownie. Po ponownym uruchomieniu daj log z usuwania, który wyskoczy w notatniku. Po tym daj nowy log OTL. Dodatkowo wykonaj logi z: TDSS Killer, GMER, RSIT i USB Fix - opcja Research.
System zaktualizowany, Toolbary odinstalowane, skrypt odpalony. Komp po zaaplikowaniu skryptu miał problemy z zamknięciem i musiałem pomóc resetem. Nie mogę znaleźć pliku-loga, ale wygląda na to, że "wszystko was found".
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...