Proszę o sprawdzenie moich logów

[karolina_R]

Witam
na początku wspomnę, że zupełnie się nie znam, więc proszę o cierpliwość

W poniedziałek na skrzynkę służbową przyszło mi 850 maili o podobnej treści:



This is the mail system at host zimbra-mb3.umassd.edu.

I''m sorry to have to inform you that your message could not
be delivered to one or more recipients. It''s attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<[email protected]>: host umdmail4.umassd.edu[134.88.3.196]said: 550 5.1.1
<[email protected]>: Recipient address rejected: User unknown in relay
recipient table (in reply to RCPT TO command)


Później zadzwonili do mojego biura informatycy od serwera że wykryli wirusa po moim IP iże mam zrobić skan antywirusem. Użyłam Nortona i on coś tam wykrył i usunął ale maile dalej przychodzą (chociaż już nie tak dużo) więc myślę że coś zostało.

Więc poproszę o sprawdzenie moich logów.

otl

[Aby zobaczyć linki, zarejestruj się tutaj]

ex

[Aby zobaczyć linki, zarejestruj się tutaj]

Z góry dziękuję

[Fr3shMak3r]

Kod:

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - mswsock.dll File not found

To może świadczyć że siedzi tu trojan Sirefef= Rootkit ZeroAccess.
Przeważnie jego objawy są takie że w logach są widoczna biblioteka mswsock.dll ,,File Not found"
Z tym to ci nie pomogę gdyż nie opracowywałem metod usuwania trojana sirefef tylko wystawiłem diagnozę.

[Waves]

Jest tutaj chyba ZeroAccess.

Pobierz program Kaspersky TDSSKiller ->

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeśli coś wykryje naciśnij skip i pokaż wygenerowany raport na forum.

[karolina_R]

raport TDSS killer

[Aby zobaczyć linki, zarejestruj się tutaj]

---

Dodano: 21 lis 2012, 21:15

Teraz piszę z drugiego kompa bo w tamtym wyskoczył blue screen i nadal tam jest. Chyba powinnam spisać jakiś numer błędu tak? Tylko nie wiem skąd.

[KaMiL]

Bluescreen pewnie spowodowany przez rootkita. Rozumiem, że cały czas się wyświetla? Restartowałaś komputer? Jeśli znowu się pojawi po restarcie, tu masz przykład bluescreena -

[Aby zobaczyć linki, zarejestruj się tutaj]

Podaj kod, który u Ciebie występuje pod napisem "Technical information"

[karolina_R]

***stop: 0x0000000A (0x808080A9, 0x00000002, 0x00000000, 0x80541425)

nie umiem teraz zrestartować... tzn. mogę wyłączyć przyciskiem.... cały czas jest blue screen

[KaMiL]

Możesz wejść do trybu awaryjnego?

[karolina_R]

naciskam F8 i nic się nie dzieje...
czy może coś innego mam wcisnąć?

[KaMiL]

Spróbuj jeszcze raz, F8 naciskaj nieprzerwanie od restartu. Jeśli rzeczywiście nie będzie działało, to będziemy się martwić .

[karolina_R]

No jakoś odpalił. To co teraz?

[KaMiL]

Jeśli weszłaś do trybu awaryjnego z obsługą sieci, to pobierz to narzędzie

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom i rób to co program pokazuje. Ale nie wiem także, czy ZeroAccess jest na pewno, kieruję się wypowiedziami poprzedników

[karolina_R]

chyba weszłam do normalnego trybu, nie awaryjnego...

[KaMiL]

chyba weszłam do normalnego trybu, nie awaryjnego...

System wygląda tak jak zawsze (chodzi mi o wygląd)?
Jeśli AVG nic nie wykrył, przeskanuj programami HitmanPro

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz MBAM

[Aby zobaczyć linki, zarejestruj się tutaj]

W obu przypadkach szybki skan.

[karolina_R]

wszystko wygląda normalnie,
tyle że w tym hitmanpro nie było wyboru czy szybki skan czy pełny, tylko skanuj było.

[KaMiL]

To dobrze .

[karolina_R]

No to się skanuje
jest 35% i już 4 zagrożenia....

Przepraszam, że czasem trzeba do mnie dużymi literami pisać ale na prawdę nie bardzo się znam na kompach

[KaMiL]

Po zakończeniu usuń zagrożenia, ale nie zamykaj okna, tylko znajdź opcje utworzenia logu i wyślij go nam.

[karolina_R]

chyba się nie zmieściło całe, to podzielić na dwie części i wkleić dwa razy?

[Aby zobaczyć linki, zarejestruj się tutaj]

[KaMiL]

C:\WINDOWS\system32\closeapp.exe

Jedynie to mogło być jakieś realne zagrożenie. Przeskanuj jeszcze tym drugim programem i potem wykonaj jeszcze raz logi OTL.

[karolina_R]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

na wszelki wypadek