Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
Witam
na początku wspomnę, że zupełnie się nie znam, więc proszę o cierpliwość
W poniedziałek na skrzynkę służbową przyszło mi 850 maili o podobnej treści:
This is the mail system at host zimbra-mb3.umassd.edu.
I''m sorry to have to inform you that your message could not
be delivered to one or more recipients. It''s attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<[email protected]>: host umdmail4.umassd.edu[134.88.3.196]said: 550 5.1.1
<[email protected]>: Recipient address rejected: User unknown in relay
recipient table (in reply to RCPT TO command)
Później zadzwonili do mojego biura informatycy od serwera że wykryli wirusa po moim IP iże mam zrobić skan antywirusem. Użyłam Nortona i on coś tam wykrył i usunął ale maile dalej przychodzą (chociaż już nie tak dużo) więc myślę że coś zostało.
Więc poproszę o sprawdzenie moich logów.
otl
[Aby zobaczyć linki, zarejestruj się tutaj]
ex
[Aby zobaczyć linki, zarejestruj się tutaj]
Z góry dziękuję
Liczba postów: 75
Liczba wątków: 1
Dołączył: 27.08.2012
Reputacja:
0
Kod: O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - mswsock.dll File not found
To może świadczyć że siedzi tu trojan Sirefef= Rootkit ZeroAccess.
Przeważnie jego objawy są takie że w logach są widoczna biblioteka mswsock.dll ,,File Not found"
Z tym to ci nie pomogę gdyż nie opracowywałem metod usuwania trojana sirefef tylko wystawiłem diagnozę.
AV: Avast AV 7
Skaner: ArcaVirMicroScan
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Jest tutaj chyba ZeroAccess.
Pobierz program Kaspersky TDSSKiller -> [Aby zobaczyć linki, zarejestruj się tutaj]
Jeśli coś wykryje naciśnij skip i pokaż wygenerowany raport na forum.
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
raport TDSS killer
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 21 lis 2012, 21:15
Teraz piszę z drugiego kompa bo w tamtym wyskoczył blue screen i nadal tam jest. Chyba powinnam spisać jakiś numer błędu tak? Tylko nie wiem skąd.
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Bluescreen pewnie spowodowany przez rootkita. Rozumiem, że cały czas się wyświetla? Restartowałaś komputer? Jeśli znowu się pojawi po restarcie, tu masz przykład bluescreena - [Aby zobaczyć linki, zarejestruj się tutaj]
Podaj kod, który u Ciebie występuje pod napisem "Technical information"
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
***stop: 0x0000000A (0x808080A9, 0x00000002, 0x00000000, 0x80541425)
nie umiem teraz zrestartować... tzn. mogę wyłączyć przyciskiem.... cały czas jest blue screen
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Możesz wejść do trybu awaryjnego?
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
naciskam F8 i nic się nie dzieje...
czy może coś innego mam wcisnąć?
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Spróbuj jeszcze raz, F8 naciskaj nieprzerwanie od restartu. Jeśli rzeczywiście nie będzie działało, to będziemy się martwić .
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
No jakoś odpalił. To co teraz?
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Jeśli weszłaś do trybu awaryjnego z obsługą sieci, to pobierz to narzędzie [Aby zobaczyć linki, zarejestruj się tutaj] uruchom i rób to co program pokazuje. Ale nie wiem także, czy ZeroAccess jest na pewno, kieruję się wypowiedziami poprzedników
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
chyba weszłam do normalnego trybu, nie awaryjnego...
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
karolina_R napisał(a):chyba weszłam do normalnego trybu, nie awaryjnego...
System wygląda tak jak zawsze (chodzi mi o wygląd)?
Jeśli AVG nic nie wykrył, przeskanuj programami HitmanPro [Aby zobaczyć linki, zarejestruj się tutaj] oraz MBAM [Aby zobaczyć linki, zarejestruj się tutaj] W obu przypadkach szybki skan.
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
wszystko wygląda normalnie,
tyle że w tym hitmanpro nie było wyboru czy szybki skan czy pełny, tylko skanuj było.
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
To dobrze .
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
No to się skanuje
jest 35% i już 4 zagrożenia....
Przepraszam, że czasem trzeba do mnie dużymi literami pisać ale na prawdę nie bardzo się znam na kompach
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Po zakończeniu usuń zagrożenia, ale nie zamykaj okna, tylko znajdź opcje utworzenia logu i wyślij go nam.
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
chyba się nie zmieściło całe, to podzielić na dwie części i wkleić dwa razy?
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Cytat: C:\WINDOWS\system32\closeapp.exe
Jedynie to mogło być jakieś realne zagrożenie. Przeskanuj jeszcze tym drugim programem i potem wykonaj jeszcze raz logi OTL.
Liczba postów: 39
Liczba wątków: 4
Dołączył: 21.11.2012
Reputacja:
0
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
na wszelki wypadek
|