Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Dobrý den. V práci se nam na kompu stále objevuje nějaké hlášení od antivira (EssetNod) s nějakými nesmyslnými adresami, na které se snad přihlašujeme- podle toho Noda. Správce sítě s tim nic nesvedl. Zkusil jsem si vytvořit log v Hijacku (jedinný, s kterým jsem se naučil pracovat) a chtěl ho zkontrolovat na stránce http://www.hijackthis.de/cz, nebyla dostupná. Zkusil jsem si log poslat domů ale mail se neodeslal. Tak jsme ho zazipoval a konečně se to povedlo. (blokování odeslání logu je docela dobrý fór. ) Doma jsem to zkusil přes tu službu zkontrolovat, a tady ode mě to funguje.
je tam nastavení proxyserveru a u toho název, který mi něco říká (Nasty), před pár lety jsem snad s timhle už měl nějaký problém. Bohužel jsem spíše uživatel a tak si to už nepamatuju. Zdá se ale, že si s tim budeme muset v práci poradit sami. Zkusím to pomocí toho programu HijakcThis fixnout - jsem si jist, že tam žádné nastavení proxyserveru být nemá. Ale něco mi řáká, že to tím neskončí... Pokud máte stejný názor, tak mi poraďte, co a jak dál. Děkuji. (Do práce se dostanu v Pondělí, takže nemusíte zase tak spěchat.)
Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:12:21, on 7.5.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Tak jsem doběhl do práce a mám ten log. Nebylo jej ale možné vložit z toho kompu, podobně jako při pokusu o odeslání mailu to nějak zablokovalo odeslání (napsalo to, že Vaše stránka s forem je dočasně nedostupná.) Posílám to z domova, donesený na flashce. Doufám že to ta potvora nebude dělat pořád, to bych se docela naběhal Nebo že se mi nějak nepřestěhuje do domácího kompu...
Logfile of random's system information tool 1.06 (written by random/random)
Run by chir-lekar at 2010-05-07 22:09:34
Systém Microsoft Windows XP Professional Service Pack 3
System drive C: has 246 GB (81%) free of 305 GB
Total RAM: 2038 MB (72% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:37, on 7.5.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Zatím se stalo toto: Stáhl jsem si combo fix, přejmenoval na abraca.com a spustil (bohužel z flashky - chtěl jsem si tenhle návod zobrazit ale z toho počítače je tahle stránka blokována a nepamatoval jsem si to)
chtěl stáhnout Recovery konzoli... stalo se, potom prohlásil že je tam rootkit a potřebuje restart, po něm se spustil automatický scan a už je to těch 20 minut a je na: Dokončeno fáze_49
už se 15 minut nic dalšího neděje.
Vrátím se a ukončím ho, jak doporučujete a zkusím ten druhý.
a taky to dám obé na plochu.
takže combo fix opět skončil u fáze_49 a tak jsem ho ukončil. Ale na začátku se nerestartovalo nic a nehlásil nic o rootkitu, jako minule. neotevřel se žádný log a ani na C jsem to v uvedené cestě nenašel. Jen je tam (na C) ikona s názvem abraka a vzhledem a chováním "Tento počítač", která bych řekl že tam minule nebyla...
Gmer poprvé nějak zkolaboval (šedá obrazovka a nutný tvrdý restart), podruhé doběhl a zde jsou logy:
krátký:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-05-10 08:26:35
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\CHIR-L~1.MNC\LOCALS~1\Temp\kwldquoc.sys
složka Quoobox se vytvořila, ale esset mi z mí mazal jeden soubor v té složce karanténa (quaranti..) s tím že to je trojan. Správce mi ale řekl jak esseta vypnout (je na heslo) takže to máš v příloze zde dole. Nevím, kam jinam to upnout. Snad to takhle nevadí. To druhé jdu udělat. Zatím díky.
OTL logfile created on: 10.5.2010 18:24:01 - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Documents and Settings\chir-lekar.MNCASLAV\Plocha
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000405 | Country: Česká republika | Language: CSY | Date Format: d.M.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 298,09 Gb Total Space | 239,98 Gb Free Space | 80,51% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: CHIR-LEKARVBH
Current User Name: chir-lekar
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 7 Days
Output = Standard
NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2008.11.21 20:38:50 | 000,000,000 | ---D | M]
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
@Alternate Data Stream - 121 bytes -> C:\Documents and Settings\All Users\Data aplikací\TEMP:DFC5A2B2
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Data aplikací\TEMP:A8ADE5D8
< End of report >
Je to prosímtě tohle? Dnešní zachycená infiltrace:
10.5.2010 17:36:37 Rezidentní ochrana soubor C:\RECYCLER\S-1-5-21-1004336348-1343024091-854245398-2142\Dc3.vir Win32/Olmarik.ZC trojský kůň NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na souboru, který byl modifikován aplikací: C:\WINDOWS\Explorer.EXE.
10.5.2010 17:36:37 Rezidentní ochrana soubor C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir Win32/Olmarik.ZC trojský kůň NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\WINDOWS\Explorer.EXE.
10.5.2010 17:34:43 Rezidentní ochrana soubor C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir Win32/Olmarik.ZC trojský kůň NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\WINDOWS\Explorer.EXE.
10.5.2010 17:32:09 Rezidentní ochrana soubor C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir Win32/Olmarik.ZC trojský kůň NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\WINDOWS\Explorer.EXE.
10.5.2010 17:32:03 Rezidentní ochrana soubor C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir Win32/Olmarik.ZC trojský kůň NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\WINDOWS\Explorer.EXE.
10.5.2010 17:31:01 Rezidentní ochrana soubor C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir Win32/Olmarik.ZC trojský kůň NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\Program Files\7-Zip\7zG.exe.
10.5.2010 17:38:25 Rezidentní ochrana soubor C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir Win32/Olmarik.ZC trojský kůň NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\Program Files\7-Zip\7zG.exe.
10.5.2010 7:30:06 Rezidentní ochrana soubor C:\DOCUME~1\CHIR-L~1.MNC\LOCALS~1\Temp\Av-test.txt Eicar testovací soubor vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\abraka\CF17258.cfxxe.
Včerejší zachycená infiltrace:
9.5.2010 21:26:00 Rezidentní ochrana soubor C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir Win32/Patched.EQ trojský kůň nelze léčit NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\abraka\PEV.cfxxe.
9.5.2010 21:25:59 Rezidentní ochrana soubor C:\DOCUME~1\CHIR-L~1.MNC\LOCALS~1\Temp\Av-test.txt Eicar testovací soubor vyléčen smazáním - uložen do karantény NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\abraka\CF18494.cfxxe.
9.5.2010 21:25:58 Rezidentní ochrana soubor C:\QooBox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir Win32/Patched.EQ trojský kůň nelze léčit NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna na souboru, který byl modifikován aplikací: C:\abraka\CF18494.cfxxe.
9.5.2010 21:25:58 Rezidentní ochrana soubor C:\QOOBOX\32788R22FWJFW\i8042prt.sys Win32/Patched.EQ trojský kůň nelze léčit NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o přístup k souboru aplikací: C:\WINDOWS\system32\fc.exe.
9.5.2010 21:25:58 Rezidentní ochrana soubor C:\QooBox\32788R22FWJFW\i8042prt.sys Win32/Patched.EQ trojský kůň nelze léčit NT AUTHORITY\SYSTEM Tato skutečnost byla zjištěna při pokusu o spuštění souboru aplikací: C:\abraka\PEV.cfxxe.
Dnešní karanténa :
AV-test.txt -- Eicar testovací soubor
...A0039888.sys -- Win32/Patched.EQ trojský kůň
Podařilo se mi zeditovat nastavení NODa aby CF neměl námitek že je spuštěný rezidentní štít a v nouzovém režimu to spustit, ale výsledek byl stejný... až do fáze_49 a konec. Žádný log.
Jediný rozdíl oproti Vašemu návodu je, že jsem si nestáhl nový CF ale použil zálohu z flash disku. Bohužel nemám v nouzovém režimu ani s povolením sítě nějak přístup k netu.
==================================================
Scan Start Time: 2010/05/12 16:09
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
DDS (Ver_10-03-17.01) - NTFSx86
Run by chir-lekar at 17:05:06,59 on st 12.05.2010
Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_16
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2038.1584 [GMT 2:00]
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
Děkuji, ještě nežli to udělám a vymažu, se zeptátm na toto, dle správce sítě by tem neměl být nastaven proxy server, s určitostí
v logu HijackThis je ale tenhle řádek
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
a v registrech je totéž
a ten server je nejspíše funkční (dá se pingnout, nevím jak jinak ověřit jeho existenci ani funkci)
když jsem to zkusil odstranit přes HijackThis a následně po neúspěchu i vymazáním přímo z registru, tak po restartu se to vždy obnoví. V nastaveních sítě v IE ani FF to není nastavené.
Předpokládám, že to něco musí vytvářet? Ale nezjistil jsem co.
děkuji
Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)
Infikované soubory:
C:\Documents and Settings\chir-lekar.MNCASLAV\Local Settings\Temporary Internet Files\Content.IE5\QLY438NA\n002102318801r0005J10000601R7788992eWfcf04c2aX62e8a545Y29092afdZ03003f360[1] (Rogue.AntiSpywareSoft) -> No action taken.
Teď jsem si uvědomil, že i když asi sledujete tohle vlákno, tak se vám nejspíše nezobrazí, že jsem doplnil ten log do příspěvku výše. Omlouvám se, že mi to nedošlo a proto tento post.
Nález od MBAM jsem vymazal, a fixnul to (ten proxyserver) v HijackThis. V dalším scanu ihned po fixnutí ta položka není. Po restartu je tam zpět. Nezlobte se, že je to s takovýmito přestávkami ale tenhle komp si domů odnést nemohu a vpráci jsme měli docela dost napilno.
Jinak se zdánlivě neděje nic, komp pracuje normálně. Ale ten proxy tam asi nebude jen tak pro nic za nic.
) Doma jsem to zkusil přes tu službu zkontrolovat, a tady ode mě to funguje. 
Nebo že se mi nějak nepřestěhuje do domácího kompu...
Proved uplny scan pomoci MBAM - navod: 
Přispějete na provoz fóra?