Bezpieczeństwo PC-ta - Uwaga pasożyt!
ZEB_45 - Pią 19 Gru, 2008 Temat postu: Uwaga pasożyt! Używam:
Avast! 4.8 Home Edition
Kompilacja: Dec2008 (4.8.1296)
Strona przedstawiona, poniżej co ok. jedną minutę atakuje mnie:
http://xxxxxxgate.exe
Próbuje umieścić w katalogu C:\WINDOWS\system32\swob.exe
Nazwa pasożyta: Win32:Rootkit-gen [Rtk]
Typ pasożyta: Rootkit
Wersja VPS: 081218.0, 2008.12.18
Czy to jest bardzo groźne?
Ps. Ataki rozpoczęły się dziś od ok. godz. 20.00 po połączeniu się do sieci. Między 10.00 a 12.00 nie było żadnych ataków, avast uaktualnił swoją bazę i wszystko było OK.
[EDIT]: Na forum nie umieszczamy linków prowadzących do zarażonych stron www
RadArek - Pią 19 Gru, 2008
Ty sobie chłopie jaja chyba robisz! Zamieściłeś tego Roukita w linku. Ty jesteś albo nieodpowiedzialny albo celowo chcesz zarazić userów forum...
ZEB_45 - Pią 19 Gru, 2008
RadArek Wybacz o tym, że mogę zaszkodzić to niestety nie pomyślałem – na obronę mam że go oznakowałem
I dodatkowo teraz wrzuciłem parę xxxxxx w ten link
Endriu48 - Pią 19 Gru, 2008
ZEB_45, Swój problem opisz TUTAJ i tam znajdziesz pomoc.
RadArek - Pią 19 Gru, 2008
Ok. Można również skorzystać z ze strony Microsoftu gdzie ci to za darmo wyczyszczą.
http://onecare.live.com/s...t.htm?s_cid=sah
Naciśnij na: czyść wszystko i powinno pomóc. ( oczywiście przeglądarka Internet explorer...)
I zmień antywira
yoda - Sob 20 Gru, 2008
A co chcesz od Avasta? Kiepski?
Stevie - Sob 20 Gru, 2008
yoda, widziałeś coś darmowego i dobrego
Jeżeli nie śmiga się po Bóg wie jakich stronach, to może on zadać egzamin. W innym przypadku warto wydać stówkę za profesjonalny i komercyjny pakiet.
M@rEK - Sob 20 Gru, 2008
ZEB_45 - mam prośbę - podrzuć mi na PW adres tej stronki.
W celach naukowo szkoleniowych chcę przetestować swojego antyvira oraz "wyciągnąć " tego robaczka .
Tak jak Stevie pisze darmowe programy antywirusowe mają pewne ograniczenia.
Warto raz w roku wydać ok. 100 PLN i miec pełny komercyjny program.
Proszę przeliczcie siobie ile to jest dziennie złotych ( jeden browar mniej )
Pozdrawiam M@rEK
ZEB_45 - Sob 20 Gru, 2008
Witam ponownie, choć z trudnościami.
Więc po kolei:
Endriu48 - Twój pierwszy link skierował mnie na stronę www.netarteria.pl - sprawdziłem - domena już zajęta i nic więcej, napisałem do nich na admin@netarteria.pl - odpowiedzieli że to nie ich strona i nie mają nic z tym wspólnego. Dziś Twój (domniemam się) poprawiony link skierował mnie na forum (od rana czekam na rejestrację, aby cokolwiek napisać, na razie bez rezultatów).
RadArek - skorzystałem z Twego linku i oczywiście wyczyściłem wwszystko, coznalazł skaner (tylko pliki tymczasowe nieusunięte automatycznie i trochę nieaktualnych wpisów do rejestru – nic więcej nie znalazł).
Stevie
Założyciel - zapewne masz rację, ale Avast nie dopuszcza do instalacji tego robala i jak na razie zdaje egzamin (akurat byle, jakich stron nie odwiedzam, z zasady i przekonania unikam stron niepewnych i zarazem groźnych).
Naczytałem się o tego typu robalach na różnych forach i widzę, że jest on bardzo groźny, bo po uaktywnieniu nie pomaga nawet kilkukrotne formatowanie całkowite wszystkich dysków (partycji).
Przypominam:
Atak następuje ze strony http…. (już zmierzyłem stoperem) co ok. 50 sek. po uaktywnieniu połączenia z netem. A zapewniam, że jest to niesamowicie denerwujące (ciągłe komunikaty o wykryciu pasożyta i jego usuwaniu).
Ponadto trafiłem na stronę:
http://www.virustotal.com/pl/
gdzie wykonałem skanowanie tego pliku, a oto wyniki, raport zwięzły:
Cytat: | Plik swob.exe otrzymany 2008.12.20 15:29:53 (CET) (raport zwięzły)
Antywirus Wersja Ostatnia aktualizacja Wynik
AhnLab-V3 2008.12.19.3 2008.12.20 -
AntiVir 7.9.0.45 2008.12.19 -
Authentium 5.1.0.4 2008.12.20 -
Avast 4.8.1281.0 2008.12.19 Win32:Rootkit-gen
AVG 8.0.0.199 2008.12.19 -
BitDefender 7.2 2008.12.20 -
CAT-QuickHeal 10.00 2008.12.20 (Suspicious) - DNAScan
ClamAV 0.94.1 2008.12.20 -
Comodo 783 2008.12.20 -
DrWeb 4.44.0.09170 2008.12.20 Trojan.PWS.Panda.5
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6269 2008.12.19 -
Ewido 4.0 2008.12.20 -
F-Prot 4.4.4.56 2008.12.19 W32/Damaged_File.gen!Eldorado
F-Secure 8.0.14332.0 2008.12.20 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2008.12.20 -
GData 19 2008.12.20 Win32:Rootkit-gen
Ikarus T3.1.1.45.0 2008.12.20 -
K7AntiVirus 7.10.560 2008.12.20 -
Kaspersky 7.0.0.125 2008.12.20 -
McAfee 5469 2008.12.19 -
McAfee+Artemis 5469 2008.12.19 -
Microsoft 1.4205 2008.12.20 Trojan:Win32/Zbot.BU
NOD32 3708 2008.12.20 -
Norman 5.80.02 2008.12.19 -
Panda 9.0.0.4 2008.12.20 Suspicious file
PCTools 4.4.2.0 2008.12.20 -
Prevx1 V2 2008.12.20 -
Rising 21.08.52.00 2008.12.20 -
SecureWeb-Gateway 6.7.6 2008.12.19 Win32.Malware.dam (suspicious)
Sophos 4.37.0 2008.12.20 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.20 -
TheHacker 6.3.1.4.193 2008.12.19 -
TrendMicro 8.700.0.1004 2008.12.19 -
VBA32 3.12.8.10 2008.12.20 -
ViRobot 2008.12.20.1528 2008.12.20 -
VirusBuster 4.5.11.0 2008.12.19 Packed/Pohernah
Dodatkowe informacje
File size: 45721 bytes
MD5...: a260a3836b586fdb8fb9d46f90837f16
SHA1..: 2dccbbff347ece5ab773ae26b154661cd0984e5e
SHA256: c89ae5ca687574d96e650d9d097116006b21d314f6f9df80bde7d10c3b08c5dc
SHA512: 8bc99be4cd9b9ea7c7dec2fef17220f1e842b8137d40fcf9fc1c2fd6a38b3f53<BR>ebac8146a92545fac79909c54e2bcd5de296dc3efa3e863aad538644f1bfebdb<BR>
ssdeep: 768:rjaqki7syKyo6/MOSTG/gAUb7K7pwKNct9RmZ6WsFMvKkXW+bTQoUE6xk:rj<BR>CesyKq/JSTGnUbCiXRm5Cimve<BR>
PEiD..: ASPack v2.12
TrID..: File type identification<BR>Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x413001<BR>timedatestamp.....: 0x1d012b (Fri Jan 23 00:00:43 1970)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 10 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>Cvxd 0x1000 0x3000 0xff003000L 7.95 255bdc5ffd6ebfce26459439689e72ce<BR>Ddjt 0x4000 0x1000 0x200 7.89 91b0e46b448a8aa90a882dbb79fff80e<BR>cze 0x5000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.igkop 0x6000 0x1000 0x600 7.92 e672570e1a1041bd6a900c6b687a56f2<BR>.vxe 0x7000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rshrf 0x8000 0x1000 0x200 7.98 cb2d24a5e0ed3a9243d2e88ec1859e60<BR>.rgusq 0x9000 0x1000 0xff00 7.94 2049b8a68c91e9d4d605eb8f834ba7dc<BR>.rbvj 0xa000 0x9000 0xff00 7.93 9316f4e47eef6a7d69794401d110d01b<BR>.awj 0x13000 0x1000 0x1000 5.34 8467022c7bfd23973ce535d13f63870e<BR>.ajfgt 0x14000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR><BR>( 0 imports ) <BR><BR>( 0 exports ) <BR>
packers (Kaspersky): PE_Patch, ASPack
|
Avast! Jeszcze mnie chroni, ale te ciągłe komunikaty mogą dobić - pytanie - „Jak przerwać ataki”
PS. M@rEK przesyłam na PW adres tej „stronki”, ale proszę uważaj .
M@rEK - Sob 20 Gru, 2008
Dzięki ZEB_45 jak coś więcej się dowiem(potestuję) o tym "potworku" - napiszę.
ZEB_45 napisał/a: |
........, bo po uaktywnieniu nie pomaga nawet kilkukrotne formatowanie całkowite wszystkich dysków (partycji). |
Przypuszczam - ba domyślam się, że wykonując formatowanie partycji czy dysków nie zrobiłeś jednej bardzo ważnej czynności i dlatego problem się powtarza.
Czynnością , którą obowiązkowo trzeba w takich przypadkach wykonać jest - wyczyszczenie Głównego Rekordu Startowego Master Boot Block = MBR (ang. Master Boot Record)
Jeżeli uszkodzeniu ulegnie MBR to jest możliwość jego naprawy z wiersza poleceń:
fdisk /mbr
używamy w tym przypadku - dyskietkę startową od win98, win Milenium lub przygotowujemy płytkę botującą pod DOS-a
lub
Naprawa MBR za pomocą konsoli odzyskiwania:
fixmbr
Pozdrawiam M@rEK
Low_radiation - Sob 20 Gru, 2008
M@rEK napisał/a: | używamy w tym przypadku - dyskietkę startową od win98, win Milenium |
Przy systemie plików NTFS chyba nie da rady
M@rEK - Sob 20 Gru, 2008
Low_radiation napisał/a: | Przy systemie plików NTFS chyba nie da rady |
He, he , he ... spróbuj a potem napisz zdanie pytające
Faktem jest, że dzisiaj w "dobie CD-Romów" korzystanie z dyskietek to " przeżytek" , laptopy już nie maja montowanych stacji dyskietek, jednak prawda jest taka, że czasami naprawdę to "stare urządzonko " się przydaje.
Zrobiłem sobie płytkę serwisową i z niej korzystam w "trudnych" chwilach
Nie piszę o wejściu na HDD lecz o wyczyszczeniu MBR
Pozdrawiam M@rEK
Endriu48 - Sob 20 Gru, 2008
ZEB_45 spróbuj ściągnąć HijackThis 2.0.2 i wkleić pełny log.
quest71 - Sob 20 Gru, 2008
Low_radiation, Da radę. Sam często korzystam z CDka Win98 do naprawy systemów. W prosty sposób można z HD zrobić wszystko używając fdisk.
Stevie napisał/a: | widziałeś coś darmowego i dobrego |
Lanie od wyrostków za "niemanie" papierosa.
Jeśli komuś szkoda nie całej stówy rocznie na porządnego AntyVira musi się liczyć z niezbyt pewnym zabezpieczeniem komputera.
ZEB_45 - Sob 20 Gru, 2008
M@rEK rada bardzo cenna, o tym nie wiedziałem (jestem tylko samoukiem),
ale źle mnie zrozumiałeś (chyba), bo to nie ja musiałem formatować tylko tak wyczytałem na forum, ten robal nie mógł pokonać mojej wersji Avast!
Endriu48 - już przygotowałem się do zrobienia logu z "ComboFix" ale:
Właśnie w trakcie pisania tego postu ataki z jakiegoś mi bliżej nieznanego powodu ustały.
quest71
Cytat: | Lanie od wyrostków za "niemanie" papierosa.
Jeśli komuś szkoda nie całej stówy rocznie na porządnego AntyVira musi się liczyć z niezbyt pewnym zabezpieczeniem komputera. | Przypomniałeś mi właśnie historię, która przydarzyła mi się osobiście jakieś dwa lata temu a mianowicie:
Wracam z garażu do domu, późny wieczór nie wielu ludzi na ulicach, palę papierosa i podchodzi do mnie "gostek" mówiąc:
"g" - daj zapalić;
Ja - nie;
"g" - dlaczego:
Ja - bo nie i już (tak zdecydowanie, nie pozostawiając żadnych złudzeń).
"gostek" położył uszy po sobie i już nic nie mówiąc poszedł w swoją stronę (mniemam, że zwątpił obejrzawszy moją posturę z bliska, a tak na marginesie 190 cm wzrostu waga ok. 110 kg. (obecnie) a będąc jeszcze w służbie (teraz emeryt) to przez prawie dwadzieścia lat - WF po 3 do 4 godz. codziennie.
Wracając do tematu to przypuszczam, że:
1 - robal musi mieć funkcję namierzania i wybierania nr IP;
2 - wybrany nr atakuje ze swojej strony (tej http.), jak pisałem co 50 sek. przez 24 godz.;
3 - jeśli nie przełamie zapory - daje spokój (odpukując w niemalowane i plując przez lewe ramię do tyłu).
PS. Ad. 1 Z córką jesteśmy na tej samej linii (z kablówki) i na nią ten robal nie napadł (ma inne IP).
[ Dodano: Nie 21 Gru, 2008 ]
Witajcie, niestety dziś od rana tj. od ok., 8.30 kiedy połączyłem się z siecią ataki pojawiły się ponownie (czyżbym za słabo odpukał w niemalowane lub za mało popluł? ).
Jestem przekonany, że ktoś zmodyfikował robala i ten dokonuje teraz ataków, co ok. 45 sek. wszystko wskazuje na to, że na jakiś czas będę musiał odłączyć się od sieci dla ukojenia skołatanych nerwów.
|
|