ZEB_45 - Pią 19 Gru, 2008 Temat postu: Uwaga pasożyt! Używam: Avast! 4.8 Home Edition Kompilacja: Dec2008 (4.8.1296) Strona przedstawiona, poniżej co ok. jedną minutę atakuje mnie:   http://xxxxxxgate.exe 
Próbuje umieścić w katalogu C:\WINDOWS\system32\swob.exe Nazwa pasożyta: Win32:Rootkit-gen [Rtk] Typ pasożyta: Rootkit Wersja VPS: 081218.0, 2008.12.18 Czy to jest bardzo groźne? 
Ps. Ataki rozpoczęły się dziś od ok. godz. 20.00 po połączeniu się do sieci. Między 10.00 a 12.00 nie było żadnych ataków, avast uaktualnił swoją bazę i wszystko było OK. [EDIT]: Na forum nie umieszczamy linków prowadzących do zarażonych stron www 
RadArek - Pią 19 Gru, 2008 Ty sobie chłopie jaja chyba robisz! Zamieściłeś tego Roukita w linku. Ty jesteś albo nieodpowiedzialny albo celowo chcesz zarazić userów forum... ZEB_45 - Pią 19 Gru, 2008 RadArek Wybacz o tym, że mogę zaszkodzić to niestety nie pomyślałem – na obronę mam że go oznakowałem
I dodatkowo teraz wrzuciłem parę xxxxxx w ten link Endriu48 - Pią 19 Gru, 2008 ZEB_45, Swój problem opisz TUTAJ i tam znajdziesz pomoc. 
RadArek - Pią 19 Gru, 2008 Ok. Można również skorzystać z ze strony Microsoftu gdzie ci to za darmo wyczyszczą. http://onecare.live.com/s...t.htm?s_cid=sah Naciśnij na: czyść wszystko i powinno pomóc.  ( oczywiście przeglądarka Internet explorer...)
I zmień antywira 
yoda - Sob 20 Gru, 2008 A co chcesz od Avasta? Kiepski? Stevie - Sob 20 Gru, 2008 yoda, widziałeś coś darmowego i dobrego 
Jeżeli nie śmiga się po Bóg wie jakich stronach, to może on zadać egzamin. W innym przypadku warto wydać stówkę za profesjonalny i komercyjny pakiet.
M@rEK - Sob 20 Gru, 2008
ZEB_45 - mam prośbę - podrzuć mi na PW adres tej stronki. W celach naukowo szkoleniowych chcę przetestować swojego antyvira oraz "wyciągnąć " tego robaczka .
Tak jak Stevie pisze darmowe programy antywirusowe mają pewne ograniczenia. Warto raz w roku wydać ok. 100 PLN i miec pełny komercyjny program. Proszę przeliczcie siobie ile to jest dziennie złotych ( jeden browar mniej  )
Pozdrawiam M@rEK
ZEB_45 - Sob 20 Gru, 2008 Witam ponownie, choć z trudnościami. Więc po kolei: Endriu48 - Twój pierwszy link skierował mnie na stronę www.netarteria.pl - sprawdziłem - domena już zajęta i nic więcej, napisałem do nich na admin@netarteria.pl - odpowiedzieli że to nie ich strona i nie mają nic z tym wspólnego. Dziś Twój (domniemam się) poprawiony link skierował mnie na forum (od rana czekam na rejestrację, aby cokolwiek napisać, na razie bez rezultatów). RadArek - skorzystałem z Twego linku i oczywiście wyczyściłem wwszystko, coznalazł skaner (tylko pliki tymczasowe nieusunięte automatycznie i trochę nieaktualnych wpisów do rejestru – nic więcej nie znalazł). Stevie Założyciel - zapewne masz rację, ale Avast nie dopuszcza do instalacji tego robala i jak na razie zdaje egzamin (akurat byle, jakich stron nie odwiedzam, z zasady i przekonania unikam stron niepewnych i zarazem groźnych). Naczytałem się o tego typu robalach na różnych forach i widzę, że jest on bardzo groźny, bo po uaktywnieniu nie pomaga nawet kilkukrotne formatowanie całkowite wszystkich dysków (partycji). Przypominam: Atak następuje ze strony http…. (już zmierzyłem stoperem) co ok. 50 sek. po uaktywnieniu połączenia z netem. A zapewniam, że jest to niesamowicie denerwujące (ciągłe komunikaty o wykryciu pasożyta i jego usuwaniu). Ponadto trafiłem na stronę: http://www.virustotal.com/pl/ gdzie wykonałem skanowanie tego pliku, a oto wyniki, raport zwięzły:
Avast! Jeszcze mnie chroni, ale te ciągłe komunikaty mogą dobić - pytanie - „Jak przerwać ataki” PS. M@rEK przesyłam na PW adres tej „stronki”, ale proszę uważaj .
M@rEK - Sob 20 Gru, 2008
Dzięki ZEB_45 jak coś więcej się dowiem(potestuję) o tym "potworku" - napiszę.
Przypuszczam - ba domyślam się, że wykonując formatowanie partycji czy dysków nie zrobiłeś jednej bardzo ważnej czynności i dlatego problem się powtarza. Czynnością , którą obowiązkowo trzeba w takich przypadkach wykonać jest - wyczyszczenie Głównego Rekordu Startowego Master Boot Block = MBR (ang. Master Boot Record) Jeżeli uszkodzeniu ulegnie MBR to jest możliwość jego naprawy z wiersza poleceń: fdisk /mbr używamy w tym przypadku - dyskietkę startową od win98, win Milenium lub przygotowujemy płytkę botującą pod DOS-a lub Naprawa MBR za pomocą konsoli odzyskiwania: fixmbr Pozdrawiam M@rEK
Low_radiation - Sob 20 Gru, 2008
Przy systemie plików NTFS chyba nie da rady
M@rEK - Sob 20 Gru, 2008
He, he , he ... spróbuj a potem napisz zdanie pytające
Faktem jest, że dzisiaj w "dobie CD-Romów" korzystanie z dyskietek to " przeżytek" , laptopy już nie maja montowanych stacji dyskietek, jednak prawda jest taka, że czasami naprawdę to "stare urządzonko " się przydaje.
Zrobiłem sobie płytkę serwisową i z niej korzystam w "trudnych" chwilach Nie piszę o wejściu na HDD lecz o wyczyszczeniu MBR
Pozdrawiam M@rEK
Endriu48 - Sob 20 Gru, 2008 ZEB_45 spróbuj ściągnąć HijackThis 2.0.2 i wkleić pełny log.
quest71 - Sob 20 Gru, 2008 Low_radiation, Da radę. Sam często korzystam z CDka Win98 do naprawy systemów. W prosty sposób można z HD zrobić wszystko używając fdisk.
Lanie od wyrostków za "niemanie" papierosa. Jeśli komuś szkoda nie całej stówy rocznie na porządnego AntyVira musi się liczyć z niezbyt pewnym zabezpieczeniem komputera. ZEB_45 - Sob 20 Gru, 2008 M@rEK rada bardzo cenna, o tym nie wiedziałem (jestem tylko samoukiem), ale źle mnie zrozumiałeś (chyba), bo to nie ja musiałem formatować tylko tak wyczytałem na forum, ten robal nie mógł pokonać mojej wersji Avast!
Endriu48 - już przygotowałem się do zrobienia logu z "ComboFix" ale:
Właśnie w trakcie pisania tego postu ataki z jakiegoś mi bliżej nieznanego powodu ustały. 
quest71
Wracam z garażu do domu, późny wieczór nie wielu ludzi na ulicach, palę papierosa i podchodzi do mnie "gostek" mówiąc: "g" - daj zapalić; Ja - nie; "g" - dlaczego: Ja - bo nie i już (tak zdecydowanie, nie pozostawiając żadnych złudzeń). "gostek" położył uszy po sobie i już nic nie mówiąc poszedł w swoją stronę (mniemam, że zwątpił obejrzawszy moją posturę z bliska, a tak na marginesie 190 cm wzrostu waga ok. 110 kg. (obecnie) a będąc jeszcze w służbie (teraz emeryt) to przez prawie dwadzieścia lat - WF po 3 do 4 godz. codziennie. Wracając do tematu to przypuszczam, że: 1 - robal musi mieć funkcję namierzania i wybierania nr IP; 2 - wybrany nr atakuje ze swojej strony (tej http.), jak pisałem co 50 sek. przez 24 godz.; 3 - jeśli nie przełamie zapory - daje spokój (odpukując w niemalowane i plując przez lewe ramię do tyłu). PS. Ad. 1 Z córką jesteśmy na tej samej linii (z kablówki) i na nią ten robal nie napadł (ma inne IP). [ Dodano: Nie 21 Gru, 2008 ] Witajcie, niestety dziś od rana tj. od ok., 8.30 kiedy połączyłem się z siecią ataki pojawiły się ponownie (czyżbym za słabo odpukał w niemalowane lub za mało popluł?  ).
Jestem przekonany, że ktoś zmodyfikował robala i ten dokonuje teraz ataków, co ok. 45 sek. wszystko wskazuje na to, że na jakiś czas będę musiał odłączyć się od sieci dla ukojenia skołatanych nerwów. 
|
