proszę o sprawdzenie loga

[jolajola1]

Restartuje mi się komputer, wysyłając najpierw komunikat,
składający się dwóch komunikatów.
Główny komunikat: Trwa zamykanie systemu. Zapisz pracę i wyloguj
się. Wszystkie niezapisane dane zostaną utracone. Zamkniecie
zostało zainicjowane przez ZarządzanieNT\System.
W ramce pod spodem komunikatu: System Windows musi być uruchomiony
ponownie. Zdalne wywoływanie procedur RPC zostało nieoczekiwanie
przerwane.

Komp przeskanowany Nortonem (oryginalny) i Ad-warem, nie znalazło
nic. System nowy, stawiany w lipcu, zaktualizowany. Łaty na robaki
zainstalowane przy syatwianiu systemu. Nic nowego nie było
instalowane w ciągu ostatniego tygodnia.
Zarządzanie komputerem, podgląd zdarzeń w systemie nie zapisuje
żadnego błędu.


Czynności podane w tym artykule (
faq.pcformat.pl/index.php/Jak_usun%C4%85%C4%
87_Blastera_lub_Sassera_(czyli_restart_co_60s)) pozwoliły mi
opanowac restarty.
"... Zobaczymy okno Usługi. Przechodzimy w nim do Zdalne
wywoływanie procedur (RPC). Podwójnym kliknięciem uruchamiamy
zakładkę Właściwości na której to przechodzimy do Odzyskiwanie i
tam w polach Pierwszy błąd, Drugi błąd oraz Kolejny błąd, z
rozwijanego menu zaznaczamy wszystkie trzy pozycje jako Uruchom
usługę ponownie, zamiast standardowego Uruchom komputer ponownie.
Upewniamy się także, czy w polu Uruchom usługę ponownie po:
widnieje wartość 1, czyli 60s. Akceptujemy zmiany klikając na
Zastosuj a następnie OK...."


jeszcze raz, na spokojnie, przeskanowałam wszystko. nic nie
znalazło.
z linków z artykułu ściągnełam uaktualnienia, ale mój komp mówi, ze
ma zainstalowane nowsze i ich nie chce.
ręczne szukanie zainfekowanych plików nie przyniosło zadnego
rezultatu. szczepionki Symanteca na sassera i na blastera
przeskanowały wszysko i nic nie znalazły.

w windows/system32/ znalazłam tylko jeden podejrzany plik.
nazywa się lsass.exe, ma dwie litery s na koncu. plik przynalezny
do Sassera ma tych s trzy. więc to chyba nie jest to...

więc wszystko wskazuje, ze restartu nie robi ani Blaster ani
Sasser ! choć ekran z komunikatem zamykającym pasuje do Blastera

po pierwsze, mam od zawsze tę pasująca łatę na robaki.

po drugie, ten reset nie jest zaraz po uruchomieniu, czasem kopm
chodzi godzinę, czasem pół dnia, a objawy po robakach są inne.

po trzecie, w rejestrze i w system 23 i w prefeth nie ma śladów po
zarażeniu robalami.

WIĘC CO JA MAM ŹLE ?

wkleiłam log z Hijacka, proszę
wklej.org/hash/65eb186cb6/

[Gość: Kolobos]

Zainstaluj SP3 (o ile jeszcze nie masz), uzyj wwdc.exe oraz zainstaluj firewall comodo. Nastepnie daj CALY log z hijackthis oraz combofix.

[jolajola1]

sorry, źle mi sie wkleił tamten log z hijacka
tu prawidłowy
wklej.org/id/7575/
co do zaleceń,
to SP3 nie chcę mieć, nie wiem ile w tym prawdy, ale nie chce miec
na kompie "narzedzi do sprawdzania legalności", wole nie ryzykować

nie wiem, co to jest wwdc.exe, z gógli moge przypuszczać tylko, ze
zamykacz portów... skąd go wziąć i które porty nim zamknąc,
przeciez jakies musze miec otwarte do komunikacji ze sprzetem
stojącym wokół, chyba

firewall comodo zaraz zainstaluję, acz z obawami, poprzedni
firewall, sprzed reinstalu systemu, zepsuł mi połaczenia klienta ftp

combofixa jeszcze dzisiaj

ach, przeskanowałam całego kompa microsoftowym narzędziem do
złośliwego oprogramowania, wydal orzeczenie, zem czysta

[Gość: Kolobos]

Pod SP2 tez bylo, wiec zainstaluj SP3 zamiast wymyslac.
Nie wpadlo Ci do glowy, ze wwdc znajdziesz na pierwszej lepszej stronie dotyczacej wwdc? (po wpisaniu wwdc w google jest to pierwszy link). wwdc zamyka tylko pare portow, ktore nie maja zwiazku z tym o czym piszesz, ewentualnie mozesz zostawic netbios otwarty.

> firewall comodo zaraz zainstaluję, acz z obawami, poprzedni
> firewall, sprzed reinstalu systemu, zepsuł mi połaczenia klienta
> ftp

Samo sie nic nie psuje, nie ustawilas, wiec nie dzialalo..

> combofixa jeszcze dzisiaj

Moglas napisac jak juz go uzyjesz.

[jolajola1]

użyłam zamykacza portów
znaczy, odpaliłam tylko
ja nie mam zółtych trójkątów!
ja mam czerwone kółka !!!!
nie wiem, co robić, zeby nie zepsuć
jak i które zamknąć?
(udostępniam drukarkę i na karcie sieciowej z mojego PC jest
podłączany laptop, udostęnianie dostępu do internetu)

[jolajola1]

tu jest zrzut ekranu
jolajola1.fm.interia.pl/komp/zamykacz_port.jpg

[jolajola1]

kolobosie, napisałeś:
< Zainstaluj SP3 (o ile jeszcze nie masz), użyj wwdc.exe oraz
< zainstaluj firewall comodo. Następnie daj CALY log z hijackthis
< oraz combofix.

Sp3 zainstalowane.

Nie zainstaluję firewalla comodo, bo strasznie się gryzie z moim
Nortonem. Mam włączonego firewalla w Nortonie. Mogę w nim wybrać
programy z kompa, które mogą się dowolnie łączyć z siecią oraz te
nieuprawnione. Pomijam fakt, ze Norton jest po polsku i rozumiem,
co do mnie mówi. Comodo każe mi go wyłączyć i straszy,
że „workaround – uninstall norton personal firewall”. Wolę nie.

Zamykacz portów. Nie miałam żółtych trójkątów, tylko czerwone,
straszące kółka. Ale pozamykałam. Oprócz netBIOSa. Bo udostępniam:
połączenie internetowe i drukarkę dla domowych laptopów, mamy też
wspólne udostępniane dokumenty.

Log z hijacka wklej.org/id/7727/

Log z combofixa wklej.org/id/7730/
Tylko wspomnę, że pod koniec tworzenia loga, po restarcie, combofix
okrrropnie pogryzł z nortonem, przy skrypcie
c:\combofix\inkread.ubs (jakoś tak). Ale sie udało.
Po drugie wspomnę, że na początku skanowania combifix pokazał
okienko z czerwonym ostrzeżeniem: USDM – open driver fail 2!” i
tylko przycisk OK. ja używam USDM, to program do monitorowania
temperatury wewnątrz, przynależny do płyty głównej. Teraz, po
restarcie, nie mam go i bardzo mi się to nie podoba.

[Gość: Kolobos]

> Nie zainstaluję firewalla comodo, bo strasznie się gryzie z moim
> Nortonem.

Skoro masz juz firewall to nie instaluj drugiego.

> po restarcie, combofix okrrropnie pogryzł z nortonem, przy
> skrypcie

Na przyszlosc wylacz antywirus przed uzyciem combofix.

USDM przeinstaluj po wszystkim.


Utworz na pulpice plik CFScript.txt i wklej do niego:

File::
C:\WINDOWS\005517_.tmp
C:\WINDOWS\system32\msporc.dll
C:\WINDOWS\system32\dots.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28735404-8d4f-11dd-a5bc-001947ac9199}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d8419fc4-8824-11dd-a59b-001947ac9199}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9fc6e1c-6320-11dd-a54e-001947ac9199}]

Zapisz i przeciagnij go na ikone combofix.exe, po wykonaniu daj nowy log.
Poczytaj tez o zapobieganiu infekcji z pendrive'a:
www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html

po leczeniu - proszę o sprawdzenie loga

[jolajola1]

ja rozumiem, że głównym winopwajcą dziwnego zachowania mojego kompa
był wirus.
przez ponad 2 miesiące nie aktualizowałam nortona i wlazł mi
UFO.exe, nawet wiem dokładnie skąd.
tylko.... dlaczego atak stał sie kłopotliwy, gdy już ufo zostało
antyvirem usunięte i dlaczego atak przyjął formę ataku Blastera????
Mimikra?????

poniżej dołączam link do logu z combofixa powklejeniu pliku
CFScript.txt
wklej.org/id/8848/

[Gość: Kolobos]

Nic sie nie usunelo, uzyj jeszcze raz combofix z cfscript.txt ale tym razem w trybie awaryjnym.

> głównym winopwajcą dziwnego zachowania mojego kompa
> był wirus.

Na wirusy jest antywirus i nie widac tego typu infekcji w logach.

> UFO.exe, nawet wiem dokładnie skąd.

Z zainfekowanego pendrive'a.

> tylko.... dlaczego atak stał sie kłopotliwy, gdy już ufo zostało
> antyvirem usunięte i dlaczego atak przyjął formę ataku Blastera????
> Mimikra?????

Nie mialo to zwiazku z infekcja z pendrive'a, a sama infekcja nie miala zwiazku z blasterem jedyne podobienstwo to komunikat i reset.

[jolajola1]

Gość portalu: Kolobos napisał(a):
> Nic sie nie usunelo, uzyj jeszcze raz combofix z cfscript.txt ale
tym razem w trybie awaryjnym.

Kolobosie, czemu Ty mnie straszysz ? I czemu Twoja szczepionka nie
zadziałała????
i co to znaczy, ze mam u zyć w trybie awaryjnym ? tryb awaryjny
kompa??? czy tryb awaryjny combofixa?
podpowiedz, jak, proszę, bo ja sie nie znam...