Skocz do zawartości


Zdjęcie

[wirus] Problem z wirusem/hakerem


  • Zaloguj się, aby dodać odpowiedź
1 odpowiedź w tym temacie

#1 GGG7

GGG7

    Nowy

  • 1 postów

Napisano 28 10 2008 - 19:53

Witam wszystkich. Na wstepie powiem ze poraz pierwszy pisze na jakimkolwiek forum o pomoc w sprawie usuniecia wirusa... o ile mozna go tak nazwac... zaczne od poczatku i postaram sie wyjasnic to mozliwie najdokladniej.

Jakies 4 tygodnie temu postanowilem zalozyc serwer gry (nieistotne jakiej) na wlasnym kompie. Mam stale ip (globalny adres). Zainstalowalem krasnala i wszystkie inne rzeczy niezbedne do postawienia stronki z rejestracja. Stronke sciagnalem i jej nie robilem osobiscie wiec mozliwe ze miala jakies dziury... wiekszosc serwow tej gry jest oparte na tej stronce. Zainstalowalem rowniez firewalla zeby zabezpieczyc serwer. Wczesniej powiedzmy ze nie mialem zadnego firewalla zainstalowanego. Mialem jedynie antywirusa co by mi xp nie marudzil. Jednak ostatniego wirusa nie liczac obecnego to ja mialem chyba ze 2 lata temu. Zawsze uwazalem ze moj komp jest w miare dobrze zbazpieczony przed adware, wirami a hakerow zabardzo sie nie balem bo tyle jest kompow na swiecie to czemu mieliby atakowac wlasnie mojego kompa... Przez pierwsze 2 tygodnie serwer ladnie dzialal, kompa zostawialem na noc wlaczonego. Pewnej nocy o 4:00 obudzil mnie dzwiek sygnalizujacy wirusa. Wstalem patrze ze moj program antywirusowy wykryl wirusa mniej wiecej w lokalizacji stronki serwera. Dalem delete po czym kompa ze strachu wylaczylem i poszedlem spac. Rano wlaczam kompa i wychodzi mi komunikat w stylu "nie udane podkrecenie procka" (nie wazne jaki byl komunikat, wazne jaki mial on sens i zebyscie zrozumieli ze o ile jest to mozliwe to ten wirus mi sie wpakowal do biosa i podwyzszyl taktowanie ktore po nastepnym wlaczeniu kompa nie zostalo zaakceptowane). Wszedlem do biosa i wgralem domyslne ustawienia. Komp sie wlaczyl normalnie. Przeskanowalem system antyvirem ale nic mi nie wykryl. Za to firewall z niewiadomych mi przyczyn zaczal nagle szalec. Co chwile laczyl sie z jakimis nieznanymi mi ip oraz wykrywal czesto ataki w formie skanowania portow itd Pomyslalem sobie ze moze to jakis haker zdazyl mi sie wbic na kompa i mozliwe ze dalej ma taka mozliwosc. Zablokowalem plik ktory zaczal sie laczyc z tymi IP (przed atakiem i tym wirusem nie laczyl sie tak czesto, pomyslalem ze zostal zainfekowany wiec go zablokowalem), byl to plik systemowy ntoskernel.exe Zaczalem szukac w googlach cos na temat wirusow powiazanych z tym oto plikiem. Dowiedzialem sie ze istnieje dosc perfidny wirus ktory jest z tym plikiem zwiazany. Z opisu wynikalo ze wirus skanuje wszystkie dysku od A do Z i zaraza wszystkie pliki dll i exe (oraz jeszcze jakies nie pamietam rozszerzenia ale zwiazane one sa z plikami systemowymi). Ponoc piekielnie ciezko jest go usunac. Jako ze wczesniej zamowilem nowy dysk twardy to sobie pomyslalem ze pieprze to, firewall blokuje te polaczenia, wszystko ladnie pieknie dziala to nie bede sie tym narazie przejmowal i poczekam az przyjdzie dysk to wgram sobie nowy system i bedzie spokoj. Dodam ze podczas ataku i po dzis dzien na starym dysku mialem program Avira AntyVir PE oraz Sygate Personal Firewall. Dysk przyszedl, zainstalowalem XPka Prof. Net skonfigurowany, zainstalowalem KiS oraz o ile dobrze pamietam Outpost Firewall (darmowy cypryjski firewall, mam nadzieje ze to ta nazwa bo juz nie pamietam), w kazdym razie postawilem na jakosc i bezpieczenstwo. Od razu po zainstalowaniu KiS przeskanowalem kompa, nic nie wykrylo. Nowy firewall... ustawilem na moje oko tak jak nalezy... lecz zaniepokoily mnie pewne komunikaty ktore pojawialy sie co chwile cos w stylu ze plik nstokrnl.exe (i kilka innych systemowych) oraz pliki dll zostaly zmienione... i lista plikow... co chwile pokazywalo mi inne pliki (srednio 5-10 na sekunde) najpierw z folderow systemowych a nastepnie z folderow w KiS i Firewallu... nie byly to tylko pliki exe i dll ale tez inne. Po czym firewall znowu zaczal mi wykrywac jakies skany portow oraz proby polaczenia z dziwnymi IP przez nstokrnl.exe

Znam sie cos niecos na kompie... expertem nie jestem, rzadko sie z takim czyms spotykam i prosze o pomoc. Na moje oko i na moja wiedze jeszcze raz w skrocie powiem co prawdopodobnie sie stalo. Przed tym wirusem i padem serwa rozmawialem z osoba ktora bardzo znala sie na kompach, na grze i stawianiu serwa, oraz na stronkach i ich stawianiu.... generalnie mowiac to ta osoba znala sie bardzo dobrze na kompie. Znala wiele informacji na temat moich zabezpieczen i mojego sprzetu i programow z jakich korzystam. Wiem ze ta osoba potrafila np sprawic by to forum przestalo dzialac, nie wiem czy potrafil to zrobic na dlugo ale wiem ze spokojnie na conajmniej 15 sekund bylby w stanie. Skad to wiem? Stad ze dal mi pokaz, mowiac zebym sobie wybral stronke ktora ma "crashnac". Wybralem strone najlepszego i najpopularniejszego serwa tej gry. Zrobil to. Pomyslalem sobie ze pewnie ma to zwiazek z wysylaniem pakietow i mu to powiedzialem, powiedzial ze tak, ze mam racje. Rownie dobrze mogl mnie oklamywac... nie wiem.... wiem ze byl dobry w te kulki i ze ma spore mozliwosci. Podejrzewam ze to on za tym wszystkim stoi. Chcial zepsuc kolejny serwer i miec z tego dziecinna ucieche i satysfakcje. Dlatego tez przez jakas dziure w stronce (bo z pewnoscia znal sie na tej stronce 10 razy lepiej odemnie) jakos wprowadzil wira ktory zrobil mi burdel na kompie.

Obecnie moge w kazdej chwili przepiac dysk na nowy lub stary, obecnie dzialam wciaz na starym dysku i plikach na nim. Chcialbym rozwiazac ten problem na nowym dysku i gdy mi sie to uda to stary sformatowac i miec spokoj. Prosze Was, fachowcow o pomoc w rozwiazaniu tego problemu. Dam kazdy log jaki chcecie, moge dac screeny z firewalla jednego czy drugiego. Myslalem ze najlepszy antyvir na swiecie i jeden z najlepszych firewalli dadza sobei rade ale cos im to nie wychodzi. Licze ze Wam sie to uda.

Chcialbym sie przy okazji zapytac czy jest to mozliwe zeby wirus wciaz siedzial w jakis sposob w biosie, lub w jakims innym miejscu niz Dysk twardy, np pamiec. Lub czy jest to mozliwe ze mam non stop skanowany komputer i w kazdej chwili gdy system jest nie zabezpieczony to moze mi sie znowu ten wir wyslac? Na moja wiedze ten wirus o ile nim rzeczywiscie jest dziala w ten sposob ze infekuje kompy, a nastepnie skanuje inne kompy do ktorych moze wysylac znowu wiry... i tak infekuja sie kompy pokolei coraz to bardziej i jest ich coraz wiecej.

Prosze o pomoc :)

Jezeli mam dac logi z czegokolwiek to prosze od razu mowic czy z nowego czy starego dysku lub z obydwoch.

Stary dysk = XP Prof SP2, Avira Antyvir PE, Sygate Personal Firewall
Nowy dysk = XP Prof SP2, Kaspersky (KiS7), Outpost Firewall (nie jestem pewien czy to ten, czy to ta nazwa, pamietam tylko ze kraj producenta to Cypr i ze jest darmowy)

  • 0

#2 karolkuich

karolkuich

    Początkujący

  • 141 postów

Napisano 28 10 2008 - 21:24

Dziwna sprawa... Dołączona grafika Też nie jestem ekspertem, ale spróbujemy coś z tym zrobić...

Jedziemy na starym dysku.

1. Pobierasz WWDC lub SeconfigXP i "instalujesz" je według opisu: http://www.bezpieczenstwosystemow.pl/index.php?topic=266.0
2. Skanujesz ntoskrnl.exe na http://www.virustotal.com/pl/
3. Odinstalowujesz Sygate Personal Firewall, bo jest już dawno nieaktualny i instalujesz Comodo lub Online Armor
4. Na początek log z HijackThis : http://forum.idg.pl/index.php?showtopic=118804

  • 0

Zobacz więcej tematów z tagiem: Avira



Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych