39 replies to this topic

[misiek11]

Witam

Otóż jest taki problem, że mam w pracowni serwer i są kompy, taka normalna pracowania. I na serwerze ten plik hosts (ten który jest w C:/Windows/system32/drivers/etc) blokuje strony ale na kilku komputerach w tej pracowni tak się nie dzieje... Na 12 kompach plik (dla każdego kompa jest indywidualny!) blokuje strony a na 4 nie. I tu moje pytanie, dlaczego tak się dzieje? Próbowaliśmy z nauczycielem ten plik od nowa napisać na tym kompie na którym nie blokuje , tak jak na serwerze jest, i dalej nie blokuje stron. Ma ktoś jakiś pomysł? Z góry dzięki.

[magik092]

Windows XP/7/2000/Vista/98/95/2/1 ?
Cache przeglądarki wyczyszczone?
Cache DNS
Start->Uruchom (z klawiatury znaczek Windows + r)->wpisz "cmd" -> enter->wpisz:
ipconfig /flushdns
wyczyszczone?

[misiek11]

Na kompach jest Win XP, cache przeglądarki wyczyszczone, dns też. Nic nie pomogło.

[mw_1975]

Zobacz, czy jakiś cwaniak nie włączył proxy.

[misiek11]

Proxy wyłączone.
Tak nawiasem mówiąc to nauczyciel nam powiedział że ta pracownia nie korzysta z proxy.. + to , że to nie przez przeglądarkę nie działa bo na żadnej nie chodzi blokowanie stron, próbowaliśmy na IE, na Mozilli i na Operze. Na każdej to samo..

[magik092]

Może łatwiej blokować te strony np. na routerze/serwerze

[misiek11]

Dobra, może i łatwiej. Ale naszemu nauczycielowi zależy na tej metodzie.
I powiedział że kto znajdzie rozwiązanie to dostaje 5 na półrocze ja chodzę do informatyka, także wiesz, zależy mi na tym, żeby rozwiązać ten problem. Też jestem ciekawy, czemu to nie działa...

[magik092]

Ja bym wrzucił płytkę z Windowsem i wpisał w konsoli cmd: "sfc /scannow". Może na kompach został jakiś syf po infekcji malware
Jeśli nie to spróbuj skopiować działający plik na ten komputer.

[misiek11]

Znaczy tak.
Na początku roku były od nowa instalowane systemy na tych kompach. Potem na jednym komputerze były zrobione wszystkie ustawienia typu pulpit itp., a potem zrobiliśmy obraz tego kompa i ten obraz był wgrany na pozostałe kompy. Więc myślę że malware nie ma
Pisałem, że próbowaliśmy od nowa pisać ten plik, ściągaliśmy z różnych stron nowe pliki i podmienialiśmy i nie działało dalej...

[magik092]

"Na początku roku były od nowa instalowane systemy (...) myślę że malware nie ma" - dlaczego tak myślisz?
Spróbuj naprawy plików systemowych

[misiek11]

Bo wydaje mi się że tam nie ma prawa się wdać żadna infekcja
Kompy były stawiane od zera i jest Kaspersky
Nie wiem czy naprawa plików systemowych pomoże...
Dziwi mnie fakt że nie działa na 14 kompach a na 2 działa, a plik mają tak samo napisany...
Może to coś w rejestrze?

[magik092]

Skoro tak to sprawdź czy w

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath

jest ścieżka do pliku hosts. Jeśli jest to ... Winsock XP Fix lub próba naprawy.
"Bo wydaje mi się że tam nie ma prawa się wdać żadna infekcja" - prawa to nie mają politycy do rozpieprzania kraju, a co się dzieje
Po pierwsze to microsoft, po drugie wystarczy sprytny robak i Kasperski odwróci się przeciw Windowsowi

[misiek11]

Kurcze, pech bo w pracowni mam dopiero w poniedziałek ale na pewno napiszę jak rezultaty co do rejestru.
Prawo prawem, ale logika logiką wiem, że czasem i Kasperski wariuje bo nawet mi w domu jakieś dziwne rzeczy pokazuje nie wiem czy uda mi się nauczyciela przekonać do zrobienia skanu bo mi nie da pewnie płytki jak znam życie...
Tak nawiasem mówiąc to na ostatniej lekcji zaczął robić coś takiego, że znowu zrobił obraz kompa ale tego, na którym plik działa, i miał go wgrać na tego "złego" kompa. Zobaczymy co z tego wyniknie
Na razie kombinuję, dlaczego to wgl nie chodzi, co jest tego przyczyną... Bo nie mam pojęcia

[misiek11]

Dobra, więc tak.
Pytałem się gościa w pracowni, mówił że przywracanie systemu nie pomogło. sprawdzałem, u mnie na kompie nie chodzi dalej. W rejestrze byłem, wszystko jest tam ok...

[magik092]

W takim razie albo faktycznie jakiś składnik jest walnięty (a naprawa nie pomaga) albo to jednak pozostałość po malware. Wrzuć logi z HijackThis jak jest taka opcja:)

[misiek11]

Jeśli poczekasz to logi będę mieć najprawdopodobniej w poniedziałek
Dzięki za dotychczasową pomoc

Ps.: Mam zamiar przelecieć tego kompa jeszcze ComboFixem...

[magik092]

Oki, wyniki wrzuć na forum, czekam z niecierpliwością

[misiek11]

Log z HiJackThis
http://www66.zippysh...46651/file.html
Mam nadzieję że to nie problem że na zippy
Skanując ComboFixem wykrył on i usunął 2 foldery... Przy czym gdy w pliku hosts było ze 20 linijek tekstu, tego takiego od Microsoftu (instrukcje jak używać pliku) to ComboFix to usunął i jest nowy plik, w którym jedynie jest linijka
127.0.0.1 localhost
Czyli tak jakby ingerował chyba w ten plik... Nie wiem już sam. Ale dalej nie działa
PS.: log z HiJackThis był robiony po skanowaniu Combofixa, zrobiłem też przed ale nie wiem czy jest potrzebny więc nie wrzucam i jeszcze loga z otl mam jakby coś.
http://www66.zippysh...71231/file.html

Pozdro

[magik092]

Na pierwszy ogień, wrzuć na forum zawartość tych plików:

C:\AUTOEXEC.BAT
F:\AUTOEXEC.BAT
T:\autorun.inf

Potem w OTL wykonaj (zamykasz wszystkie aplikacje, Run Fix, restart komputera, potem powinien pojawić się log, wklej go)

:Processes
explorer.exe

:Files
C:\AUTOEXEC.BAT
F:\AUTOEXEC.BAT
T:\autorun.inf
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\SWREG.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\SWXCACLS.exe
C:\WINDOWS\MBR.exe
C:\WINDOWS\PEV.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\SETUP1.EXE

:Commands
[emptytemp]
[start explorer]

W HJ spróbuj pozbyć się

O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

Masz może jeszcze plik z logiem COMBOFIX?

[misiek11]

Log z ComboFixa
http://www47.zippysh...68986/file.html

Co do pliczków to mam je tylko skopiować, tak? Postaram się to zrobić
Co do OTL też się postaram zrobić tego skrypta
Co do HJT to nie wiem czy jest sens robienia czegokolwiek z deep freeze (bo jego dotyczy ten wpis) bo ten program jest zaufany, nauczyciel go ma i nie chcę nic robić z tym programem bo mógłbym go uszkodzić.