39 replies to this topic

[magik092]

Niepokoi mnie trochę, że ten programik startuje ze startem systemu.

[misiek11]

Dobra to ja może troszkę wytłumaczę.
deep freeze działa tak: robisz coś na kompie, usuwasz jakiś plik itp., po restarcie kompa masz ten plik od nowa. Jeśli masz w nim ustawione oczywiście zamrożenie. Jeśli jest odmrożony to można robić wszystko w systemie i to się zapisuje. Gościu na czas mojej pracy z tymi trzema programami odmroził mi kompa. A normalnie ten program jest zawsze i jest opcja zamrożony, żeby uczniowie czegoś nie namieszali w systemach

[magik092]

No tak, tylko, że jeśli jest odmrożony ot i tak działa? Jeśli tak to można pominąć operacje związane z nim.
Myślałem, że "odmrożenie" będzie wiązało się z brakiem pracy tego procesu w tle

[misiek11]

Haha nie, to tak jakbyś wyłączył autoochronę w kasperskim, ale nie wyłączał go całkowicie
czyli jeśli nie chce ingerować w ten plik to tylko mam usunąć wiersz o nim ze skryptu tak?

[magik092]

Dokładnie

[misiek11]

Dobra. Na następnej lekcji wbijam na kompa w tej pracowni, tylko nie wiem czy nauczyciel da mi skrypty wprowadzać potem jeszcze napisze

[misiek11]

Dobra. Na następnej lekcji wbijam na kompa w pracowni, zobaczę czy nauczyciel da mi wkleic skrypt jeszcze napisze jak rezultaty

[magik092]

Jeszcze zainteresowałbym się co jest w tych plikach:

C:\AUTOEXEC.BAT
F:\AUTOEXEC.BAT
T:\autorun.inf

Można je notatnikiem otworzyć.

EDIT: Spróbuj jeszcze czegoś takiego:
-dodaj do pliku hosts adres jakiego tam jeszcze nie ma (np. Google)
-spinguj Google, napisz co zwraca ping
-sprytnie zapisz w hosts adres Googli w postaci 0.0.0.0 www.google.pl
-napisz jaki rezultat pingu

[misiek11]

Tu masz folder, jaki wygenerował OTL po wykonaniu skryptu (są tam te pliki autoexec, z tym że dysk F: to był akurat mój pendrive i nie ma tego pliku )
http://www56.zippysh...27692/file.html

Log z OTL po skrypcie
http://www56.zippysh...34130/file.html

Dodałem google.pl do pliku hosts tak, że wyglądało to w ten sposób:
127.0.0.1 google.pl
potem cmd--> ping google.pl --> wyrzuciło adres 127.0.0.1 czyli ten z przekierowania. Po wpisaniu 0.0.0.0 jest tak jak poprzednio - czyli nic się nie stało.
A hosts dalej nie chodzi

PS.: sory za 2 takie same posty, uroki internetu

[magik092]

W pliku autorun.ini jest odniesienie do podejrzanego pliku kohceq.pif, nie mogę znaleźć informacji na jego temat ale śmie twierdzić, że coś było zalęgnięte.
Poszukaj pliku kohceq.pif, dodatkowo mile byłoby sprawdzić jakie usługi działają w tle i jakie procesy.
Mam coraz mniej pomysłów co do działania pliku hosts.

[misiek11]

Yhm. No właśnie wrzuciłem skrypta, dałem fix, zaczął robić, a za jakieś 2 minuty (podczas wykonywania skryptu) wywalił mi kasperski jakiegoś trojana o nazwie Vymabl.zk gdzieś w lokalizacji nie pamiętam ale C: /Windows/system32/jakiś tam folder. Usunąłem, za minutś spowrotem wykopało ten sam plik i że trojan jest, zaznaczyłem usuń dla wszystkich i się potem nie pojawił już. Wcześniej ten trojan się nie uaktywaniał, dopieo przy wykonywaniu skrypta. Właśnie nie wiem, czy ma to cos wspólnego z tym skryptem, czy tylko taki moment sobie ciekawy wybrał pojawienia się...
Nie wiem szczerze co to za plik ten kohceq.pif, czy to jakieś ustrojstwo zawirusowane czy taki jakiś komponent systemu...
jeśli chodzi Ci o procesy i usługi, wystarczył by Ci menedżer zadań? Byłem tak kiedyś, nic podejrzanego nie znalazłem.
Nikt właśnie nie wie o co kaman z tym hostsem , kurde Liczę na jakiś Twój proroczy sen
Mimo wszystko dzięki

[magik092]

W tym momencie szala podejrzeń przesuwa się na malware.
Rozumiem, że skurczybyk się odzywa w momencie wykonaniu skryptu OTL?
Jeśli tak to spróbujmy się ograniczyć do

:Processes
explorer.exe

:Files
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
C:\WINDOWS\SETUP1.EXE

:Commands
[emptytemp]
[start explorer]

[misiek11]

Ale co mi da ponowne wgranie ograniczonego skryptu? Bo jak widzę jest on właśnie ograniczony do tych 4 linijek. Skrypta dobrze wrzuciło, normalnie było zresetuj komputer, logi pokazało... Nie wiem czy można tak 2 razy to samo, no bo jak już "wyleczyliśmy" (czy co to tam robiliśmy tym skryptem) to nie trzeba chyba drugi raz? Nie wiem, może ja źle rozumuję.
Tak, wirusa wykopało przy wrzucaniu skrypta. To mnie martwi, że go tak jakby tym uaktywniłem.

[magik092]

Wyjaśnienie:
Możliwe, że po wykonaniu skryptu (dane pliki są usuwane) wirus wykrył brak swoich "robotników" i próbuje je tam ponownie wrzucić. Trzeba ustalić przy którym pliku tak się dzieje. Okrojenie skryptu daje 50% szanse zlokalizowania syfu metodą eliminacji

[misiek11]

Aham, rozumiem
Może mi się uda coś jeszcze wykombinować w tej pracowni, w sensie żeby tego skrypta wrzucić
Ej ej. A jeszcze mam taką sugestię małą... Bo jest w win xp coś takiego jak dziedziczenie uprawnień folderów od folderu nadrzędnego... Może coś z tym? Że dziedziczy uprawnienia a te uprawnienia są jakoś tak ustawione że przeglądarka nie może odczytać pliku, a w cmd przez komendę ping adres chodzi? Albo plik jest tylko do odczytu, albo jakaś opcja z takich podobnych? Co o tym myślisz?

[magik092]

Niestety to nie przeglądarka korzysta z pliku, po drugie to szukany jest plik pod adresem, następnie sprawdzana jest jego zawartość. Możesz spróbować nadać uprawnienia (all allow) dla folderu i pliku ale nie wiem czy efekt będzie pozytywny.
Mój mózg przestaje mi podrzucać pomysły na temat tego problemu

[misiek11]

No cóż, spróbuje coś z tymi uprawnieniami jeszcze...
kurcze, mój też już nie ma pomysłów a przydały by się bardzo tak jakby to było to malware albo inne ustrojstwo, ale jest deep freezer który blokuje zmiany w plikach... I nie wiadomo w którą stronę iść, ustawień komputera czy infekcji...

[misiek11]

Słuchaj... okazało się że hosts teraz blokuje strony. Ja wszystko sprawdzałem tylko na mozilli, a dzisiaj wyszło że tylko na mozilli to nie działa właśnie. Na IE i operze ładnie blokuje:) Podejrzewam, że to przez ten wgrany skrypt bądź przez ComboFixa (bo przed tymi skanami nie działało blokowanie na żadnej z przeglądarek). Tak więc problem chyba rozwiązany;D
Dzięki wieeelkie za pomoc;D Mam nadzieje że innym też się to przyda

[magik092]

Spotkałem się z sytuacją, że w FF trzeba z menu Plik wybrać "Pracuj w trybie offline", następnie jeszcze raz wybrać (odznaczyć) tę opcję i odświeżyć stronę

[misiek11]

Ok, zobaczę to po świętach dzięki