Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Sharing - mogući virus

[es] :: Zaštita :: Sharing - mogući virus
(Zaključana tema (lock), by Aleksandar Maletic)

[ Pregleda: 2470 | Odgovora: 10 ] > FB > Twit

Postavi temu

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

_Nikola_

Član broj: 310506
Poruke: 23



+8 Profil

icon Sharing - mogući virus01.01.2013. u 17:37 - pre 136 meseci
Pozdrav ljudi, imam sledeći problem sa računarom, sumnjam da imam neki virus na njemu koji omogućava nekom drugom da ima daljinski pristup njemu, zbog toga što preko Everesta vidim da je deljeno sledeće:
ADMIN$ - Remote Admin
B$ - Default share
C$ - Default share
IPC$ - Remote IPC
Čitao sa na netu da ADMIN$ i IPC$ služi za daljinsko upravljanje računarom, a napominjem da mi je Sharing isključen. A ne znam kako da ovo isključim da nije deljenjo.
PS: Srećna Nova godina :)
:) :) :)
 
0

Aleksandar Maletic
System administrator

Moderator
Član broj: 235887
Poruke: 1138
*.mbb.telenor.rs.



+89 Profil

icon Re: Sharing - mogući virus01.01.2013. u 17:53 - pre 136 meseci
Pozdrav!
Isprati UPUTSTVO i dostavi mi neophodan log fajl.
A wolf is weaker than a lion and a tiger, but doesn't play in the circus.
 
0

_Nikola_

Član broj: 310506
Poruke: 23



+8 Profil

icon Re: Sharing - mogući virus01.01.2013. u 18:48 - pre 136 meseci
Pokušao sam da pokrenem TempFileCleaner, međutim javlja problem sa: .NET Framework Intialization Error.
To run this application, you first must install one of the following versions of the .NET Framework: v4.0.30319
Contact your application publisher for instructions about obtaining the appropriate version of the .NET Framework.
Šta da radim sa ovim? Jel to ovo treba da se instalira?
Na drugom računaru sam uspeo da pokrenem ovaj program i pod Windows (System) mi prikazuje 24,533 GiB sa preko 19000 fajlova, ovo mi se čini mnogo, šta to može biti, a ne vidim nigde na ovom programu da ima mogućnost pregleda tih fajlova.
I na jednom i drugom računaru je Windows 7.
Na računaru s kojim imam problema je Avast free antivirus 7, dok na drugom je na kom sam pokrenuo TempFileCleaner je AVG Internet Security 2012.
Hvala ti za odgovor
:) :) :)
 
0

Aleksandar Maletic
System administrator

Moderator
Član broj: 235887
Poruke: 1138
*.mbb.telenor.rs.



+89 Profil

icon Re: Sharing - mogući virus01.01.2013. u 19:36 - pre 136 meseci
Zaboravi na Temp File Cleaner. Pokreni Online Solution Autorun Manager, kreiraj log i dostavi mi kao što je objašnjeno u uputstvu.
A wolf is weaker than a lion and a tiger, but doesn't play in the circus.
 
0

_Nikola_

Član broj: 310506
Poruke: 23



+8 Profil

icon Re: Sharing - mogući virus01.01.2013. u 22:33 - pre 136 meseci
Evo OSAM rezultat link
Pre kreiranja izveštaja ovo obaveštenje mi je skrenulo pažnju "Riskware C:\Windows\System32\drivers\npf.sys 49.52 Kb WinPcap Packet Filter Driver allows to capture traffic on this computer from a remote computer; may be dangerous only if you did not install this software for yourself"
:) :) :)
 
0

Aleksandar Maletic
System administrator

Moderator
Član broj: 235887
Poruke: 1138
*.mbb.telenor.rs.



+89 Profil

icon Re: Sharing - mogući virus02.01.2013. u 01:07 - pre 136 meseci
1.) Preuzmite Autoruns
• Raspakujte arhivu na Desktop.
• Pokrenite autoruns.
• Odaberite karticu Logon -
• Napravite screenshot te kartice; pritisnite dugme Print Screen na tastaturi, zatim otvorite Paint, odaberite karticu Edit i kliknite na Paste; sliku sačuvajte na Desktop, a zatim prikačite uz novu poruku).



2.) Preuzmite AdwCleaner
• Pokrenite program -





• Kliknite na Search i sačekajte da program izvrši kratkotrajnu analizu.
• Nakon izvršene analize, program će kreirati izveštaj.
• Zatvorite izveštaj i odaberite opciju Delete.
• Restartujte računar.





3.) Preuzmite i instalirajte program Malwarebytes Anti-Malware.
• Pokrenite ga i izvršite update (Update > Check for Updates) i po završetku potvrdite sa OK.





• Posle update-a odaberite Scanner, označite Perform full scan i pritisnite Scan.





• Kada se skeniranje završi pritisnite OK, pa Show Results da vidite izveštaj.





• Proverite da li su svi pronađeni fajlovi štiklirani (ako nisu - štiklirajte ih), pritisnite Remove Selected i potvrdite sa OK.





• Program će vas upitati da restartujes računar i vi to potvrdite.
• Takođe posle ukljanjanje malware-a sa računara dobićete log fajl (izveštaj) koji ćete iskopirati u temi.




[Ovu poruku je menjao Aleksandar Maletic dana 02.01.2013. u 02:32 GMT+1]
A wolf is weaker than a lion and a tiger, but doesn't play in the circus.
Prikačeni fajlovi
 
0

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Moderator
Član broj: 158605
Poruke: 3531
*.dynamic.sbb.rs.



+553 Profil

icon Re: Sharing - mogući virus02.01.2013. u 02:22 - pre 136 meseci
Citat:
_Nikola_:
ADMIN$ - Remote Admin
B$ - Default share
C$ - Default share
IPC$ - Remote IPC


Ako ne vidiš ove deljene lokacije, a nisi ih ti ručno gasio, onda najverovatnije imaš malware, jer su one tu uvek po defaultu, čak i kad je sharing isključen, a neke varijante malware-a ih namerno onesposobe kako bi sebe zaštitile. Da bi ih ručno isključio (sve osim IPC$) potrebno je malo prepravki u registry bazi. Potrebno je da na putanji

HKEY_LOCAL_MACHINE Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters Name

pronađeš vrednost AutoShareWks i postaviš je na 0, a ko je nema onda kreiraš DWORD (32-bit) sa tim imenom i postaviš 0 kao vrednost.

Ako ne umeš samostalno da edituješ vrednosti u registry bazi, onda pronađi nekog ko ume, jer ako uneseš pogrešnu vrednost na pogrešno mesto, postoji verovatnoća da nećeš moći da pokreneš Windows ili da ćeš iskusiti neke druge ozbiljne probleme.

Inače, te deljene lokacije koje si spomenuo su bitne za neke procese u Windowsu, i njihovim onesposobljavanjem možeš iskusiti razne sitne greške koje će ti iskakati tu i tamo. Tačno je da ih koristi i malware za širenje, ali ako redovno ažuriraš Windows i koristiš jake lozinke na svim korisničkim nalozima, drastično umanjuješ verovatnoću da se to desi.
 
0

_Nikola_

Član broj: 310506
Poruke: 23



+8 Profil

icon Re: Sharing - mogući virus02.01.2013. u 13:39 - pre 136 meseci
valjan:
Ako ne vidiš ove deljene lokacije, a nisi ih ti ručno gasio, onda najverovatnije imaš malware, jer su one tu uvek po defaultu, čak i kad je sharing isključen, a neke varijante malware-a ih namerno onesposobe kako bi sebe zaštitile.

Da li to znači da:
ADMIN$ - Remote Admin
B$ - Default share
C$ - Default share
IPC$ - Remote IPC
treba da bude deljeno?

Da li je kod vas ovo deljeno, (da li biste mogli da putem Everesta, SIW-a, ili nekog drugog programa) da pogledate i napišete ovde šta je od ovoga kod vas deljeno?

Na drugom računaru gde nisam ništa menjao u registry bazi, aktivan je samo IPC$ - Remote IPC. Da li je tu moguć malware?

Oba računara rade dobro, sistem je stabilan, AVG, Avast, Windows Defender ne prikazuju nikakve viruse, možda sam ipak samo paranoičan.





:) :) :)
 
0

_Nikola_

Član broj: 310506
Poruke: 23



+8 Profil

icon Re: Sharing - mogući virus02.01.2013. u 13:57 - pre 136 meseci
Evo rezultati Autoruns-a


A evo i za drugi računar


Primetio sam da na oba hvali rdpclip.

Evo i rezultati Malwarebytes Anti-Malware sa 1 racunara


A na drugom računaru prilikom skeniranja ovaj program je našao neki maliciozan softver, ali mi je AVG prijavio maliciozan softver u vezi sa Malwarebytes Anti-Malware-rom i na kraju nije uspeo da se napravi izveštaj za drugi računar dal ga je AVG sprečio nisam siguran.



[Ovu poruku je menjao _Nikola_ dana 03.01.2013. u 13:44 GMT+1]
:) :) :)
Prikačeni fajlovi
 
0

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Moderator
Član broj: 158605
Poruke: 3531
*.dynamic.sbb.rs.



+553 Profil

icon Re: Sharing - mogući virus03.01.2013. u 02:09 - pre 136 meseci
Citat:
_Nikola_:
Da li je kod vas ovo deljeno, (da li biste mogli da putem Everesta, SIW-a, ili nekog drugog programa) da pogledate i napišete ovde šta je od ovoga kod vas deljeno?


Nisu potrebni dodatni programi, dovoljno je u command promptu otkucati

net share


da bi se prikazalo šta je sve deljeno. E sad tu postoji mala caka - Windows 7 kreira admin shares prilikom instalacije, ali im nije moguće pristupiti sa drugih računara dok se ne odrade odgavarajuće izmene na sistemu, uključujući i prepravke u registry bazi. Znači, tu su, ali kao da nisu.

Citat:
_Nikola_:
Na drugom računaru gde nisam ništa menjao u registry bazi, aktivan je samo IPC$ - Remote IPC. Da li je tu moguć malware?


Windows XP Home recimo nije kreirao admin shares, dok ih je XP Professional kreirao. Isti OS, drugačije izdanje, i odmah jedna razlika u ponašanju. S obzirom na to da noviji Windowsi imaju po nekoliko varijanti u okviru iste verzije, da bismo ti dali precizniji odgovor na tvoje pitanje, treba nam više podataka o tom drugom OS-u...
 
0

_Nikola_

Član broj: 310506
Poruke: 23



+8 Profil

icon Re: Sharing - mogući virus03.01.2013. u 14:40 - pre 136 meseci
Ljudi hvala vam puno na odgovorima
Pronašao sam u čemu je bila razlika

Na računaru na kom mi je bilo isključeno (ADMIN$ - Remote Admin; C$ - Default share; D$ - Default share) sam imao instaliran AVG PC Tuneup, koji sam instalirao pre više od godinu dana. I on mi je isključio deljenje ovih particija/fajlova.

Setio sam se danas za njega, i na drugi računar sam ga isto instalirao, i ponudio mi je sledeću opciju Disable Administrative Share koju sam ja potvrdio, i nakon restarta računara i na drugom računaru ostao je aktivan samo IPC$ - Remote IPC, tj isključeno je bilo (ADMIN$ - Remote Admin; B$ - Default share; C$ - Default share).

Puno hvala još jednom na pomoći, i uloženom vremenu i trudu


:) :) :)
Prikačeni fajlovi
 
0

[es] :: Zaštita :: Sharing - mogući virus
(Zaključana tema (lock), by Aleksandar Maletic)

[ Pregleda: 2470 | Odgovora: 10 ] > FB > Twit

Postavi temu

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.