Win XP/router TP-Link - Wirus blokuje internet - logi do spr

Witam

Mój problem zaczął się dawno temu być może nawet ~2 lata temu. Polegał on na tym, że po włączeniu komputera i routera czasem był internet czasem nie, średnio w 50% przypadków internet się nie włączał. Połączenie sieciowe włączone, wszystkie kontrolki na routerze ADSL, Internet, WLAN zapalone, a internetu brak.Wtedy restartowałem router i zazwyczaj dostęp do neta już był. Zdecydowałem się po jakimś czasie (~rok temu) zrobić format, ale okazało się, że to nie rozwiązało problemu. Czasami internetu nadal nie było. Tak jest do tej pory. Poza tym żadnych innych objawów, komputer chodzi normalnie. Jedyne co zaobserwowałem to dziwny ruch na łączu internetowym (poniżej screen z programu DU Meter). DU Meter na czerwono i żółto pokazuje Download, a na zielono Upload.




Wyczytałem, tu: Link1, tu Link2 i tu Link3 że może to być wirus na moim routerze TP-Link zmieniający DNS-y, więc zrobiłem reset, wgrałem najnowszy firmware, zmieniłem hasło na mocne, i przypisałem DNS-y sztywne od Netii. Sprawdziłem za pomoca specjalnie opracowanejstrony Orange czy jest dostęp do routera z sieci WAN. Test wyszedł OK.

Dodam, że nie używam antywirusa - bardzo spowalniał komputer.

Proszę o pomoc czy to coś na routerze czy na PC?

Parametry PC:

Win XP SP 2
RAM 768 MB
CPU 1,4 GHZ

Procesy z menedżera zadań Windows:



Internet: Netia ADSL 1 Mbps połączony od routera kablem z PC


Router:

TP-Link
Model: TD-W8901G
Firmware version: 3.0.0 Build 140512 Rel.06002


Log z MBAM:

P.S. Program wykrył 5 wpisów:
Linijka 49: Wyłączone powiadomienie o braku antywirusa.
Linijka: 50: Wyłączone aktualizacje automatyczne Windows.
Linijka 51 i 52: Wpisy dot. ukrytej partycji.
Linijka 43: Nie wiem co to...

http://wklej.to/klKIy


Log z FRST:

http://wklej.to/gNrrF
http://wklej.to/j4n9o


Z góry dzięki za pomoc

Inne urzadzenia podlaczone do tego routera lacza sie bez problemow?

Dzięki za zainteresowanie

Poza moim PC, z routerem przez Wi-Fi łączy się w domu laptop brata i czasem są problemy z ustanowieniem połączenia.

Zauważyłem też, że wtedy, gdy brat ma trudności z połączeniem, kontrolki (ADSL i Internet) na routerze gasną i zaczyna jakby od nowa się sam włączać, po czym zazwyczaj udaje się bratu połączyć z internetem.

Jak tam moje logi z MBAM i FRST są OK?

To nie infekcja, w logach nie ma nic ciekawego.

Podmien router na inny i sprawdz czy problem nadal wystepuje.

OK postaram się skombinować drugi router i sprawdzić.

A tak btw. Czy jest jakiś dobry program do monitorowania ruchu na łączu internetowym tzn. taki, żeby pokazywał każdą aplikację, program, proces, który łączy się z internetem, przez jaki port oraz wskazywał ścieżkę dostępu do pliku danego programu na dysku. Chodzi mi o to, abym mógł na bieżąco śledzić i zabraniać lub zezwalać na dostęp do sieci lub nie. Dobrze byłoby, żeby zbytnio nie obciążał procesora. Nie chodzi mi o antywirusa, ale o coś w stylu ZoneAlarm.

Kazdy wspolczesny firewall powinien miec takie opcje, jednak nie moge niczego polecic.
Jak chcesz to sprawdz firewall z comodo.

Witam,

Nie udało mi się skombinować zastępczego routera, ale znalazłem za to zwykły modem USB ZXDSL 852. Odpiąłem mój router TP-Link i podłączyłem internet przez ten modem ZXDSL. Niestety problem nadal jest. Po ustanowieniu połączenia sieciowego DU Meter pokazuje dziwny ruch na łączu (patrz screen).

Wygląda na to, że "coś" siedzi chyba jednak w systemie...


Screeny:

Bezuzyteczne screeny, zainstaluj program, ktory pokazuje co dokladnie korzysta z lacza.

Zainstalowałem PrivateFirewall - mała, nieobciążająca, prosta zapora. Poniżej przedstawiam screeny z poszczególnych okienek programu. Program sam nie zablokował ruchu na łączu. W okienku "Applications" zablokowałem wszystkim aplikacjom dostęp do internetu poprzez ustawienie "DENY". Równocześnie w okienku "Process Monitor" także dałem wszystkim procesom "DENY". Ruch na łączu niestety nie ustał.
Dopiero jak dałem w prawym górnym rogu czerwony przycisk "Deny all traffic" firewall zablokował cały ruch.


Proszę o pomoc jak zdiagnozować który proces/aplikacja/port jest przyczyną.

Screeny:

Zainstaluj SP3 oraz inne aktualizacje. Nastepnie wylacz usluge Windows Update.

Z tych screenow nadal nic nie wynika z tego co widze.

Zanim zainstaluję SP3 mam pytanie czy nie da się mając zainstalowany ten PrivateFirewall tak go ustawić, żeby pokazał, który proces/program jest odpowiedzialny za ruch na łączu? Jak go skonfigurować aby namierzyć ten proces?

Nie znam się zbytnio na firewallach dlatego proszę o jakieś szczegółowe podpowiedzi...

Trochę poeksperymentowałem i usunałem PrivateFirewall ,a zainstalowałem inny firewall Online Armor. Poniżej screen z "monitora połączen" tego programu. Pokazuje on aktywne 3 programy, ich PID, oraz możliwość odczytania portów.

- System PID 4 Port TCP 139
- svchost.exe PID 680 Port TCP 135
- svchost.exe PID 724 Port TCP 135




W prawym górnym rogu w okienku "Połączenia" na wykresie widać podobny cykliczny ruch podobny jak ten rejestrowany przez DU Meter.

Nie wiem czy to coś wniosło do tematu. Jeżeli nie proszę o porady jak zdiagnozować co inicjuje te połączenia...

Z góry dzięki za odpowiedzi.

Jezeli to jest caly ruch to chyba nie ma sensu sie tym zajmowac.

Od 8 lat mam ten sam system Win XP oraz internet i zawsze po formacie miałem czyste łącze tzn. nigdy na wykresie DU Metera nic mi się "na dzień dobry" samo nie ściągało/wysyłało i zawsze miałem połączenie z internetem.

Oczywiście mógłbym to zignorować, ale wolałbym wiedzieć co to i dlaczego czasem odcina mi internet.

Może ktoś inny ma jakieś sugestie?

Wylacz usluge Windows Update i sprawdz ponownie.

Aktualizacje automatyczne mam od zawsze wyłączone. Brak procesu wuauclt.exe w Menedżerze zadań (screen w pierwszym poście u góry).
Edit:
Odświeżam temat, ponieważ problem nadal występuje.

Ostatnio to "coś" wyłączyło mi Zaporę Systemu Windows i na pasku obok zegara wyskoczył mi komunikat "Zapora sieciowa jest wyłączona - komputer może byś zagrożony". Sprawdziłem uruchomione procesy i okazało się, że był aktywny proces cmd.exe i 80% obciążenia procesora.

Wyłączyłem ręcznie ten proces i włączyłem Zaporę Windows.
Reszta objawów jak w pierwszym poście.

Pomoże ktoś coś z tym fantem zrobić?
Może jakieś dodatkowe skany, logi?

Moderated By swiercm:

Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

Daj nowe logi z FRST. Do tego log z TDSSKiller. Zrób tez skan przy pomocy cureit.

Wykonałem następujące działania w podanej kolejności:

1. Zrobiłem skan za pomocą FRST i zapisałem 2 logi.
2. Zrobiłem skan za pomocą TDSSKiller. Znalazł 2 obiekty. Zapisałem log i dałem akcję DELETE, a następnie wymagany restart PC.
3. Zrobiłem skan za pomocą Dr. Web Cureit! Znalazł 1 obiekt. Dałem WYLECZ i zapisałem log.

Zauważyłem, że Zapora Windows już się sama nie wyłącza, ale DU Meter nadal pokazuje ten dziwny ruch na łączu.

LOGI:

Teraz byl rootkit, ale wczesniej go nie miales.

Fixlist.txt dla FRST:
HKU\S-1-5-21-299502267-1202660629-854245398-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope value is missing.
R2 syshost32; C:\WINDOWS\Installer\{6AF2929D-0779-C54D-81CC-502A619533FD}\syshost.exe [91648 2015-02-24] () [File not signed]
S4 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S4 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
U5 40493d65e6565b5; C:\Windows\System32\Drivers\40493d65e6565b5.sys [83456 2015-02-24] () <===== ATTENTION Necurs Rootkit?
S3 CnxEtP; system32\DRIVERS\CnxEtP.sys [X]
S3 CnxEtU; system32\DRIVERS\CnxEtU.sys [X]
S3 CnxTgNW; system32\DRIVERS\CnxTgNW.sys [X]
2015-02-24 10:39 - 2015-02-24 10:39 - 00083456 _____ () C:\WINDOWS\system32\Drivers\40493d65e6565b5.sys
2015-02-23 18:36 - 2015-02-23 18:36 - 00707744 _____ () C:\Documents and Settings\Gambari\Ustawienia lokalne\Dane aplikacji\unins000.exe
2015-02-23 18:36 - 2015-02-23 18:36 - 00011761 _____ () C:\Documents and Settings\Gambari\Ustawienia lokalne\Dane aplikacji\unins000.msg
2015-02-23 18:36 - 2015-02-23 18:36 - 00003213 _____ () C:\Documents and Settings\Gambari\Ustawienia lokalne\Dane aplikacji\unins000.dat


Po wykonaniu daj fixlog.txt oraz nowe logi z FRST, ze skanowania.

Zrobione. Załączam logi:

Wyglada ok.

Dzięki za pomoc Kolobos z tym rootkitem.

Będę obserwował czy problem opisany w pierwszym moim poście w tym wątku też zniknął.
Edit:
Witam ponownie.

Dzisiaj włączam komputer oraz router i próbuję się połączyć z internetem oto co ukazuje się moim oczom:



Pomógł dopiero restart routera.

A więc walczymy dalej z tym czymś. Ten ruch na łączu, który pokazuje DU Meter jest na pewno związany z tym "czymś" co blokuje mi połączenie.

Kolobos masz jeszcze jakieś pomysły?

Proszę o pomoc.

Moderated By swiercm:

Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

Wykonaj: https://www.elektroda.pl/rtvforum/topic2874173.html
Szczegolnie zablokowanie dostepu do panelu routera z internetu.

Wszystko to wykonałem już kiedyś - patrz pierwszy mój post. Sprawdziłem przed chwilą logując się do panelu routera i wszystko jest OK tak jak ustawiłem.

Jakieś inne sugestie?

Nie masz innego routera?

W tym momencie nie mam drugiego routera, ale mam zwykły modem USB i podpinałem go już kiedyś (opisałem to w siódmym poście od góry). Nie pomogło...