Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Sprawdzenie logów - podejrzane IP

Adi2071 03 Sty 2018 14:22 1056 33
  • #2 03 Sty 2018 17:35
    Kolobos
    Spec od komputerów

    Wstaw poprawnie screeny.

    W ktorej przegladarce wystepuje ten problem?

    0
  • #3 03 Sty 2018 18:08
    Adi2071
    Poziom 6  

    Używam Google Chrome. Nie wiem czy to przez przeglądarkę. Jak miałem wszystko wyłączone to też to wyskakiwało. W cmd cały czas jest to IP na pierwszym miejscu 195.55.26.248:80 i piszę CLOSE_WAIT . Wcześniej miałem taką sytuację, że na facebook wyskoczyło że podejrzenie o włam i trzeba uruchomić ich skaner. Wtedy zainstalowałem ESET i dopiero pobrałem ten skaner i nic nie wykryło.

    Sprawdzenie logów - podejrzane IPSprawdzenie logów - podejrzane IP

    0
  • #4 03 Sty 2018 18:33
    Kolobos
    Spec od komputerów

    Czy problem nadal wystepuje? Bo w logach nie widze nic ciekawego.

    Usun profil z Chrome, wczesniej zgraj zakladki i sprawdz czy nadal sie wyswietla.

    0
  • #5 03 Sty 2018 18:47
    Adi2071
    Poziom 6  

    Zrobiłem to i nic nie dało.


    Sprawdzenie logów - podejrzane IP

    0
  • #6 03 Sty 2018 18:47
    LA72
    Poziom 39  

    Wejdź w konsolę Windows (polecenie Uruchom i wpisz cmd).
    W konsoli wpisz:

    Code:
    netstat -ab

    Dzięki temu będziesz mógł zobaczyć, który program nawiązuje połączenie pod ten adres IP.

    0
  • #7 03 Sty 2018 18:57
    Adi2071
    Poziom 6  

    Sprawdzenie logów - podejrzane IP


    Jest. Explorer.exe, anubis networks :)

    https://ransomwaretracker.abuse.ch/ip/195.22.26.248/

    IP address: 195.22.26.248
    Hostname: anubisnetworks.com


    Proszę o pomoc. Tych połączeń jest coraz więcej. Co chwilę mi to wyskakuje . Co prawda piszę CLOSE_WAIT ale nie ma pewności że nic z komputera nie wycieka.

    0
  • #10 03 Sty 2018 22:21
    Kolobos
    Spec od komputerów

    Juz nie widac tych polaczen.

    Wlacz Chrome i sprawdz czy znowu sie wyswietla. Jezeli tak to usun profil:
    C:\Users\Adi\AppData\Local\Google\Chrome\User Data\Profile 2 oraz dane synchronizacji z konta google.

    Wykonaj tez Fixlist.txt dla FRST:
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{1F0D993C-B7E7-B6F5-5FD8-625C6CF5A5F3}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{1F995756-188F-88EF-4D37-21A6E9AB9235}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{1FA2734A-1A28-FB12-784C-12EBDF83C904}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{1FA65FBE-693A-EA62-9261-BB4A224E6624}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{1FE00348-0CF0-5EA5-CB62-08B233C911C5}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{1FF09FB9-8C21-F788-CAB4-7F61C53F3C5F}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{2E0D993C-B7E7-B6F5-5FD8-625C6CF5A5F3}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{2E995756-188F-88EF-4D37-21A6E9AB9235}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{2EA2734A-1A28-FB12-784C-12EBDF83C904}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{2EA65FBE-693A-EA62-9261-BB4A224E6624}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{2EE00348-0CF0-5EA5-CB62-08B233C911C5}\InprocServer32 -> Brak ścieżki do pliku
    CustomCLSID: HKU\S-1-5-21-1343060517-1457735525-3600946544-1002_Classes\CLSID\{2EF09FB9-8C21-F788-CAB4-7F61C53F3C5F}\InprocServer32 -> Brak ścieżki do pliku
    GroupPolicy: Ograniczenia <==== UWAGA
    2018-01-03 14:06 - 2018-01-03 14:09 - 000000000 ____D C:\AdwCleaner

    Ale to tylko pare zbędnych wpisow.

    0
  • #11 04 Sty 2018 11:52
    Adi2071
    Poziom 6  

    Nic to nie dało, dalej w netstat pokazuję że jest i wyskakują powiadomienia. Nawet jak chrome wyłączony to się tak dzieje. Jakieś pomysły ?

    0
  • #12 04 Sty 2018 12:15
    Kolobos
    Spec od komputerów

    Nie widze w logach infekcji. Wykonaj czysty rozruch (z wlaczonym eset) i sprawdz czy tam tez beda sie wyswietlac komunikaty dotyczace polaczen.

    0
  • #13 04 Sty 2018 12:51
    Adi2071
    Poziom 6  

    Nadal to występuje. Jak to jest program typu RAT to żaden AntyWirus nie wykryje tego i nie usunie. Co najwyżej może blokować połączenie. 30 grudnia wyskoczyła mi informacja że ktoś włamuje się na mojego facebooka i żeby wejść na niego musiałem pobrać ich skaner wirusów. Widać , że proces explorer.exe został zmodyfikowany właśnie 30/12/2017. Natomiast explorer.exe korzysta właśnie z tego IP "195.22.26.248" "anubisnetworks.com".

    0
  • #14 04 Sty 2018 16:52
    Kolobos
    Spec od komputerów

    Zostal bo zainstalowales aktualizacje do systemu, explorer jest poprawny.

    Wykonales czysty rozruch?

    Zamiesc w zalaczniku log z autoruns (plik arn).

    0
  • #16 04 Sty 2018 17:24
    Kolobos
    Spec od komputerów

    Nie otwiera mi sie ten rar.

    0
  • #18 05 Sty 2018 16:19
    Adi2071
    Poziom 6  

    Coś jest w tym Autorun?

    0
  • #19 05 Sty 2018 16:57
    Kolobos
    Spec od komputerów

    Rowniez nie widac tam nic ciekawego.

    Uruchom Process Explorer i sprawdzaj co jest aktywne w chwili wyswietlania sie komunikatu o polaczeniu.

    0
  • #20 05 Sty 2018 17:28
    Adi2071
    Poziom 6  

    Kolobos napisał:
    Rowniez nie widac tam nic ciekawego.

    Uruchom Process Explorer i sprawdzaj co jest aktywne w chwili wyswietlania sie komunikatu o polaczeniu.



    To samo jest aktywne cały czas. Nic się nie zmienia.

    Sprawdzenie logów - podejrzane IP

    0
  • #21 05 Sty 2018 17:49
    Kolobos
    Spec od komputerów

    Masz sprawdzic procesy, a nie wklejac ciagle screeny z lista polaczen, ktore sa zbedne.
    Aktywne beda podswietlone na fioletowo.

    0
  • #22 05 Sty 2018 18:04
    Adi2071
    Poziom 6  

    Kolobos napisał:
    Masz sprawdzic procesy, a nie wklejac ciagle screeny z lista polaczen, ktore sa zbedne.
    Aktywne beda podswietlone na fioletowo.



    Ale ja to sprawdzałem. Jak wyskakuje komunikat z ESET to w proces hacker nic się nowego nie pojawia. Jak wyłączę proces explorer.exe całkiem. To nic z ESET nie wyskakuje.

    0
  • #23 05 Sty 2018 18:54
    kikoss
    Poziom 6  

    Cześć przywróć domyślny plik Hosta w etc możne coś pomoże

    0
  • #24 05 Sty 2018 19:49
    Kolobos
    Spec od komputerów

    Mozesz sprawdzic explorer na jotti lub virustotal ale plik jest raczej ok.
    Widze, ze nasciagales pelno hackow do gier, zapewne cos bylo zainfekowane.

    Obawiam sie, ze czeka Cie reinstalacja, w logach nie widac sladu infekcji, wiec ciezko bedzie ustalic co dokladnie jest odpowiedzialne za te polaczenia.

    Plik hosts jest pusty, wiec nie ma czego przywracac.

    0
  • #25 05 Sty 2018 20:25
    kikoss
    Poziom 6  

    Doczytałem się też ze klienci Netii mieli Problemy z tym IP

    0
  • #26 05 Sty 2018 20:54
    Kolobos
    Spec od komputerów

    Tutaj adresy sa losowe/rozne i nie ma to zwiazku z dostawca.

    0
  • #27 05 Sty 2018 21:01
    kikoss
    Poziom 6  

    To tak jak losowanie serwa proxy jeśli idę w dobrym kierunku

    0
  • #28 05 Sty 2018 21:04
    Kolobos
    Spec od komputerów

    Nie.

    @Adi2071 zaloguj sie do routera i podaj z jakich dnsow korzysta router.

    0
  • #29 05 Sty 2018 21:11
    kikoss
    Poziom 6  

    Yhym to źle myślę :D
    No ale nic. Człowiek całe życie się uczy dlatego udzielam się na forum żeby się czegoś dowiedzieć i nauczyć od speców :)

    0
  • #30 05 Sty 2018 22:17
    Adi2071
    Poziom 6  

    DNS:
    8.8.8.8
    31.135.16.4

    Znalazłem kilka plików które zablokował mi ESET. W logach FRST po uruchomieniu skanera, który rzekomo kazał mi pobrać facebook utworzył się plik w windows/system32/driver.sys o podobnej nazwie co uruchomiony plik.


    Sprawdzenie logów - podejrzane IP

    Podczas wyskakiwania komunikatu przez ESET, że zablokowano to IP to nagle prędkość przy tych IP wzrasta na sekundę. Co jakiś czas nowe IP się pojawia.

    0