Wredny Robak!

[Gość Atrus]

Witam!

 

Mam XP Pro i zlapalem jakiegos wrednego robala.

NOD32 nie moze chyba sobie z nim poradzic,generalnie jak odpale kompa zapycha i rozlacza mi net.

Wiec mysle sobie ze najlepiej bedzie zainstalowac na kompie z ktorego pisze jakis dobry antyvir i antyspyware itd.

Podpiac dysk z tamtego kompa i wybic wszystko co sie na nim rusza.

Pytanie moze i glupie,laikoniczne. Ale co zainstalowac i czym przeleciec dysk zainfekowany?

NOD pokazywal jakis WORM 8O i z rejestrem majstrowal i siedzi w katalogu RECYCLER. Na pen driva sie sam wrzuca i strasznie sie cholerstwo szybko przenosi na inne kompy.

Wiem ze sa tematy wyzej na ten temat ale pytam bo moze ktos mial cos podobnego i poleca cos w 100% skutecznego,szczeze mowiac boje sie podpiac teraz ten dysk a mam tam cale swoje dane.

 

HELP!

[ULLISSES]

1. SP2 zainstalowany?

2. Używasz czegoś innego niz IE?

3. Masz jakieś programy P2P?

4. Przeleć kompa programem Spybot z najnowszymi bazami.

5. Wklej log z Combofix (www.wklej.org).

[Gość Atrus]

1. SP2 zainstalowany i wszystkie aktualizacje z Windows Update,mam orginala XP 8O.

2. Tak,FireFox najnowszej wersji

3. Tak,Azureus

4. Spy bot,moze cos skuteczniejszego.

5. http://wklej.org/id/5e028aa78e

Edytowane 6 Maja 2008 przez Atrus

[Gość Atrus]

http://wklej.org/id/0fe91ec823

 

I nic?Cisza?Chyba go skasowalem.

Edytowane 6 Maja 2008 przez Atrus

[ULLISSES]

Dobra, fajne te logi z Hijack This, ale ja i kolega prosiliśmy o log z ComboFix (do którego kolega XaD podał nawet link).

 

Odnośnie zaś tego loga, to:

IMHO zbędne:

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Robak:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

[yuucOm]

O odrobaczania dobry jest stinger 8O http://vil.nai.com/vil/Stinger/

Mi pomógł przy robaku który coraz bardziej zapychał łącze, ping sie robił większy aż sie nie dało korzystać z neta. A tak poza tym sprawdź na starcie windy ile masz połączeń - w konsoli wpisz netstat. Mi za każdym wpisaniem tej komendy pokazywało coraz więcej połączeń z mojego kompa.

[Gość Atrus]

Aa sorry faktycznie mial byc combo fix,ale to juz bez znaczenia. Usunalem go BitDefenderem, przelecialem potem NOD32 i lavasoft adaware oraz spybot. I jest czysto 8O.

[Gość Atrus]

Chyba jednak nie TrojanDropper.Delf.NFK trojan

 

http://www.wklej.org/id/6dda7cec5f log z combofix

Edytowane 9 Maja 2008 przez Atrus

[Gość Atrus]

http://www.wklej.org/id/1094ec47a4

 

Niby nie ma,zrobie jeszcze raz skan NOD32 i spybot.

Edytowane 9 Maja 2008 przez Atrus

[tesco23]

Atrus a l!!

Edytowane 9 Maja 2008 przez tesco23

[Gość Atrus]

Niby ok,ale jak postawilem drugiego kompa to sie zrobilo takie cos: C:\WINDOWS\system32\winsys2.exe

Usunalem recznie,przelecialem wszystko dwa razy i czysto. Jutro postawie swojego kompa od nowa to bede miec 100% pewnosci czy jest czysto.

 

Dobra topic dla potomnych bedzie, NOD32 wszystkie update i spybot skutecznie go wywala. Generalnie tworzy katalog w system32 o nazwie dk i luzne pliki evcostam.dll a teraz rzecz najwazniejsza! PRZENOSI sie na wszystko wszedzie. Ja go mialem w komorce,pen drive i nawet na karcie SD. Zatem przeskanujcie wszystko co macie,nie widac go nawet jak TC ma wlaczone pokazywanie ukrytych plikow. No i do autostartu wrzuca rozne smieci,glownie pliki .dll

Edytowane 11 Maja 2008 przez Atrus