Logi - Wirus niszczący połączenie internetowe
#1
Napisano 24 11 2006 - 23:21
mam bardzo nie fajnego wirusa którego nie jestem w stanie się pozbyć. Formatowałem Pc już pod windowsem 98, Xp a nawet linuxem. I NIC. Wirus nadal jest i strasznie spowalnia mi kontakt z netem. Przykładowo kiedy łącze się w pierwszych kilku sekundach pracy wysyłam ok 30 000 kb a odbieram zaledwie
2 000 - 3 000 kb. Korzystałem z programów: Fryderyk 2004, Ad-Aware, a-sguared Free, avast i mks online. Tylko fryderyk i mks znalazły wirusa w WINDOWS\system\winlogon.exe ale nie potrafiły go usunąć. Avast odczasu do czasu ostrzega mnie o próbie ataku wirusa ale sam nic nie wykrywa ("DCOM Exploid") Czy jest jakiś skuteczny sposób usunąć paskude? Proszę o pomoc.
#2
Napisano 24 11 2006 - 23:26
#3
Napisano 24 11 2006 - 23:44
#4
Napisano 25 11 2006 - 00:01
#5
Napisano 25 11 2006 - 13:08
Sciągnij ten plik, zablokuj nim nieszczęsne, dziurawe i nieprzydatne DCOM. Możliwości są dwie: wirus siedzi w bootsectorze, czego antywiry on-line nie wykrywają, lub tak jak pisze Titter w trakcie instalacji "lewego" systemu/oprogramowania infekujesz komputer. Ściągnij i zainstaluj Avirę AntiWir z free-av.com , zrób aktualizację bazy wirusów, wyłącz przywracanie systemu, uruchom kompa w trybie awaryjnym i zrób pełne skanowanie antywirem.
Jeśli chodzi o zainfekowanego Windowsa - to raczej to odpada bo wgrywałem go dwa razy z dwóch różnych płyt. Zainstalowałem ten programik ale ataki DCOM nie znikły. Ściągnąłem Avirę Antywir ale internet praktycznie padł mi zupełnie więc mam problem z jej aktualizacją. Jeśli macie jeszcze jakieś pomysły to proszę o pomoc.
#6
Napisano 25 11 2006 - 13:13
#7
Napisano 25 11 2006 - 16:50
Log z HijackThis byłby pomocny.
Logfile of HijackThis v1.99.1 Scan saved at 15:39:57, on 2006-11-25 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Program Files\AntiVir PersonalEdition Classic\sched.exe D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe D:\Program Files\Fryderyk 2004\fryderyk.exe D:\WINDOWS\System32\wuauclt.exe D:\Program Files\Internet Explorer\iexplore.exe D:\Documents and Settings\Rafał\Ustawienia lokalne\Temp\Katalog tymczasowy 6 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Fryderyk 2004] D:\Program Files\Fryderyk 2004\fryderyk.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{8DD8CF1F-D91D-4B68-933D-96699253F0EB}: NameServer = 213.241.79.37 195.114.181.130 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
Ale dzisiaj musiałem sformatować znowu pc bo juz w ogóle nie mogłem się połączyć z netem i jest to log tuż po sformatowaniu. Aktualnie chodzi jak żółw. Ale chodzi. Chociaż cały czas próbuje usuwać logi, winlogi itp to na ich miejsce pojawiają się następne tylko pod innymi nazwami. Kiedy próbuje zaktualizować AntiVir pojawia się tylko: Keyfile: Key expired [DEMO Mode] More information in the report file. Jestem pewien że wirus siedzi w bootsectorze. Jak moge go stamtąd przepędzić? Czy da się sformatować bootsector a jeśli tak czy po formacie będę mugł normalnie wgrać windowsa?
#8
Napisano 25 11 2006 - 21:26
#9
Napisano 26 11 2006 - 00:18
Z tym kluczem produktu to dość dziwna sprawa, w czasie instalacji potwierdziłeś "generate random key"? Ściągnij jeszcze raz instalkę, zainstaluj na istniejącą kopię a jeśli to nie pomoże zdeinstaluj i zainstaluj ponownie. AV powinien poradzić sobie z wirusem w bootsectorze. W ostateczności spróbuj metody z Linuksem przypiętej w dziale "problemy", być może paskuda stosuje techniki rootkitu i nie widać jego kopii pod systemem. Widzę, że masz jakąś dystrybucję na płycie skoro formatowałeś spod linuxa dysk, pozostaje kwestia jej "aktualności" w zakresie montowania partycji NTFS w trybie odczytu/zapisu.
Starałem się zaktualizować Avire ale bez skutecznie. Wyczaiłem natomiast że podczas instalacji woła aby wskazać "license file" zapisany na dysku. W razie niepowodzenia program będzie w wersji demonstracyjnej. Skąd mogę wziąc "license file" ?
#10
Napisano 26 11 2006 - 00:43
edit----
Ok, wygląda na bład w paczce instalacyjnej (zajrzałem na ich forum). Sciągnij instalkę z tego miejsca bezpośrednio ze strony nie z mirrora, zdeinstaluj poprzednią instalkę i wyczyść rejestr ze wszystkich kluczy zawierających w nazwie "H+BEDV" i "Antivir Peronal Classic". Zainstaluj Avirę ze świeżej paczki. Jeśli to nie zadziała pozostaje ręczna aktualizacja:
Ściągnij ten plik definicji wirusów w formacie zip
uruchom antivira i w głównym oknie w menu "update" wybierz "Manual update", w okienku podaj gdzie znajduje się plik zip.
#11
Napisano 26 11 2006 - 17:16
Ściągnę rano i zainstaluję, pierwszy raz się z tym spotykam. Wersja Personal Edition zawsze sama generowała klucz...
edit----
Ok, wygląda na bład w paczce instalacyjnej (zajrzałem na ich forum). Sciągnij instalkę z tego miejsca bezpośrednio ze strony nie z mirrora, zdeinstaluj poprzednią instalkę i wyczyść rejestr ze wszystkich kluczy zawierających w nazwie "H+BEDV" i "Antivir Peronal Classic". Zainstaluj Avirę ze świeżej paczki. Jeśli to nie zadziała pozostaje ręczna aktualizacja:
Ściągnij ten plik definicji wirusów w formacie zip
uruchom antivira i w głównym oknie w menu "update" wybierz "Manual update", w okienku podaj gdzie znajduje się plik zip.
Pobrałem AV i udało mi się go zaktualizować. Wygląda na to że program usuną wszystkie wirusy i nawet więcej bo teraz windows strasznie długo mi się otwiera. Wyskakuje error że system nie może odnaleść pliku: D:\WINDOWS\system32\1.tmp - czy da się coś z tym zrobić? Dziękuję za pomoc. Internet chodzi bardzo sprawnie.
#12
Napisano 26 11 2006 - 19:49
To pozostałość po jakimś wirusie, plik został wykasowany ale został po nim wpis w autostarcie. Otwórz edytor rejestru i sprawdź czy nie ma odpowiedniego wpisu w kluczuD:\WINDOWS\system32\1.tmp - czy da się coś z tym zrobić?
HCLM\software\microsoft\windows\currentversion\run (pisane z pamięci nie mam dostępu do blaszaka z windą), wykasuj to "1.tpm"
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych