Skocz do zawartości


Zdjęcie

Logi - Wirus niszczący połączenie internetowe


  • Zamknięty Temat jest zamknięty
11 odpowiedzi w tym temacie

#1 raflat17

raflat17

    Początkujący

  • 12 postów

Napisano 24 11 2006 - 23:21

witam

mam bardzo nie fajnego wirusa którego nie jestem w stanie się pozbyć. Formatowałem Pc już pod windowsem 98, Xp a nawet linuxem. I NIC. Wirus nadal jest i strasznie spowalnia mi kontakt z netem. Przykładowo kiedy łącze się w pierwszych kilku sekundach pracy wysyłam ok 30 000 kb a odbieram zaledwie
2 000 - 3 000 kb. Korzystałem z programów: Fryderyk 2004, Ad-Aware, a-sguared Free, avast i mks online. Tylko fryderyk i mks znalazły wirusa w WINDOWS\system\winlogon.exe ale nie potrafiły go usunąć. Avast odczasu do czasu ostrzega mnie o próbie ataku wirusa ale sam nic nie wykrywa ("DCOM Exploid") Czy jest jakiś skuteczny sposób usunąć paskude? Proszę o pomoc.

  • 0

#2 ykoops

ykoops

    Stały użytkownik

  • 377 postów

Napisano 24 11 2006 - 23:26

Podaj nazwę pod jaką indentyfikują go antywiry.

  • 0

#3 Titter

Titter

    Linux I Sieć.

  • 237 postów

Napisano 24 11 2006 - 23:44

Dziwna sprawa. Format nie pomogl?? Moze masz plyte z winem zarazona bo winlogon to czesc systemu wiec skoro formatujesz go to usuwasz wszystko. Jak instalujesz to najlepiej odlaczyc siec zeby cos nie wskoczylo juz wtedy.
  • 0

#4 ykoops

ykoops

    Stały użytkownik

  • 377 postów

Napisano 25 11 2006 - 00:01

Sciągnij ten plik, zablokuj nim nieszczęsne, dziurawe i nieprzydatne DCOM. Możliwości są dwie: wirus siedzi w bootsectorze, czego antywiry on-line nie wykrywają, lub tak jak pisze Titter w trakcie instalacji "lewego" systemu/oprogramowania infekujesz komputer. Ściągnij i zainstaluj Avirę AntiWir z free-av.com , zrób aktualizację bazy wirusów, wyłącz przywracanie systemu, uruchom kompa w trybie awaryjnym i zrób pełne skanowanie antywirem.
  • 0

#5 raflat17

raflat17

    Początkujący

  • 12 postów

Napisano 25 11 2006 - 13:08

Sciągnij ten plik, zablokuj nim nieszczęsne, dziurawe i nieprzydatne DCOM. Możliwości są dwie: wirus siedzi w bootsectorze, czego antywiry on-line nie wykrywają, lub tak jak pisze Titter w trakcie instalacji "lewego" systemu/oprogramowania infekujesz komputer. Ściągnij i zainstaluj Avirę AntiWir z free-av.com , zrób aktualizację bazy wirusów, wyłącz przywracanie systemu, uruchom kompa w trybie awaryjnym i zrób pełne skanowanie antywirem.



Jeśli chodzi o zainfekowanego Windowsa - to raczej to odpada bo wgrywałem go dwa razy z dwóch różnych płyt. Zainstalowałem ten programik ale ataki DCOM nie znikły. Ściągnąłem Avirę Antywir ale internet praktycznie padł mi zupełnie więc mam problem z jej aktualizacją. Jeśli macie jeszcze jakieś pomysły to proszę o pomoc.
  • 0

#6 ykoops

ykoops

    Stały użytkownik

  • 377 postów

Napisano 25 11 2006 - 13:13

Log z HijackThis byłby pomocny.
  • 0

#7 raflat17

raflat17

    Początkujący

  • 12 postów

Napisano 25 11 2006 - 16:50

Log z HijackThis byłby pomocny.


Logfile of HijackThis v1.99.1
Scan saved at 15:39:57, on 2006-11-25
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Fryderyk 2004\fryderyk.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\Rafał\Ustawienia lokalne\Temp\Katalog tymczasowy 6 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Fryderyk 2004] D:\Program Files\Fryderyk 2004\fryderyk.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DD8CF1F-D91D-4B68-933D-96699253F0EB}: NameServer = 213.241.79.37 195.114.181.130
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

Ale dzisiaj musiałem sformatować znowu pc bo juz w ogóle nie mogłem się połączyć z netem i jest to log tuż po sformatowaniu. Aktualnie chodzi jak żółw. Ale chodzi. Chociaż cały czas próbuje usuwać logi, winlogi itp to na ich miejsce pojawiają się następne tylko pod innymi nazwami. Kiedy próbuje zaktualizować AntiVir pojawia się tylko: Keyfile: Key expired [DEMO Mode] More information in the report file. Jestem pewien że wirus siedzi w bootsectorze. Jak moge go stamtąd przepędzić? Czy da się sformatować bootsector a jeśli tak czy po formacie będę mugł normalnie wgrać windowsa?
  • 0

#8 ykoops

ykoops

    Stały użytkownik

  • 377 postów

Napisano 25 11 2006 - 21:26

Z tym kluczem produktu to dość dziwna sprawa, w czasie instalacji potwierdziłeś "generate random key"? Ściągnij jeszcze raz instalkę, zainstaluj na istniejącą kopię a jeśli to nie pomoże zdeinstaluj i zainstaluj ponownie. AV powinien poradzić sobie z wirusem w bootsectorze. W ostateczności spróbuj metody z Linuksem przypiętej w dziale "problemy", być może paskuda stosuje techniki rootkitu i nie widać jego kopii pod systemem. Widzę, że masz jakąś dystrybucję na płycie skoro formatowałeś spod linuxa dysk, pozostaje kwestia jej "aktualności" w zakresie montowania partycji NTFS w trybie odczytu/zapisu.
  • 0

#9 raflat17

raflat17

    Początkujący

  • 12 postów

Napisano 26 11 2006 - 00:18

Z tym kluczem produktu to dość dziwna sprawa, w czasie instalacji potwierdziłeś "generate random key"? Ściągnij jeszcze raz instalkę, zainstaluj na istniejącą kopię a jeśli to nie pomoże zdeinstaluj i zainstaluj ponownie. AV powinien poradzić sobie z wirusem w bootsectorze. W ostateczności spróbuj metody z Linuksem przypiętej w dziale "problemy", być może paskuda stosuje techniki rootkitu i nie widać jego kopii pod systemem. Widzę, że masz jakąś dystrybucję na płycie skoro formatowałeś spod linuxa dysk, pozostaje kwestia jej "aktualności" w zakresie montowania partycji NTFS w trybie odczytu/zapisu.



Starałem się zaktualizować Avire ale bez skutecznie. Wyczaiłem natomiast że podczas instalacji woła aby wskazać "license file" zapisany na dysku. W razie niepowodzenia program będzie w wersji demonstracyjnej. Skąd mogę wziąc "license file" ?
  • 0

#10 ykoops

ykoops

    Stały użytkownik

  • 377 postów

Napisano 26 11 2006 - 00:43

Ściągnę rano i zainstaluję, pierwszy raz się z tym spotykam. Wersja Personal Edition zawsze sama generowała klucz...

edit----
Ok, wygląda na bład w paczce instalacyjnej (zajrzałem na ich forum). Sciągnij instalkę z tego miejsca bezpośrednio ze strony nie z mirrora, zdeinstaluj poprzednią instalkę i wyczyść rejestr ze wszystkich kluczy zawierających w nazwie "H+BEDV" i "Antivir Peronal Classic". Zainstaluj Avirę ze świeżej paczki. Jeśli to nie zadziała pozostaje ręczna aktualizacja:

Ściągnij ten plik definicji wirusów w formacie zip
uruchom antivira i w głównym oknie w menu "update" wybierz "Manual update", w okienku podaj gdzie znajduje się plik zip.
  • 0

#11 raflat17

raflat17

    Początkujący

  • 12 postów

Napisano 26 11 2006 - 17:16

Ściągnę rano i zainstaluję, pierwszy raz się z tym spotykam. Wersja Personal Edition zawsze sama generowała klucz...

edit----
Ok, wygląda na bład w paczce instalacyjnej (zajrzałem na ich forum). Sciągnij instalkę z tego miejsca bezpośrednio ze strony nie z mirrora, zdeinstaluj poprzednią instalkę i wyczyść rejestr ze wszystkich kluczy zawierających w nazwie "H+BEDV" i "Antivir Peronal Classic". Zainstaluj Avirę ze świeżej paczki. Jeśli to nie zadziała pozostaje ręczna aktualizacja:

Ściągnij ten plik definicji wirusów w formacie zip
uruchom antivira i w głównym oknie w menu "update" wybierz "Manual update", w okienku podaj gdzie znajduje się plik zip.



Pobrałem AV i udało mi się go zaktualizować. Wygląda na to że program usuną wszystkie wirusy i nawet więcej bo teraz windows strasznie długo mi się otwiera. Wyskakuje error że system nie może odnaleść pliku: D:\WINDOWS\system32\1.tmp - czy da się coś z tym zrobić? Dziękuję za pomoc. Internet chodzi bardzo sprawnie.

  • 0

#12 ykoops

ykoops

    Stały użytkownik

  • 377 postów

Napisano 26 11 2006 - 19:49

D:\WINDOWS\system32\1.tmp - czy da się coś z tym zrobić?

To pozostałość po jakimś wirusie, plik został wykasowany ale został po nim wpis w autostarcie. Otwórz edytor rejestru i sprawdź czy nie ma odpowiedniego wpisu w kluczu
HCLM\software\microsoft\windows\currentversion\run (pisane z pamięci nie mam dostępu do blaszaka z windą), wykasuj to "1.tpm"

  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych