wirusy i robaki - nowe i stare - jak z nimi walczyć

[Stary]

mam cos z noda32
np:
c:\windows\system\svhostcs32.exe-win32/Rbot trojan
c:\windows\system\winsvc32.exe-odmiana win32/Rbot trojan
c:\windows\system\app.exe-prawdopodobnie nieznany NewHeur_PEwirus
naprawde nie moge wkleic ci zadnego komunikatu bo print screen nie dziala .mam tez problem z menadzerem zadan ktory pojawia sie tylko na ulamek sekundy.ale ide do przodu ten wirus to rbot trojan czy to jego nazwa czy po prostu jakas grupa wirusow?

jak mowilem ide do przodu
to moje logo:
o pomoc prosi @

Logfile of HijackThis v1.99.1
Scan saved at 18:46:06, on 2005-12-02
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\winsvc32.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\grubas\Pulpit\hijackthis-1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit="app.exe" - -
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] winsvc32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] winsvc32.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc32.exe
O4 - Startup: BitTorrent.lnk = C:\Program Files\BitTorrent\bittorrent.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B82DB328-2379-4BDA-9F86-5BF6241D12AA}: NameServer = 195.114.161.55 195.114.181.130
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

Wszystko robisz w trybie awaryjnym i przy wyłączonym przywracaniu systemu:
To co na czerwono fixujesz w HijackThis i usuwasz. Dodatkowo kasujesz ręcznie pliki winsvc32.exe i winsvc32.exe (są w folderze C:\Windows\System32).
Zobacz, czy nie masz w folderze C:\ pliku winstall.exe - jak jest to kasuj.

Po tym wszystkim użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

Przeskanuj system AdAware, Spybotem, i oczywiście antywirem. Tak jak napisał wlodas nie należy jednorazowo używać kilku antywirusów. Zdecyduj się na jeden .

[wlodas]

ja bym dodał, ze taki temat juz był tu: http://www.forum.underpl.org/showthread.php?t=10523

[malpka]

jest ok
mam jednego antywira
mam nowy system
sciagam serwis pack2
i nie mam wirusa
pomogl mi tez moj kolega ale wam dziekuje najbardziej

[wladek]

Mojemu kumplowi pojawia się komunikat o błędzie z plikiem lsa shell. Wyskakuje okno z propozycją wysłania raportu itd.Następnie wbija się wiodomośc, że komputer się wyłączy , co spowodowane jest czymś z plikiem c:/windows/system32/lsass.exe (czy jakoś tak). Nawet gruntowny format i usunięcie partycji nic nie dały! skanowanie spy bootem i usuwanie nazwy "lsass" też nie, znalazłszy ów plik (a niemogąc go usunąć) zmieniłem jego nazwę, jednak on znów się tam pojawił! SPybt też nie pmógł, Trend Micro z całym ekwipunkiem nie chciał się zainstalować! Co robić? Kolega ma windowsa xp profesional.

byłbym zapomniał, kaspersky, również nic nie zdziałał, usnąłem nazwy "lsess" z rejestru

[Stary]

Nie chcę cię martwić ale wygląda na to, że złapałeś robala a konkretnie Sasser'a.
Sam plik lsass.exe jest plikiem systemowym, którego nie powinno się usuwać.
Info o rozpoznaniu i usuwaniu masz: tutaj, tutaj - Microsoft, tutaj -stronka o sasserze.

Jeszcze jedna uwaga, jak przeinstalowujesz system pamiętaj, żeby komputer nie był podłączony do internetu. Jak zainstalujesz wszystkie łatki , serwispacki , firewall i antywirus, to dopiero wtedy możesz podłączyć się do internetu. Proponuję też żebyś przed podłączeniem internetu zamknął wszystkie "wrażliwe" porty komputera programem Windows Worms Doors Cleaner .

[rolaj]

Jeszcze jedna uwaga, jak przeinstalowujesz system pamiętaj, żeby komputer nie był podłączony do internetu. Jak zainstalujesz wszystkie łatki , serwispacki , firewall i antywirus, to dopiero wtedy możesz podłączyć się do internetu. Proponuję też żebyś przed podłączeniem internetu zamknął wszystkie "wrażliwe" porty komputera programem Windows Worms Doors Cleaner .

Potwierdzam. Raz podłączyłem się świeżym systemem bez zapory i antywira i natychmiast stawiałem od nowa. WWDC również mam, polecam.

[azi]

Korzystam z programu avast niestety ostatnio nie moge pozbyc sie robaka c:\_RESTORE\ARCHIVE\FS573.CAB\A0071350.CPY [L] Win32:Trojan-gen. {UPX!} (0) usuwanie zablokowaneCzy ktos wie co moge zrobic? kompletny laik

[Stary]

azi wyłącz przywracanie systemu i ponownie przeskanuj kompa. Powinno być OK.
A jeszcze wyczyść dla pewności tymczasowe pliki internetowe.

Ps.: widzę, że Pablo8G był szybszy i podał to w shoutbox'ie

[ByED]

Nie wim czy tu powinienem ale ostatnie przez przypadek na płycie lipiec sierpien eksperta znalazlem w instalce Portable OpenOfice taki szkodnik

Kod:

eme680mi.dll	Zainfekowane Trojan.Zlob.Gen

może ktoś to potwierdzić chodzi mi czy BidDefender 9 nie przesada. Odrazu dodam ze ani antywirus anai skaner antyspyware nie uleczył pliku. To napiszczie czy udało sie wam uleczyć plik i czym.

[lowak]

Jeśli znalazł na płycie to na pewno ci nie uleczy, nawet gdyby to był czarnobyl czy inny wspaniały wir, bo to płytka

[ByED]

Lowak ja wiem że na płytce nie uleczy. Przegrałem instalke na dysk, rozpakowałęm (w nierozpakowanej nie podejmie żadnego działaniaa) rarem bo sie da (zresztą przy instalacji też wypakowuje). I dopiero próbowałem naprawiać konkretny plik. Pytanie ma na celu doświadczenia z antywirusami. Bit mnie nie zawodzi w wykrywani ale co do leczenia to jakoś nic mu sie jeszcze nie udało. Więc na przykładzie mógłbym sie coś dowiedziec o innych. Tylko sie zastanawiam czy jak to jest trojan to wogóle możliwe. Nie usunięcie z sytemu ale wyleczenie pliku. Tak wogóle to trojan może zainfekować jakis inny plik bo może nie ma sie czym martwic.

Moge dodac że taki np. Steganos AntiSpyware 2006 (działające demo) nawet go nie ujrzał. Za to zobaczył ten plik szpiegujący z płyty experta. Te szajs to niby groźny jest co on może tam do nich wysyłać.

EDIT: Dodaje że to jest boblioteka dll moze dlatego.

[Bronson]

Prezentacja ataku na użytkowników Gadu-Gadu !!!

Z morza linków wykopałem dziś całkiem fajnie zrobioną prezentacją pokazującą jak przebiega atak za pośrednictwem linka rozsyłanego swego czasu do użytkowników Gadu-Gadu.

Kod:

http://www.antyspyware.pl/drive-by-download.html

Obejrzyjcie i zastanówcie się czy Wasz komputer jest dostatecznie zabezpieczony

Pozdrawiam

[ByED]

Jak dla mnie mistrzostwo. Teraz już wiem dlaczego u kumpla który przeżył taki atak nie można (po fakcie) zainstalować żadnego programu antyspyware. Wiem że takie działanie nie powinno być podziwiane ale to jest genialne. A jak ktoś lekcewarzy zabespieczenie swoich plików i komputera no to już jego problem. Dzieki za link. Może kilku ludzi sie opamienta jak go zobaczy.

[rolaj]

Prezentacja ataku na użytkowników Gadu-Gadu !!!

"Lektura obowiązkowa" dla wszystkich, którzy - albo co gorsza ich pociechy - nieprzytomnie klikają we wszystko, co ześle gadulec!

[lowak]

Nie chciałbym być niegrzeczny, bo oczywiście lekturka obowiązkowa, ale to już jest - http://forum.underpl.org/showthread....highlight=gadu.

[ByED]

Zgadzam sie z tobą lowak, tyle że teraz mam już tego kompa i widze do czego coś takiego może doprowadzić. A usunięcie takiego syfu jest jeszcze gorsze. Sporo programów już sprawdziłęm (antywirusy, antyspyware) i wiekszość jest blokowana na etapie instalacji. Najbardziej zadziwił mnie BD 9, wprawdzie sie zainstalował ale nawet po wpisaniu klucza twierdzi żę jest przeterminowany i żaden modół nie jest aktywny. A to raczej nie jest przypadek. Można by powiedzieć dobra robota.

[rolaj]

Nie chciałbym być niegrzeczny, bo oczywiście lekturka obowiązkowa, ale to już jest - http://forum.underpl.org/showthread....highlight=gadu.

Fakt, post z września ub. roku. Ta prezentacja jest jednak tak przekonywująca, że dobrze że bronson ją przypomniał. Btw. też chyba nie wiedział o tamtym wątku, pisząc, że wykopał ją z morza linków.

[Rav]

witam. coś mi się zaczęło sypać w systemie i podejrzewam że to przez jakieś świństwo, zrobiłem skan ad-awarem i coś tam wykrył usunęłem i chyba pomogło, ale dla pewności zobiłem skan hijackthis'em i jedyny wpis jakiego nie znam to

Kod:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

wie ktoś może co to jest?? systemowe czy może jakieś dziadostwo ??

[wlodas]

z innego forum: http://forum.dobreprogramy.pl/viewtopic.php?t=35359

[lowak]

witam. coś mi się zaczęło sypać w systemie i podejrzewam że to przez jakieś świństwo, zrobiłem skan ad-awarem i coś tam wykrył usunęłem i chyba pomogło, ale dla pewności zobiłem skan hijackthis'em i jedyny wpis jakiego nie znam to

Kod:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

wie ktoś może co to jest?? systemowe czy może jakieś dziadostwo ??

Systemowe.

[Ogorek]

To nie jest śmieć systemowy. To jest Windows Error Dump Reporting Tool. A odpowiada za to plik wykonywalny: C:\WINDOWS\system32\dumprep.exe

DUMPREP tworzy raport zrzutu pamięci, który możesz wysłać do Microsoftu jeśli klikniesz w potwierdzenie wysłanie tego raportu.

user posted image

Polecałam gorąco deaktywację tego "wysyłania raportu" w odchudzaniu XP (Panel Sterowania>>> System >>> Zaawansowane >>> Raportowanie błędów). Chyba nie zdeaktywowałeś do końca......Czyżbyś zostawił: "Wyłącz......ale informuj gdy nastąpi krytyczny wyjątek"?
Zwykle pojawia się jako wejście autostartu "KernelFaultCheck" %systemroot%\system32\dumprep 0 –k. Też to miałam raz.
Oznacza to tyle, że na twoim kompie był jakiś błąd prawdopodobnie zrzutu systemowego, crash Office'a lub IE6.........Być może podejrzysz tego errora w Event Viewerze spod narzędzi administracyjnych.

Nic czym miałbyś się specjalnie przejmować. Usuń. Jak chcesz to ciachnąć w trybie super-secure to ściągnij Hijack This. Kliknij Scan i postaw ptaszka przy tym wpisie a potem kliknij Fix checked i po sprawie.

z forum.programosy.pl

[Rav]

wywalono dzięki wielkie za info.

[rolaj]

Na jednej ze skrzynek pocztowych od kilku dni dostaje sporo maili zainfekowanych przez "W32.Netsky.P@mm!enc". NIS bez problemu usuwa te maile, wysyłane chyba z zainfekowanych komputerów bez wiedzy userów. Wirus jest stary, z 2004 roku i sklasyfikowany na najniższym poziomie zagrożenia. Ale wciąż krązy i radzi sobie całkiem nieźle jak na swój wiek. Czyli poczta - i w ogóle komputer tylko z antyvirem (aktualizacjie itd)

[WernerusMaximus]

Polećcie jakiś program do usówania rootkit'ów zwłaszcza backdoor hexdoor

[rolaj]

Polećcie jakiś program do usówania rootkit'ów zwłaszcza backdoor hexdoor

Takie coś, ponoć dobre (Bogu dzieki nie musiałem sprawdzać osobiście ): http://www.sysinternals.com/Utilitie...tRevealer.html