Pokaż wyniki od 1 do 6 z 6

Temat: robak i exploit - jak usunąć...

  1. #1
    Użytkownik
    Dołączył
    15-10-2006
    Posty
    13

    Domyślnie robak i exploit - jak usunąć...

    Witam!

    Jak sie okazuje komputery w mojej pracowni szkolnej są zawirusowane i coś wpadlo mi na pendrive'a, czego nawet nie zauważyłem. Ostatnio przeglądając dysk w poszukiwaniu pewnego pliku, napotkałem się na plik WINFILE.

    Po przeskanowaniu avastem - robak Win32.
    Próba usunięcia i kwarantanny mija się z celem - robak pojawias ię znowu i tak w kółko.
    Co zrobić?

    Kolejna sprawa to atakuje mnie DCOM Exploit i nie wiem czym go usunąć. Kolega mi mówił że to stary jak świat exploit ale nie umiał wytłumaczyć jak usunąć i jakimi programami.

    Z góy dzięki za pomoc.

  2. Pani Haker
    Avatar Pani Haker Moderator

    Dołączył
    05-03-2009
    Skąd
    Internet
    Postów
    666
    Pochwał
    0
  3. #2
    Użytkownik
    Dołączył
    03-11-2007
    Skąd
    Mława
    Posty
    376

    Domyślnie Logi

    Daj logi z Combofixa i hijackthisa.Skoro ten twój kolega mówi ze taki stary t czemu nie wie jak go usunąc ?Czyżby udawał Hackera nie znając nawet drogi którą się dostaje ?

    Nasłuch na 135 port masz.

    do rzeczy :

    ściągasz Windows Worms Doors Cleaner

    zamykasz wszystkie porty.


    pobierasz i ten progs sprzwdza czy i nie zostawil po sobie sladow.Oczywiscie takze je naprawia.
    Restartujesz i wchodzisz na strone http://www.grc.com/freeware/dcom.html

  4. #3
    Użytkownik
    Dołączył
    15-10-2006
    Posty
    13

    Domyślnie

    ściągnałem DCOMbomb i zamknąłem port 135.

    Log z HT
    Kod:
    Logfile of Trend Micro HijackThis v2.0.2
    
    Scan saved at 11:42:37, on 2008-03-08
    
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Boot mode: Normal
    
    
    
    Running processes:
    
    D:WINDOWSSystem32smss.exe
    
    D:WINDOWSsystem32csrss.exe
    
    D:WINDOWSsystem32winlogon.exe
    
    D:WINDOWSsystem32services.exe
    
    D:WINDOWSsystem32lsass.exe
    
    D:WINDOWSsystem32svchost.exe
    
    D:WINDOWSsystem32svchost.exe
    
    D:WINDOWSSystem32svchost.exe
    
    D:WINDOWSsystem32svchost.exe
    
    D:WINDOWSsystem32svchost.exe
    
    D:Program FilesLavasoftAd-Aware 2007aawservice.exe
    
    D:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
    
    D:Program FilesAlwil SoftwareAvast4ashServ.exe
    
    D:WINDOW***plorer.EXE
    
    D:PROGRA~1NEOSTR~1CnxMon.exe
    
    D:Program FilesThomsonSpeedTouch USBDragdiag.exe
    
    D:PROGRA~1NEOSTR~1TaskbarIcon.exe
    
    D:Program FilesJavajre1.6.0_04binjusched.exe
    
    D:Program FilesCommon FilesRealUpdate_OBrealsched.exe
    
    D:PROGRA~1ALWILS~1Avast4ashDisp.exe
    
    D:WINDOWSsystem32ctfmon.exe
    
    D:WINDOWSsystem32spoolsv.exe
    
    D:WINDOWSsystem32nvsvc32.exe
    
    D:WINDOWSsystem32PnkBstrA.exe
    
    D:WINDOWSsystem32wdfmgr.exe
    
    D:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
    
    D:Program FilesAlwil SoftwareAvast4ashWebSv.exe
    
    D:Program FilesWapSterWapSter AQQAQQ.exe
    
    D:Program FilesSpyware DoctorpctsAuxs.exe
    
    D:Program FilesSpyware DoctorpctsSvc.exe
    
    D:Program FilesSpyware DoctorpctsTray.exe
    
    D:Program FilesSpyware DoctorpctsGui.exe
    
    D:WINDOWSsystem32wbemwmiprvse.exe
    
    D:Program FilesTrend MicroHijackThisHijackThis.exe
    
    D:WINDOWSsystem32wbemwmiprvse.exe
    
    
    
    R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.neostrada.pl
    
    R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
    
    R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
    
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:PROGRA~1NEOSTR~1SEARCH~1.DLL
    
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
    
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:Program FilesRealRealPlayerrpbrowserrecordplugin.dll
    
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:Program FilesJavajre1.6.0_04binssv.dll
    
    O4 - HKLM..Run: [WooCnxMon] D:PROGRA~1NEOSTR~1CnxMon.exe
    
    O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "D:Program FilesThomsonSpeedTouch USBDragdiag.exe" /icon
    
    O4 - HKLM..Run: [WOOWATCH] D:PROGRA~1NEOSTR~1Watch.exe
    
    O4 - HKLM..Run: [WOOTASKBARICON] D:PROGRA~1NEOSTR~1TaskbarIcon.exe
    
    O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
    
    O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE D:WINDOWSsystem32NvCpl.dll,NvStartup
    
    O4 - HKLM..Run: [nwiz] nwiz.exe /install
    
    O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE D:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
    
    O4 - HKLM..Run: [eDonkey2000] D:Program FileseDonkey2000eDonkey2000.exe -t
    
    O4 - HKLM..Run: [Adobe Reader Speed Launcher] "D:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
    
    O4 - HKLM..Run: [SunJavaUpdateSched] "D:Program FilesJavajre1.6.0_04binjusched.exe"
    
    O4 - HKLM..Run: [TkBellExe] "D:Program FilesCommon FilesRealUpdate_OBrealsched.exe"**-osboot
    
    O4 - HKLM..Run: [avast!] D:PROGRA~1ALWILS~1Avast4ashDisp.exe
    
    O4 - HKLM..Run: [ISTray] "D:Program FilesSpyware DoctorpctsTray.exe"
    
    O4 - HKCU..Run: [CTFMON.EXE] D:WINDOWSsystem32ctfmon.exe
    
    O4 - HKCU..Run: [AQQ] D:PROGRA~1WapSterWAPSTE~1AQQ.exe
    
    O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'USŁUGA LOKALNA')
    
    O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'USŁUGA SIECIOWA')
    
    O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
    
    O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'Default user')
    
    O4 - Global Startup: hamachi.lnk = D:Program FilesHamachihamachi.exe
    
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:Program FilesMessengermsmsgs.exe
    
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:Program FilesMessengermsmsgs.exe
    
    O17 - HKLMSystemCCSServicesTcpip..{CBA66752-BBC2-4A21-AEA8-2FD3EF5FF79C}: NameServer = 213.241.79.37 83.238.255.76
    
    O20 - Winlogon Notify: winrnt32 - D:WINDOWSSYSTEM32winrnt32.dll
    
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:Program FilesLavasoftAd-Aware 2007aawservice.exe
    
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
    
    O23 - Service: avast! Antivirus - ALWIL Software - D:Program FilesAlwil SoftwareAvast4ashServ.exe
    
    O23 - Service: avast! Mail Scanner - ALWIL Software - D:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
    
    O23 - Service: avast! Web Scanner - ALWIL Software - D:Program FilesAlwil SoftwareAvast4ashWebSv.exe
    
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:WINDOWSsystem32nvsvc32.exe
    
    O23 - Service: PnkBstrA - Unknown owner - D:WINDOWSsystem32PnkBstrA.exe
    
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:Program FilesSpyware DoctorpctsAuxs.exe
    
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:Program FilesSpyware DoctorpctsSvc.exe
    
    
    
    --
    
    End of file - 5565 bytes

    Tak dla porównania : log z HT po zabawie z DCOMbombem, spyware doctorem i ad-aware.

    Kod:
    Logfile of Trend Micro HijackThis v2.0.2
    
    Scan saved at 11:49:59, on 2008-03-08
    
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Boot mode: Normal
    
    
    
    Running processes:
    
    D:WINDOWSSystem32smss.exe
    
    D:WINDOWSsystem32csrss.exe
    
    D:WINDOWSsystem32winlogon.exe
    
    D:WINDOWSsystem32services.exe
    
    D:WINDOWSsystem32lsass.exe
    
    D:WINDOWSsystem32svchost.exe
    
    D:WINDOWSsystem32svchost.exe
    
    D:WINDOWSSystem32svchost.exe
    
    D:WINDOWSsystem32svchost.exe
    
    D:WINDOWSsystem32svchost.exe
    
    D:Program FilesLavasoftAd-Aware 2007aawservice.exe
    
    D:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
    
    D:Program FilesAlwil SoftwareAvast4ashServ.exe
    
    D:WINDOW***plorer.EXE
    
    D:PROGRA~1NEOSTR~1CnxMon.exe
    
    D:Program FilesThomsonSpeedTouch USBDragdiag.exe
    
    D:PROGRA~1NEOSTR~1TaskbarIcon.exe
    
    D:Program FilesAdobeReader 8.0ReaderReader_sl.exe
    
    D:Program FilesJavajre1.6.0_04binjusched.exe
    
    D:Program FilesCommon FilesRealUpdate_OBrealsched.exe
    
    D:PROGRA~1ALWILS~1Avast4ashDisp.exe
    
    D:WINDOWSsystem32ctfmon.exe
    
    D:PROGRA~1WapSterWAPSTE~1AQQ.exe
    
    D:WINDOWSsystem32spoolsv.exe
    
    D:WINDOWSsystem32nvsvc32.exe
    
    D:WINDOWSsystem32PnkBstrA.exe
    
    D:WINDOWSsystem32wdfmgr.exe
    
    D:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
    
    D:Program FilesAlwil SoftwareAvast4ashWebSv.exe
    
    D:Program FilesMozilla Firefoxfirefox.exe
    
    D:Program FilesTrend MicroHijackThisHijackThis.exe
    
    D:WINDOWSsystem32wbemwmiprvse.exe
    
    
    
    R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.neostrada.pl
    
    R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
    
    R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
    
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:PROGRA~1NEOSTR~1SEARCH~1.DLL
    
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
    
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:Program FilesRealRealPlayerrpbrowserrecordplugin.dll
    
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:Program FilesJavajre1.6.0_04binssv.dll
    
    O4 - HKLM..Run: [WooCnxMon] D:PROGRA~1NEOSTR~1CnxMon.exe
    
    O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "D:Program FilesThomsonSpeedTouch USBDragdiag.exe" /icon
    
    O4 - HKLM..Run: [WOOWATCH] D:PROGRA~1NEOSTR~1Watch.exe
    
    O4 - HKLM..Run: [WOOTASKBARICON] D:PROGRA~1NEOSTR~1TaskbarIcon.exe
    
    O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
    
    O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE D:WINDOWSsystem32NvCpl.dll,NvStartup
    
    O4 - HKLM..Run: [nwiz] nwiz.exe /install
    
    O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE D:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
    
    O4 - HKLM..Run: [eDonkey2000] D:Program FileseDonkey2000eDonkey2000.exe -t
    
    O4 - HKLM..Run: [Adobe Reader Speed Launcher] "D:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
    
    O4 - HKLM..Run: [SunJavaUpdateSched] "D:Program FilesJavajre1.6.0_04binjusched.exe"
    
    O4 - HKLM..Run: [TkBellExe] "D:Program FilesCommon FilesRealUpdate_OBrealsched.exe"**-osboot
    
    O4 - HKLM..Run: [avast!] D:PROGRA~1ALWILS~1Avast4ashDisp.exe
    
    O4 - HKCU..Run: [CTFMON.EXE] D:WINDOWSsystem32ctfmon.exe
    
    O4 - HKCU..Run: [AQQ] D:PROGRA~1WapSterWAPSTE~1AQQ.exe
    
    O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'USŁUGA LOKALNA')
    
    O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'USŁUGA SIECIOWA')
    
    O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
    
    O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'Default user')
    
    O4 - Global Startup: hamachi.lnk = D:Program FilesHamachihamachi.exe
    
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:Program FilesMessengermsmsgs.exe
    
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:Program FilesMessengermsmsgs.exe
    
    O17 - HKLMSystemCCSServicesTcpip..{CBA66752-BBC2-4A21-AEA8-2FD3EF5FF79C}: NameServer = 213.241.79.37 83.238.255.76
    
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:Program FilesLavasoftAd-Aware 2007aawservice.exe
    
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
    
    O23 - Service: avast! Antivirus - ALWIL Software - D:Program FilesAlwil SoftwareAvast4ashServ.exe
    
    O23 - Service: avast! Mail Scanner - ALWIL Software - D:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
    
    O23 - Service: avast! Web Scanner - ALWIL Software - D:Program FilesAlwil SoftwareAvast4ashWebSv.exe
    
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:WINDOWSsystem32nvsvc32.exe
    
    O23 - Service: PnkBstrA - Unknown owner - D:WINDOWSsystem32PnkBstrA.exe
    
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:Program FilesSpyware DoctorpctsAuxs.exe
    
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:Program FilesSpyware DoctorpctsSvc.exe
    
    
    
    --
    
    End of file - 5295 bytes

  5. #4
    Użytkownik
    Dołączył
    13-07-2007
    Skąd
    WLKP
    Posty
    190

    Domyślnie

    Kod:
    O20 - Winlogon Notify: winrnt32 - D:WINDOWSSYSTEM32winrnt32.dll
    Ale w drugim logu już go nie ma więc powinno być git

  6. #5
    Użytkownik
    Dołączył
    03-11-2007
    Skąd
    Mława
    Posty
    376

    Domyślnie WWDC

    Ale WWDC masz zamknąć wszystkie porty które w nim można zamknąć.Ty masz tylko nasłuch na 135 port,a łączy sie innym.

    Zmianiaj AV na Noda lub Kaspersky

  7. #6
    Użytkownik
    Dołączył
    31-08-2006
    Skąd
    Lublin
    Posty
    163

    Domyślnie

    Spyware Doctor jest na czarnej lisice. Nie polecam go instalować, jak go zainstalowałem chciał ingerować w system. Szybko go usuń i zainstaluj np. AVG przeskanuj, jak nic nie znajdzie odinstaluj żeby Ci kompa nie zwalniał i ostrożnie korzystaj z neta.

    http://www.avg.pl/pobierz.html

    Offtopic: Witam po długiej nieobecności

Podobne wątki

  1. Skośnooki Robak Baidu!
    Przez Kajman60
    w forum Programy antywirusowe
    Odpowiedzi: 3
    Ostatni post / autor: 06-02-2014, 16:20
  2. robak blokuje strony www
    Przez niemamnicku
    w forum Security
    Odpowiedzi: 0
    Ostatni post / autor: 20-12-2013, 22:26
  3. Pingi I Niechciany robak
    Przez lewyxd
    w forum Sieci bezprzewodowe
    Odpowiedzi: 5
    Ostatni post / autor: 06-06-2009, 00:48
  4. Robak..pomocy
    Przez Nero0
    w forum Security
    Odpowiedzi: 2
    Ostatni post / autor: 14-05-2007, 22:02
  5. robak&gg???
    Przez gacek
    w forum Komunikatory
    Odpowiedzi: 5
    Ostatni post / autor: 13-08-2002, 22:08

Uprawnienia

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •