Wirus/Spyware

[nowy_me]

ostatnio zauważyłem dziwny program u siebie na kompie, oto log z hijack'a:

 C:Program FilesInternet Explorersvchost.exe

This entry is not running from the System32 folder, so it is probably nasty.

Possibly nasty! According to our database this process runs normally in c:windowssystem32! Check if you know this process and arrange a viruscheck where required. This process is not running from the System32 folder as it is supposed to be.

dodatkowa program po każdym uruchomieniu systemu próbuje połączyć się że zdalnym serwerem, log z firewalla:

Description      svchost.exe requested permission to access the internet.

Rating           High

Date / Time      2007/12/15 11:01:16+1:00 GMT

Type             New Program

Program          C:Program FilesInternet Explorersvchost.exe

Source IP        

Destination IP   127.0.0.1:1025

Direction        Outgoing (connect)

Action Taken     

Count            1

Source DNS       

Destination DNS  Loopback

domyśliłem się że to jakiś syf, ale jak wchodzę to tego folderu to go tam nie ma, jak go wywalić

 

[Wojtek]

Originally posted by nowy_me
domyśliłem się że to jakiś syf, ale jak wchodzę to tego folderu to go tam nie ma, jak go wywalić

1. Wywal z autostartu.

2. przeczytaj tutk'a djMentos'a

3. Jeśli go "nie widać" to spróbuj:
Narzędzia>>Opcje Folderów>>Widok"pokaż ukryte pliki i foldery" i jeszcze odznacz: "Ukryj chronione Pliki systemu operacyjnego"

4. Daj "cały" log z hijackthis'a

5. Przeskanuj kompa:
a) Ad-Aware 2007 Free 7.0.2.5 (możesz pobrać z tąd )

Ad-Aware 2007 to nowa odsłona powszechnie znanego programu do ochrony przed zagrożeniami. Zapewnia kompleksową ochronę przed szpiegowskim oprogramowaniem, reklamami, dialerami, itd.

Nowa wersja posiada wiele zmian związanych z bezpieczeństwem użytkownika i szybkością oraz skutecznością działania aplikacji. W Ad-Aware 2007 ulepszona została technologia CSI, która wykrywa i usuwa bardzo głęboko ukryte szpiegowskie oprogramowanie oraz inne szkodniki. W programie wprowadzono także możliwość ustalenia harmonogramu - dzięki temu komputer będzie skanowany o wyznaczonych porach, podobnie jest z automatycznymi aktualizacjami. Aplikacja umożliwia trzy rodzaje skanowania Smart Scan, Full Scan oraz Custom Scan (ta opcja dostępna jedynie w wersji Pro). W wersji płatnej programu dostępna jest także zakładka Ad-Watch (umożliwia ochronę komputera w czasie rzeczywistym).

Program posiada odświeżony interfejs użytkownika, a także obsługę skórek.[/b]

 

[0wn3r]

Hmm.. też tak miałem. Wystarczyło, że przeskanowałem sobie komputer antywirusem i samo się usunęło

 

[nowy_me]

Wyrzuciłem już ten plik przez Linuksa, ale w usługach dalej jest "Window Image Worker"

O23 - Service: Window Image Worker (windownetpker) - Unknown owner - C:Program FilesInternet Explorersvchost.exe [b](file missing)[/b]

jak wywalić tą usługę, już ustawiłem żeby nie startowała razem z systemem

EDIT: wywaliłem hijacksem, wojtekingim dzięki ze program