Zauważyłem w menadżerze zadań proces DC.exe. Po przeszukaniu internetu, znalazłem info na jego temat, oczywiście od razu proces ten wyłączyłem i ręcznie szukałem podanych plików, ale nic nie znalazłem. Chcę się upewnić, że komputer jest czysty. Oto info na temat tego procesu:
http://www.symantec.com/business/securi … 99&tabid=2
Discovered: August 1, 2007 Updated: August 1, 2007 4:30:19 PM Also Known As: Dung.A [Panda Software], W32/VB-DZE [sophos], W32/VB-DGA [sophos] Type: Worm Infection Length: 57,344 bytes Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 When the worm is executed, it creates the following files: * %Windir%\Help\Other.exe * %Windir%\inf\Other.exe * %Windir%\system\Fun.exe * %System%\config\Win.exe * %System%\WinSit.exe * %Windir%\dc.exe * %Windir%\SVIQ.EXE * %System%\NWB.dat * C:\PNga.txt It then creates the following registry entries, so that it starts when Windows starts: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"dc2k5" = “C:\WINDOWS\SVIQ.EXE” HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"Fun" = “C:\WINDOWS\system\Fun.exe” HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"dc" = “C:\WINDOWS\dc.exe” HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows"run" = “C:\WINDOWS\system32\config\Win.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Shell" = “Explorer.exe C:\WINDOWS\system32\WinSit.exe” HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows"load" = “C:\WINDOWS\inf\Other.exe” The worm also copies itself to all removable drives, placing a copy of itself into each folder on the drive and naming itself after that folder. It also uses the same icon as a folder, attempting to trick the user into executing it. For example: [DRIVE LETTER]:\temp\temp.exe The worm adds the following string to the [rename] section of %Windir%\wininit.ini: NUL=C:\ WINDOWS\Help\Other.exe The worm spreads by sending messages to all online Yahoo! Instant Messenger contacts. The text of the message will be one of the following: * [http]dungcoivb.googlepages.com/FUN[REMOVED] * Olalala, may tinh cua ban da dinh Worm DungCoi… If the second message is sent, the worm tries to send a copy of itself directly to the contact or by sending another instant message with a URL. Recommendations Symantec Security Response encourages all users and administrators to adhere to the following basic security “best practices”: * Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates. * If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied. * Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services (for example, all Windows-based computers should have the current Service Pack installed.). Additionally, please apply any security updates that are mentioned in this writeup, in trusted Security Bulletins, or on vendor Web sites. * Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised. * Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files. * Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media. * Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched. Writeup By: Liam O Murchu
A oto log z HijackThis
http://wklej.org/id/5c7f2cca28
I z ComboFix
http://wklej.org/id/edb973a219
huber2t
(huber2t)
22 Czerwiec 2008 23:12
#2
fix w hijackthis
Drugi log ok
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Fixy zrobione.
Qoobox usunięte.
CCleaner wyczyścił komputer i rejestr.
Przywracanie systemu wyłączone i włączone na wszystkich dyskach.
Pytanie odnośnie autostartu:
czy procesy:
ctfmon
NvCplDaemon
NvMediaCenter
na pewno można wyłączyć, bo nie mam pojęcia co to jest, zwłaszcza ctfmon?
Wyniki skanu wrzucę później lub jutro, ponieważ nie wiem czy dotrwam do końca skanowania
huber2t
(huber2t)
23 Czerwiec 2008 03:44
#4
ctfmon możemy usunąć jeśli nie używamy wielu języków:
Panel sterowania => Ustawienia regionalne => Języki => Detale => Zaawansowane => Odznaczamy usługi tekstowe
resztę może zostaw, i daj raport ze skanowania
huber2t
(huber2t)
23 Czerwiec 2008 10:45
#6
A to co nam dałeś to co to jest, czyste i zainfekowane pliki czy jak?
Jak klikniesz prawym przyciskiem myszy i wybierzesz “Pokaż obrazek”, otworzy się pełny obraz.
Lub jak klikniesz ten link
http://img528.imageshack.us/img528/6928/71154651hq0.jpg
Po prostu forum obcięło trochę szerokości obrazu. Nie edytowałem od razu bo miałem chwilowy problem z internetem.
huber2t
(huber2t)
23 Czerwiec 2008 11:17
#8
Usuń wszystkie zainfekowane obiekty
Ok, ale mam problem z tym Sytem Volume Information, ponieważ mam Windows XP Home i po odsłonięciu ukrytych i chronionych folderów nie mam we właściwościach zakładki “Zabezpieczenia”, ani nie mogę otworzyć folderu dwuklikiem.
Znalazłem info, że można się tam dostać przez cmd.
WXP Home (Pro również) Tu będzie tylko jeden krok. Wybierz start-uruchom i wpisz cmd. W otwartym oknie wpisz (każdą linijkę zatwierdź Enterem): 1. cd C:\ 2. cacls “C:\System Volume Information” /T /G Administrator:F Naciśnij enter i gdy system zapyta Cię Czy na pewno? (T/N) - naciśnij T i enter. Teraz przeprowadź skanowanie Tak BTW: Folderu nie da się tak po prostu wywalić - system utworzy go za każdym razem, gdy zostanie uruchomiony.
ale nie mam pojęcia co kliknąć, żeby mi przeszło na D:\System Volume Information :?
Na C:\ też dostaję komunikat: Nie można otworzyć, odmowa dostępu.
huber2t
(huber2t)
23 Czerwiec 2008 12:13
#10
jeśli tam masz wirusy to to polecenie je z tamtąd usunie
Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja
W trybie awaryjnym usunąłem ten plik (tam miałem dostęp do folderu System Volume Information) i wyłączyłem przywracanie systemu. Gdy chciałem je włączyć, wyświetlił się komunikat, że włączyć można tylko w trybie normalnym więc restartuję komputer, otwieram właściwości systemu, a tam nie ma zakładki przywracanie systemu :?
Wygląda tak:
http://img357.imageshack.us/img357/6241/beztytuudd5.jpg
A wcześniej wyglądał tak:
http://www.wsipnet.pl/ekursy/ecdl/mod_2/gfx/m2_scr2.png
To mnie już zupełnie zdezorientowało :o
Gutek
(Gutek)
23 Czerwiec 2008 16:12
#12
Leon1
(Leon$)
23 Czerwiec 2008 16:19
#13
Masz XP Home więc
w trybie awaryjnym wchodzisz do System Volume Information i usuwasz wszystko co się tam znajduje potem zmieniasz tak jak było na początku
robisz to na wszystkich dyskach jakie posiadasz
Start >> uruchom >> services.msc sprawdzasz czy włączona jest usługa przywracania systemu >> restartujesz kompa uruchamiasz w trybie normalnym
szukasz zakładki i co ano powinna być na swoim miejscu