Problem z Net-Worm.Win32.Allaple.d

Dla specjalistów Bezpieczeństwo
#1

Więc mam problem z takim czymś: Net-Worm.Win32.Allaple.d. Gdy wykryje mi go Kaspersky Anty-Virus: Net-Worm.Win32.Allaple.d Plik: C:\WINDOWS\System32.exe - zawiesza mi kompa :(. Parę godzin temu robiłem formata (powód: http://forum.dobreprogramy.pl/viewtopic.php?t=134429). Jak będzie trzeba dać logi, piszcie.

I może ma ktoś Kasperskiego AntiHackera i wie jak go dobrze skonfigurować?

#2

Pokaż log z HijackThis, SilentRunners + log numer 1 z L2Mfix.

#3

Nie wiem. nie mogę otworzyć Silent Runners. Od dłuższego czasu używam tego samego win a pierwszy raz mam takie coś:

beztytu322umo9.jpg

Hijackthis:

A tego L2Mfix to nie wiem jak używac :?

#4

Usuń wpisy HJT.

O problemach z silentem poczytaj TUTAJ.

Zajrzyj tutaj:

http://cybertrash.pl/images/tata/L2MFIX.html

#5

L2Mfix:

SilentRunners:

I użyłem tego programu i nic. Takie coś:

omfgzr8.jpg

Jeszcze jest jakis plik w notatniku, moge podać jak trzeba :confused:

#6

Log czysty.

Skoro nie możesz uruchomić Silenta, to dla pewności możesz przeskanować http://www.ewido.net/en/

#7

Niedawno miałem to samo… Komp sie zawiesił, a po chwili Kaspersky wykrył: wirus Net-Worm.Win32.Allaple.a Plik: C:\WINDOWS\System32.exe. Usunąłem go… Dobra działa Silent :slight_smile: - log:

Zaraz przeskanuje tym Ewido… jakiś raport albo coś dać? I jak wszystko ok jest ok to czego to wina może być?

#8

Również czysto.

Z ewido nie musisz dawać raportu.

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

#9

No WWDC ciągle używam :). Eh nie wiem :9 co to może być, kurde wkurza mnie to trochę :frowning: a w necie nic nie ma na temat tego virusa… no nic spróbuje z nim jeszcze powalczyć.

Złączono Posta : 17.02.2007 (Sob) 12:47

Skanuję Ewido, na C wykryło mi takie coś, to chyba raczej nie jest przyczyna tych zwiech kompa :/:

73673738rr4.jpg

Kasperski:

89397675pt1.jpg

Wkurza mnie w Kaspeski AntyVirusie ochrona proaktywna… nie znam się aż tak bardzo na tym a właśnie z tej ochrony proaktywnej wyskakują mi okienka z atakami czy czymś takim… jak będę mial obrazki to załącze. Ale jak wyskoczy to okienko to nie wiem co mam klikać :confused: czy Kwarantanna czy Przerwij czy Akceptuj, po wyskoczeniu tego okienka win zmienia wyglad na 98 a potem wraca do normalnego ale nic nie da się zrobić i potrzebny reset :/, najcześciej biorę przerwij lub kwaranntana (te okna dotyczą np. Svchost.exe o PID 820 i nie wiem czy to złe czy dobre :/)

Zaraz zrobię pełnego skana Kasperskim po update jak to nie pomoże to nie wiem (zaktualizuje może windowsa jeszcze)

#10

Jak zrobisz to wrzuć raport oraz komplet nowych logów (hijack, silent + log numer 1 z narzędzia l2mfix).

#11

Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 14:54:12, on 2007-02-17

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\RunDll32.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Łukasz\Pulpit\Programy\Hijackthis\HijackThis.exe

C:\WINDOWS\System32\WScript.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{8507E611-4636-493F-9595-8D36F5500C4D}: NameServer = 194.204.152.34 217.98.63.164

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

L2Mfix:

#12

W logach tylko:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32.exe

Klikasz X czerwony i restart kompa.

Przeskanuj http://www.ewido.net/en/ i pokaż raport oraz nowe logi.

#13

Silent Runners:

Nie zmieściłem w tamtym poście.

#14

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177 albo jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509