Wirus downloader.tibs :(

Jagna (Windtalker 20) 2006-10-25 17:40:53 UTC #1

Dostalam na gg adres internetowy i po wejsciu na stronke zainstalował sie wirus Downloader.Tibs. Słyszałam, że trzeba sprawdzić kompa programem Hijackthis, com uczyniła w nadziei na pomoc Waszą. Oto co mi wyszło:

Logfile of HijackThis v1.99.1 Scan saved at 19:41:55, on 2006-10-25 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ntvdm.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Program Files\Messenger\msmsgs.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Gadu-Gadu\gg.exe

prosze o pomoc

Myszak (Myszonus) 2006-10-25 17:47:31 UTC #2

Log urwany.

Wklej cały.

Jagna (Windtalker 20) 2006-10-25 17:49:54 UTC #3

O sorki faktycznie

Logfile of HijackThis v1.99.1 Scan saved at 19:41:55, on 2006-10-25 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ntvdm.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Program Files\Messenger\msmsgs.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Tlen.pl\tlen.exe C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search\_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ F3 - REG:win.ini: load=C:\YDPDict\watch.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

Myszak (Myszonus) 2006-10-25 17:51:11 UTC #4

Czysto.

Podaj lokalizację tego wirusa.

Jagna (Windtalker 20) 2006-10-25 17:52:59 UTC #5

a skąd ją wziąść? Masz do czynienia z kompletnym laikiem bu bu bu :oops:

Myszak (Myszonus) 2006-10-25 17:56:35 UTC #6

Skąd wiesz, że masz tego wirusa ? Wskazywał to AVG ? To podaj co miałaś w raporcie tego programu.

Jagna (Windtalker 20) 2006-10-25 18:07:53 UTC #7

aaaa no tak:oops: . AVG wykazał go w plikach wincss32[1].exe

Myszak (Myszonus) 2006-10-25 18:17:31 UTC #8

Daj log z Silent Runners – tu masz opis.

Znasz dokładne ścieżki tych plików ? były one w_C:\Windows\system32\wincss32.exe_ ?

Jagna (Windtalker 20) 2006-10-25 18:26:02 UTC #9

ścieżka to C:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\KXMNID2F\wincss32[1].exe

Ale jak kliknęłam na linka z Silent Runner to mi stronka wylazła dziwna bez żadnego linka do ściągnięcia

Złączono Posta : 25.10.2006 (Sro) 20:27

OO i jeszcze drugi plik zainfekowany został C:\WINDOWS\Temp\wincss32.exe

Myszak (Myszonus) 2006-10-25 18:29:29 UTC #10

Zrób tak :

Start --> uruchom --> cmd wklep :

adam9870 (adam9870) 2006-10-25 18:30:28 UTC #11

Uruchom system w trybie awaryjnym:

Jak już będziesz wybierz start >>> uruchom >>> cmd >>> wpisz poniższe polecenia i kolejno kliknij Enter i uruchom komputer ponownie.

A w link do Silenta należy kliknąć prawym klawiszem myszki >>> Zapisz element docelowy jako >>> wskaż miejsce gdzie chcesz zapisać (np. Pulpit) >>> Kliknij Zapisz >>> dalsza instrukcja jest w linku podanym przez Myszaka.

Jagna (Windtalker 20) 2006-10-25 18:35:10 UTC #12

Wpisałam to polecenie przez menu start->uruchom... i napisało mi że

Myszak (Myszonus) 2006-10-25 18:35:50 UTC #13

Zrób to w awaryjnym.

Jagna (Windtalker 20) 2006-10-25 18:52:05 UTC #14

Nom zrobiłam w awaryjnym i zadziałało tylko to drugie polecenie RD /S /Q "C:\Windows\Temp". Jak wpisałam to pierwsze to znowu wyskoczyło ze plik jest uzywany przez inny proces

I co teraz ? bububu

adam9870 (adam9870) 2006-10-25 19:10:32 UTC #15

W takim razie spróbuj zrobić tak: (także w trybie awaryjnym)

start >>> uruchom >>> cmd >>> wydajesz kolejno dwa następujące polecenia:

Po wydaniu drugiego polecenia jeśli zostaniesz spytany o to czy na pewno to oczywiście zgódź się wciskając klawisz T i potwierdzając Enterem.

Jagna (Windtalker 20) 2006-10-25 19:24:10 UTC #16

no ok zarobiłam i chyba zadziałało. I pisało tak jak mówiłeś/łaś potem się pojawiło

C:\Windows\Temp

To znaczy, że już nie ma tego wirusa ?

adam9870 (adam9870) 2006-10-25 19:29:55 UTC #17

Katalogi w których znajdowały się pliki wirusów zostały oczyszczone, czyli zostało usunięte to co w nich było.

Krótko mówiąc - tak, wirusy usunięte.

Dodatkowo proponuję pozamykać porty robakom. Dzięki temu zmniejszysz prawdopodobieństwo złapania śmieci. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Jagna (Windtalker 20) 2006-10-25 19:45:13 UTC #18

jesteście boscy!

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem