logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Uwaga nowy trudny wirus rozsyłany w linku przez GG

doxent 18 Gru 2005 20:27 24924 65
Najlepsze odpowiedzi

Jak usunąć z Windows XP wirusa/rootkita rozsyłanego przez GG, który ukrywa pliki, blokuje Menedżera zadań i dostęp do katalogów?

Najlepiej uruchomić komputer poza Windows, np. z Hiren BootCD, i skasować zainfekowane pliki z poziomu Volkov Commandera albo Norton Commandera, bo pod XP część z nich jest niewidoczna; w wątku pojawiały się m.in. snda32.dll, snda64.sys, kernels64.exe, ibm00001.exe oraz paytime.exe/calc32.exe [#2100925][#2158290][#2114183] Trzeba też wyczyścić autostart i rejestr, w tym nietypowe wpisy oraz klucz Shell w Winlogon, jeśli został podmieniony na złośliwy plik zamiast explorer.exe [#2100925][#2158273] Do porządków polecano Ewido, a do sprawdzenia wpisów startowych HijackThis [#2100925][#2114183] Jeśli Menedżer zadań pokazuje komunikat o wyłączeniu przez administratora, to zwykle robi to właśnie ten trojan i po usunięciu jego plików oraz wpisów system wraca do normy [#2114183][#2158273]
Wygenerowane przez model językowy.
REKLAMA
Zgłoś naruszenie prawa
| Nowy temat
  • #1 2095800
    doxent
    Poziom 21  
    Posty: 548
    Pomógł: 15
    Ocena: 35
    Jakiś 'mały człowiek' rozsyła w linku wirusa który załadowuje nam komputer rootkitem trudnym do wyłapania. Żadne narzędzie np. Blacklight nie działa bo nie jest wstanie się uruchomić. Rootkit revealer też nie działa bo zwisa po czasie.
    Po kliknięciu na linka na komputer spadają wirusy i szpiegi. Część z nich możemy sami usunąć gdyż łatwo je wyłapać zarówno autoruns jak i hijackthis pokażą co możemy usunąć.
    Część z nich w łatwy sposób zidentyfikujemy pod dosem bo pod XP ich nie widać. Ale na koniec pozostaje problem co dalej.
    Niby wszystko usunęliśmy ale nadal coś blokuje dostep do niektórych katalogów
    nie widoczny jest katalog

    C:\Documents and Settings\Dane Aplikacji\Microsoft\Internet Explorer\Quick Launch

    nie działa pasek narzędzi i gdy chcemy go włączyc otrzymujemy komunikat

    "nie można utworzyć paska narzędzi"

    Plik ukrywa się wśród plików systemowych i jest trudny do wychwycenia bo ma datę taką jaką ma większość plików i jest z nimi wymieszany.

    te pliki to

    snda32.dll
    snda64.sys

    niewidoczne pod XP więc można je tylko pod dosem usunąć.
    trzeba też usunąć go z rejestru poprzez wyszukiwanie.
    Po takim zabiegu komputer odzyskał dawne funkcje.
    Wyszukanie tego zajęło mi to prawie cały dzień.
  • REKLAMA
  • #2 2096472
    marek216
    Poziom 43  
    Posty: 17988
    Pomógł: 1076
    Ocena: 923
    pracuje na linuksie i mam kadu kadu więc problem mnie nie dotyczy ale czy mógłbyś zaspokoić moją ciekawośc i podać nazwe tego wirusa ?
  • #3 2096672
    doxent
    Poziom 21  
    Posty: 548
    Pomógł: 15
    Ocena: 35
    wirus nie ma nazwy to jakieś świeże jest bo szukałem tych plików na google i jeszcze nic nie znalazł.
  • REKLAMA
  • #4 2096879
    R_Przemek
    Poziom 20  
    Posty: 526
    Pomógł: 32
    Ocena: 12
    Jeśli mógł byś to podeślij mi link do tęgo, i tak będę robił format to przy okazji zobacze co to takiego ...


    Kiedyś miałem coś takiego że jak się naciskało Ctrl+Alt+Del to pojawiało się "menedżer zadań Windows został wyłączony przez Administratora"
  • REKLAMA
  • #5 2097713
    doxent
    Poziom 21  
    Posty: 548
    Pomógł: 15
    Ocena: 35
    oprócz w/w wirusa z komputera usunąłem następujące pliki
    z katalogu windows\system\scvhost.exe + dodatki
    z katalogu windows\ibm20001\winlogon.exe + kilka wpisów w rejestrze niektóre dość nietypowe.

    Dodam, że oprócz tego na dysku siedział Spyware Sheriff co niby coś usuwa ale to typowy fake.
    oprocz tego mnostwo plikow vx1.. vx2.. itp qvx.. i inne podobne o tych samych rozmiarach okolo 60k i zawartości.
  • #6 2098071
    marek216
    Poziom 43  
    Posty: 17988
    Pomógł: 1076
    Ocena: 923
    a ja chyba wiem jak kolega to złapał :)
    przyszła wiadomośc :

    mam na imie .... a moje zdjęcie jest tutaj ........ :)

    kolega mi to w firmie odpalił :) usmiałem sie po pachy tylko że godzine sprzetałem :(

    NOD 32 wywalił prawie wszystko - 15 zjawisk paranormalnych :)
    troche adware i oczywiście porządki HJ

    kompik czysty

    pod XP należy powywalac równiez " tempy " z ustawień lokalnych ( zazwyczaj ukryte )
  • #7 2098576
    tirex
    Poziom 12  
    Posty: 12
    Pomógł: 1
    Ocena: 2
    Śmiać się można z byle czego .ale nie każdemu do śmiechu .Ja również niejednokrotnie otrzymywałem wiadomości z linkiem i sposób ataku był inny.
    Zauważyłem jedno ,odpowiedz na moje pisanie następowała bardzo( po 0,5 sek )szybko,mam wrażenie że koleś wyprzedzał mnie w wypowiedziach tak jakby widział co ja napisałem nim wysłałem.Nie ,nie wchodziłem na te strony .próbowałem z liveCd Knoppix ale byłem blokowany . Jako przykład przytoczę tekst z gg.


    6850596 (3-11-2005 15:34)
    siemka!
    ja (3-11-2005 15:35)
    siemka
    6850596 (3-11-2005 15:35)
    poznamy sie? mam na imie Tomek
    masz moze foto?
    ja (3-11-2005 15:35)
    spadaj
    6850596 (3-11-2005 15:35)
    moje jest tutaj http://xx.xx.xx.xxx/?to=LOVER&from=traff&type=new
    6850596 (3-11-2005 15:35)
    oj, sorki, musze leciec! pogadamy pozniej

    A mimo że nod jest dobrym antywirem to są skanery co po nim znajdują dużo wirusów .
  • #8 2098607
    Roger00
    Poziom 18  
    Posty: 318
    Pomógł: 11
    Ocena: 23
    Też dostałem taki shiet, kliknąłem na link i rozwyły mi się alarmy (Kerio, zapora Windows). A co na to właściciel GG? Jak nam wciska z programem reklamy, to powinien zadbać o bezpieczeństwo.
  • #9 2099151
    Gretryk
    Poziom 13  
    Posty: 91
    Pomógł: 5
    nie wiem czy morza ale jeśli tak warto by było to zgłosić do admina gg i podać ten numer a on aby po blokował ostatnie ip użytkowników którzy ostatnio pisali z tego numeru
  • #10 2100925
    doxent
    Poziom 21  
    Posty: 548
    Pomógł: 15
    Ocena: 35
    blokowanie GG nic nie da bo gościu używa losowych numerów które sobie generuje i jak zablokują jeden to utworzy następny i dalej będzie rozsyłał.
    Pozatym dzisiaj usuwałem wirusa w firmie gdzie klientka załapała go.
    Siedział on w katalogu windows\oooq + kilka innych i także razem ze spy sheriffem.
    Także były tam pliki w stylu windupdate w katalogu c:\
    Podobno załapała go na jakiejś polskiej stronie z sennikami.
    Sprawdzała sobie sny i coś takiego wskoczyło.
    Miałem też klientów co mówili, że wlazło im to gdy chodzili po onecie ale raczej w to nie wierzę.
    Ostatnio też robiłem kompa dyrektorce szkoły i okazało się, że cieć nocny łaził po pornostronach.
    W pozamiataniu pomaga Ewido oraz poczciwy Volkov Commander z obsługą ntfs'a z płytki Hiren BootCd 7 albo Norton Commander dla fat32 - wtedy wirusa dużo łatwiej się pozbyć.
  • #11 2108633
    Osmo
    Poziom 18  
    Posty: 346
    Pomógł: 18
    Ocena: 7
    Mi tez to na gg wyskoczyło właśnie przed chwila. Teraz przynajmniej wiem z czym mam doczynienia.
  • #12 2108683
    kacz2n
    Poziom 17  
    Posty: 160
    Pomógł: 19
    Ja też na gg dostałem coś takiego:
    mam na imie Karolina,znalazlam cie na fotka.pl
    jestes zajebisty, chce cie poznac!
    moja fotka jest tutaj
    XXXXXXXXXXXXXXXXXXXXXXX

    Oczywiście po kliknięciu na link mnóstwo spyware i trojanów.
  • #13 2108705
    fenol
    Poziom 17  
    Posty: 299
    Ocena: 64
    kolega kilka postow wyzej napisal ze usunal svchost.exe, ja tez go mam ale myslalem ze to jakis plik systemowy. Mam go usunac?
    zalaczam zrzut z ProcessExplorera - mozecie mi powiedziec co mam usunac?
    Załączniki:
    • Uwaga nowy trudny wirus rozsyłany w linku przez GG zrzut.JPG (113.18 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #14 2109150
    tzok
    VIP Zasłużony dla elektroda
    Posty: 38693
    Pomógł: 3162
    Ocena: 6464
    ...to zależy gdzie on jest, bo rzeczywiście ten w %SYSTEMROOT%\SYSTEM32 jest plikiem systemowym.
  • #15 2110912
    dj_pielgrzym
    Poziom 24  
    Posty: 780
    Pomógł: 21
    Ocena: 8
    koledzy na głupote nie ma lekarstwa....klikajcie HAHA!

    A NOD - pobija na głowe MKSa i nortona, ale nie będę o tym tu dyskutował.
  • #16 2111253
    Tremolo
    Poziom 43  
    Posty: 13792
    Pomógł: 1016
    Ocena: 497
    hmm. Ja zrobiłem tak. Wlaczyłem MKSvira... To co do kasowania to skasowałem. Po nastepnym uruchomieniu powiedziąło mi że nie może znaleźć pliku ibm00001.exe ... Nie umiałem się tego pozbyć. To to do docelowego katalogu wsadziłem sobie notatnik ze zmienioną nazwą.

    Najlepsze, ze wirusa otwarłem pod Firefoxem, a rozleciał mi się IE.
    Pomogłem? Kup mi kawę.
  • #17 2112416
    seba30
    Poziom 15  
    Posty: 164
    Pomógł: 4
    Ocena: 18
    @Tremolo ibm00001.exe mozna zalatwic za pomoca hijackthis
  • #18 2112719
    tzok
    VIP Zasłużony dla elektroda
    Posty: 38693
    Pomógł: 3162
    Ocena: 6464
    to jest chyba w system.ini... shell=explorer.exe <duuuużo spacji>ibm00001.exe
  • #19 2112724
    kkyrtap
    Poziom 15  
    Posty: 112
    Pomógł: 9
    Ocena: 1
    ludzie nastawcie sobie w gg``nie pokazuj wiadomości od nieznajomych `` i po kłopocie
  • #20 2113018
    wader_669
    Poziom 28  
    Posty: 1512
    Pomógł: 93
    Ocena: 15
    ja mam takie pytanie mialem tez podobna sytuacje weszlem na tego linka i nod odrazu mi wyskoczyl i rozloczylem ta strone czy jestem zagrozony moge miec jakiegos wira trojana itp. itd. ?
  • #21 2113187
    kacz2n
    Poziom 17  
    Posty: 160
    Pomógł: 19
    :arrow: wader_669 wklej log z hijackthis na forum przeskanuj też jakimś dobrym skanerem np. MKS.
  • #22 2113339
    kluczyk
    Poziom 14  
    Posty: 116
    Pomógł: 6
    Ocena: 6
    Jak mozecie to sprawdzciee moj log,bo ostatnio tez takiego linka otworzylem.o tresci nazywam sie karolina ........no i naglae wszystkie zapory oszalaly.


    • Logfile of HijackThis v1.99.1
      Scan saved at 11:10:56, on 2005-12-25
      Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\ewido anti-malware\ewidoctrl.exe
      C:\Program Files\ewido anti-malware\ewidoguard.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\Explorer.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
      C:\PROGRA~1\Keyboard\Ikeymain.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\Program Files\Anti-Trojan-55\ATWatch.exe
      C:\Program Files\Winamp\winampa.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\AutoConnect\AutoConnect.exe
      C:\PROGRA~1\Wapster\AQQ\AQQ.exe
      C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
      C:\girder\Girder.exe
      C:\WINDOWS\System32\svchost.exe
      C:\totalcmd\TOTALCMD.EXE
      C:\Program Files\FlashGet\flashget.exe
      C:\Program Files\Winamp\winamp.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\DOCUME~1\Kluczyk\USTAWI~1\Temp\_tc\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\kernels64.exe
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Keyboard\Ikeymain.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [AT-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
      O4 - HKCU\..\Run: [AQQ] C:\PROGRA~1\Wapster\AQQ\AQQ.exe
      O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
      O4 - Startup: Girder3.lnk = C:\girder\Girder.exe
      O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
      O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
      O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
      O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
      O17 - HKLM\System\CCS\Services\Tcpip\..\{313D2F68-F344-4A7A-B129-9FF07EE1E29A}: NameServer = 194.204.152.34 217.98.63.164
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
      O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
  • #24 2113528
    szymon188
    Poziom 22  
    Posty: 519
    Pomógł: 50
    Ocena: 39
    Wrzuc swojego loga TU i bedziesz wiedzial co jest co.Sam wiesz co ma u Ciebie dzialac a co usunac.
  • REKLAMA
  • #25 2113621
    kluczyk
    Poziom 14  
    Posty: 116
    Pomógł: 6
    Ocena: 6
    przy uruchamianiu kompa wyskakuje mi komunikat ze nie mozna znalesc pliku kernels64.exe,i nie moge tez otwozyc menadzera zadan,wywskakuje ze zablokowanty przez admina.macie jakis patent na to ??
  • #28 2114515
    kluczyk
    Poziom 14  
    Posty: 116
    Pomógł: 6
    Ocena: 6
    dzieki chlopaki wszystko spowrotem dziala normalnie.Wielkie dzieki
  • #29 2122502
    szopen_
    Poziom 1  
    Posty: 1
    Wirus Karolina jest bardzo banalnym-ale strasznie dokuczliwym programem wykorzystującym sktypty(javascript) przeważnie kodowanym w ASC II. W dniu 27.12.05 pliki rezydenckie były umieszczone pod nazwami win32.exe i calc32.exe

    W razie problemów:
    gg:8913571
  • #30 2144296
    Kwazor
    Poziom 33  
    Posty: 2481
    Pomógł: 184
    Ocena: 530
    Heh przed chwila dostałem wiadomośc od karolina lat 21 wczesniej była karolina lat 18.

    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    masz zajebiste zdjecia na fotka.pl
chcesz mnie?! moja fotka jest tutaj
http://toolbarbest.biz/dl/adv435.php


    Nawet nie wchodziłem.

    numer tego GG :9563604.

    Zawsze zaczyna to sie tak:
    Witam ;)
| Nowy temat
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ W dyskusji opisano nowy, trudny do wykrycia rootkit rozsyłany za pomocą linków w komunikatorze Gadu-Gadu (GG), często podszywający się pod wiadomości od rzekomych użytkowników o imionach takich jak "Karolina" czy "Tomek". Po kliknięciu w link na komputerze pojawiają się liczne wirusy, trojany i spyware, m.in. Backdoor.Haxdoor, SpySheriff, VX2.BetterInternet oraz pliki o nazwach ibm00001.exe, kernels64.exe, paytime.exe, timesquare.exe, które blokują dostęp do menedżera zadań i niektórych katalogów systemowych. Wirus często ukrywa się w katalogach systemowych, np. windowssystemscvhost.exe (fałszywy svchost), windowsibm20001winlogon.exe, windowsoooq, oraz w plikach o podobnych rozmiarach i nazwach (vx1, vx2, qvx). Usuwanie jest utrudnione, gdyż standardowe narzędzia jak Blacklight czy Rootkit Revealer nie działają poprawnie, a infekcja może blokować dostęp do narzędzi systemowych i katalogów. Zalecane jest użycie programów takich jak HijackThis, Ewido Anti-Malware, Ad-Aware, NOD32, MKSvir, Avast, Volkov Commander, Norton Commander oraz korzystanie z bootowalnych płyt typu Hiren’s BootCD do usuwania infekcji. Wskazano także na konieczność ręcznego czyszczenia rejestru (np. klucz Shell w HKLMSoftwareMicrosoftWindows NTWinlogon) oraz wyłączania podejrzanych procesów i wpisów autostartu. Wiele osób sugeruje blokowanie wiadomości od nieznajomych w GG lub całkowitą zmianę komunikatora na bezpieczniejszy (np. MirandaIM). Boty rozsyłające zainfekowane linki generują losowe numery GG, co utrudnia blokowanie nadawców. Wersje GG od 7 wprowadzają ograniczenia przyjmowania linków od nieznajomych, co ma zmniejszyć ryzyko infekcji. Dyskusja podkreśla konieczność ostrożności przy klikaniu linków, regularnej aktualizacji systemu i stosowania skutecznych programów antywirusowych oraz antyspyware.
Wygenerowane przez model językowy.
REKLAMA