Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Komputer zainfekowany robalem " Vundo"

a_kacper 19 Mar 2008 01:37 8795 86
  • Pomocny post
    #61
    Kolobos
    Spec od komputerów
    Uruchom regedit, przedz do: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] i usun tam:
    "C:\\WINDOWS\\system32\\printer.exe"
    "C:\\WINDOWS\\system32\\spoolvs.exe"
    "C:\\WINDOWS\\shell.exe"
    "C:\\Documents and Settings\\Marta Lisiewicz\\Menu Start\\Programy\\Autostart\\findfast.exe"
    "C:\\Documents and Settings\\All Users\\Menu Start\\Programy\\Autostart\\autorun.exe"
    "%windir%\\system32\\winav.exe""
    "C:\\Documents and Settings\\Marta Lisiewicz\\Dane aplikacji\\sysdefender.exe"
    "C:\\Documents and Settings\\Marta Lisiewicz\\Dane aplikacji\\mcrupdate.exe"
    "C:\\Documents and Settings\\Administrator\\Menu Start\\Programy\\Autostart\\findfast.exe"
    "C:\\Documents and Settings\\Administrator\\Dane aplikacji\\mcrupdate.exe"

    Reszta jest ok, nowe logi nie sa juz potrzebne.
  • Pomocny post
    #63
    Kolobos
    Spec od komputerów
    Odinstaluj jeden antywirus, najlepiej nortona.
    Wylacz zbedne programy w msconfig.

    W hjt usun:
    O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
    O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)
    do tego mozesz usunac jeszcze wpisy winamp toolbar.

    Reszta wyglada ok.
  • #64
    a_kacper
    Poziom 10  
    Myślałem, że logi z programów powiedzą coś więcej.
    Więc może teraz opiszę problem.
    Komputer strasznie wolno chodzi. Nawet otwarcie foldera trwa wieczność. Niektóre aplikacje się nie uruchamiają, chodź są widoczne w procesach.
    Komputer został przeskanowany 2 antywirusami i programem SUPERAntiSpyware. Żadnych wirusów.
    Jeżeli chodzi o wykorzystanie procesora i pamięci to wszystko jest w normie jeżeli nic nie uruchamiam. Po zleceniu jakiegokolwiek zadania CPU 100% (1,6GHz), pamięć ok 250 z 512.
  • #65
    Kolobos
    Spec od komputerów
    > Więc może teraz opiszę problem.

    Na przyszlosc rob to juz w pierwszym poscie!

    Sprawdz dysk przy pomocy HdTune i po przeskanowaniu zrob screeny wszystkich zakladek i podaj linki.
    Zobacz tez czy w menadzerze urzadzen oba kanaly ide pracuja w trybie dma.
  • #66
    SenD
    Poziom 12  
    a_kacper napisał:
    Myślałem, że logi z programów powiedzą coś więcej.
    Więc może teraz opiszę problem.


    Wczoraj miałem podobny problem, podaj loga z HijackThis z normalnego trybu, a nie awaryjnego. W awaryjnym procesy powodujące te problemy(regsrv32.exe oraz lass.exe) nie są uruchamiane, jeśli to ten problem.
  • Pomocny post
    #68
    Kolobos
    Spec od komputerów
    Dysk nadaje sie tylko na smietnik. Zgraj wazne dane (o ile Ci sie uda) i wymien dysk.
  • #69
    a_kacper
    Poziom 10  
    Witam
    Dzięki za za diagnozę:)
    A możesz powiedzieć coś więcej?
    Co się uszkodziło i dlaczego, byłbym wdzięczny.
    Zaoszczędziłeś mi sporo czasu bo zabierałem się za format i ponowną instalację windowsa.
  • #72
    Kolobos
    Spec od komputerów
    Jak zwykle zarobaczony system, dlaczego nie dales log'a z combofix?

    W hjt usun:
    O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
    O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winhp32.exe
    O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
    O15 - Trusted Zone: www.archiviosex.net
    O15 - Trusted Zone: www.contentdiscount.info
    O15 - Trusted Zone: www.extremeaccess.info
    O15 - Trusted Zone: *.Ýěć×ŇŇĆÄĆČŘ桗×ÔŐËÓîîô
    O15 - Trusted Zone: *.ŇÝâŮÓâŘÍÜÖŇäă⢗×ÔŐËÓîîô
  • #74
    Kolobos
    Spec od komputerów
    W logach nic nie ma, usun tylko: I:\WINDOWS\system32\YÚYÚ

    Moze opisz dokladniej co sie dzieje, czy problem wystepuje podczas sciagania plikow czy tylko przegladania stron.
  • #75
    snake83
    Poziom 24  
    Chciałbym prosić o sprawdzenie loga z HiJack'a wygenerowanego na kompie mojego kolegi,podejrzenie padło na "VUNDO",kumpel walczy ale z mizernym skutkiem.Ogólnie komputer zaczął strasznie ociężale działać. Będę wdzięczny za sprawdzenie i poradę ja się tego ustrojstwa pozbyć z systemu.
    Pozdrawiam.
  • #76
    Kolobos
    Spec od komputerów
    Daj log z combofix, hjt jest zbedny.
  • #78
    Kolobos
    Spec od komputerów
    Nic specjalnego tutaj nie widac. Zrob skan przy pomocy AVPTool oraz Dr.WebCureIt i usun to co znajda.
  • Pomocny post
    #80
    Kolobos
    Spec od komputerów
    Nie uzywaj GG, zainstaluj Stefana lub innego klienta gg.

    Sam zainstalowales:
    O4 - HKLM\..\Run: [dtmcfg] C:\Arek\Programy\dtmcfg\dtmcfg.exe ?

    Te wiadomosci wysylasz przez gg tak?
    W logach nic nie widac.
  • #81
    a_kacper
    Poziom 10  
    Kolobos napisał:

    Sam zainstalowales:
    O4 - HKLM\..\Run: [dtmcfg] C:\Arek\Programy\dtmcfg\dtmcfg.exe ?

    Nie wiem co to jest.
    W katalogu programy nie mam katalogu dtmcfg. Z tego co się zorientowałem jest to program szpiegujący, działający w ukryciu. Ale ja go nie instalowałem a poza mną nikt nie ma dostępu do mojego kompa.

    Druga sprawa to gg. Program sam wysyłał wiadomości do osób z listy. Wiadomość wyglądała jakbym wysyłał jakiś obraz np jpg ale go nie było widać. Znajomym poradziłem zrobić skan antywirusowy bo ja też chyba złapałem to przez gg.

    Dodano po 1 [minuty]:

    dtmcfg odnaleziony i skasowany ciekaw jestem tylko jak to się znalazło na moim kopie
  • Pomocny post
    #82
    Kolobos
    Spec od komputerów
    Sadzac po lokalizacji zainstalowales go sam lub ktos inny ma jednak dostep do Twojego komputera. Jezeli C:\Arek\Programy\ utworzyles sam to jest jasne, ze i ten program zainstalowales sam lub ktos z Twoich znajomych. Powinienes popracowac nad bezpieczenstwem swojego komputera zamiast co chwile tutaj pisac.
  • #84
    Kolobos
    Spec od komputerów
    Wszystko wyglada ok, odinstaluj Virus Removal Tool.

    Uzyj HdTune i daj screeny ze wszystkich zakladek programu.
  • #85
    a_kacper
    Poziom 10  
    Screeny z HdTune, tylko z 3 zakładek. Jeżeli chodzi o zakładkę error skan
    to po ok 3-4 godzinach było ok 70% przeskanowanej powierzchni dysku.
    Były tylko 2 czerwone kropki. Musiałem przerwać, gdyż nic nie mogłem zrobić w tle a jutro mam egzamin, więc musiałem się uczyć. Dorzucę ostatniego screena jutro.
    Komputer zainfekowany robalem " Vundo" Komputer zainfekowany robalem " Vundo"Komputer zainfekowany robalem " Vundo"
  • Pomocny post
    #86
    Kolobos
    Spec od komputerów
    Dysk ma uszkodzone sektory dlatego kontroler przelaczyl sie w PIO. Zgraj wazne dane na inny dysk/plyty itp. Uzyj Mhdd wykonaj erase (usunie to wszystkie dane z dysku) i remap. Jezeli dysk jest na gwarancji to go oddaj jezeli nie to po erase i remap moze bedziesz mogl z niego korzystac jeszcze jakis czas. Dla pewnosci daj wynik skanowania z Mhdd (dwa razy F4).
  • #87
    a_kacper
    Poziom 10  
    Odinstalowałem kontroler odpowiedzialny za dysk twardy.
    Po ponownym uruchomieniu komputera można powiedzieć że jest dużo lepiej. Kontroler z z PIO wrócił z powrotem do DMA. Jest to chwilowe rozwiązanie. Już rozpocząłem szukanie nowego dysku twardego.