ja mialme rbota i zorobilem to tak ze odplailme regedit wyszukiwal;em svxhost potem wywalilem z msconfig i jakos dzialam ;–D

WEjdz w opcje folderów–>widok i odznacz pokazuj pliki systemu windows czy jakoś tak :o

@Edit

:? jednak format teź niedziała :? u mnie teź tak jest dlatego ja usunełem z windowsa i nie formatuje kompa, i będe instalował biosa :cry:

Aaa, Powiec mi jak się zakańcza porty bo wykryłem backdoora (instalke) to port 5000 i chce go wyłączyć i zablokować!

Babcia@Stefa:

przecierz widać źe jak to jest na autostarcie to na 100% wirus

Chodzi Ci dalej o dumprep ? Co to za wirus ?

Babcia@Stefa:

El Nino ty zawsze tak głupio komentujesz??

Glupote zawsze.

Powiem tak – zrobilem format nie dalo sie tego uniknac. Ale pomogly mi wskazowki El Nino i Baci Stefy. Dziekuje Wam!

El Nino ty zawsze tak głupio komentujesz?? przecierz widać źe jak to jest na autostarcie to na 100% wirus, przecierz moźna tylko skasować z autostartu i po kłopocie a co do tftp.exe to mam mase na ten temat znalazłem bardzo duźo na necie ale reszte napisałem wcześniej.

http://www.kaspersky.pl/services.html?s=faq&s_faq=details&category_id=3&details_id=54

poszukam dalej

mirco, tak jak myslalem – nst.exe to smiec.
Zobacz co to takiego ten caly Windows ASN Services, pod jakim przedstawia sie w rejestrze w kluczach Run plik o ktorym napisales –> http://uk.trendmicro–europe.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_RBOT.CSH

Zwroc uwage na to gdzie i w jakich miejscach jest dodawane przez Rbota. Usuwaj. Podpowiedzi rowniez w zakladce "Solution".

NOD32 wyswietlil komunikat o zaifekowaniu pamieci operacyjnej oraz o zainfekowanoiu pliku nst.exe prze rbot–a. Ponizej log:
Logfile of HijackThis v1.99.1
Scan saved at 16:24:24, on 2006–03–01
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\nst.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\mirek\Pulpit\hijackthis\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – D:\Program Files\Spybot – Search & Destroy\SDHelper.dll
O2 – BHO: SSVHelper Class – {761497BB–D6F0–462C–B6EB–D4DAF1D92D43} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 – HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [Windows ASN Services] nst.exe
O4 – HKLM\..\RunServices: [Windows ASN Services] nst.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "D:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: Symantec Fax Starter Edition Port.lnk = D:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O23 – Service: AVK Service (AVKService) – Unknown owner – C:\Program Files\AntiVirenKit\AVKService.exe (file missing)
O23 – Service: Straźnik AVK (AVKWCtl) – Unknown owner – C:\Program Files\AntiVirenKit\AVKWCtl.exe (file missing)
O23 – Service: Kerio Personal Firewall 4 (KPF4) – Kerio Technologies – D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 – Service: LexBce Server (LexBceS) – Lexmark International, Inc. – C:\WINDOWS\system32\LEXBCES.EXE
O23 – Service: NOD32 Kernel Service (NOD32krn) – Eset – C:\Program Files\Eset\nod32krn.exe

Czym to stwierdziles ?
Pokaz jeszcze raz loga z HJ i moze z silent runners (przyklejony FAQ...).

El Nino zmienilem nazwy plikow na tftp.old wirus zainfekował pamięć operacyjną oraz plik windows\system32\nst.exe :( Co najsmieszniejsze szukalem pliku nst.exe i nie znalezlem.

Babcia@Stefa:

ale jak się często zagląda w uruchomione procesy i się obserwuje latające "dumprep.exe" to się coś widzi...

Tak. Widzi sie. Przy latajacym dumprep widzi sie na niebiesko.

Babcia@Stefa:

a pozatym ścieźka w rejestrze:

O4 – HKLM\..\Run

to autostart...

No i ? To w koncu co to ten dumprep ?

Babcia@Stefa:

...on co załączenie się tworzy nowy plik i po zakończeniu sesji ten plik zamienia się w kolejnego wirusa!

Wychodzi na to, ze lepiej kompa nie wylaczac ?


mirco, zamien nazwy plikow tftp.exe w \system32 i \system32\dllcache – na np. tftp.old
Zobaczysz czy bedzie sie cos dzialo.

jak cos to chcialem ci powiedziec ze format nic niedaje :cry: bo sam jak sformatuje to odnowa mam wirusa a tak to mam spokuj bo usunelem i jest git :wink:

Moje gg: 9997881, jak cos to pisz

Ale jak się pozbyć tego dziadostwa? W regedicie nie ma ścięzki jtoą Stefa podałeś, proces odpowiedzialny za obciąźenie komputera to svchost.exe czyli proces jak najbardziej systemowy. Chyba bedzie mnie czekal format :(

heh dziwny :? aź się niewydaje źe to wirus, ale jak się często zagląda w uruchomione procesy i się obserwuje latające "dumprep.exe" to się coś widzi...

@Edit

a pozatym ścieźka w rejestrze:

O4 – HKLM\..\Run

to autostart...

Dlaczego tftp.exe ? Przeciez pisales, ze to tftp z cyferkami.

tftp.exe jak np widzisz niedokońca ściągnięte pliki na jakimś programie takim jak bearshare, kazza lub cos do tego podobnego to kaźdy tworzy jakiś swoj plik podczas ściągania ktory po ukonczeniu zamienia się w coś co chciałeś ściągnąć np. Aplikacje lub np mp3 to taksamo jest z tftp.exe on co załączenie się tworzy nowy plik i po zakończeniu sesji ten plik zamienia się w kolejnego wirusa!

heh dziwny :? aź się niewydaje źe to wirus, ale jak się często zagląda w uruchomione procesy i się obserwuje latające "dumprep.exe" to się coś widzi...

@Edit

a pozatym ścieźka w rejestrze:

O4 – HKLM\..\Run

to autostart...

Dlaczego tftp.exe ? Przeciez pisales, ze to tftp z cyferkami.

tftp.exe jak np widzisz niedokońca ściągnięte pliki na jakimś programie takim jak bearshare, kazza lub cos do tego podobnego to kaźdy tworzy jakiś swoj plik podczas ściągania ktory po ukonczeniu zamienia się w coś co chciałeś ściągnąć np. Aplikacje lub np mp3 to taksamo jest z tftp.exe on co załączenie się tworzy nowy plik i po zakończeniu sesji ten plik zamienia się w kolejnego wirusa!

Babcia@Stefa:

a z loga wynika ze masz chyba drugiego wirusa ktory resetuje kompa

O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

mialem to cos i to resetuje kompa ciagle, ale to teź raportuje błędy systemowe do temp'a więc niewiem ale moźesz to sprawdzić w rejestrze lub przez program i usunąć z autostartu bo to siedzi w autostarcie

Rece opadly.

Co to za "wirus" ?

Usuń te wpisy w rejestrze a moźe poskutkuje bo ja tak zrobiłem a jak nie to dam ci dllki ktore trzeba bylo hexem edytować.


usuń to w rejestrze:

HKLM\SYSTEM\CurrentControlSet\Services\SVKP

HKML to skrot od HKEY_LOCAL_MACHINE

(cały folder i uruchom ponownie kompa a jeśli dalej będzie to napisz to dam ci dllki ktore hexem trzeba bylo edytować i inne ktore są potrzebne)

UWAGA! Tylko jak usuniesz wirusa to zostają resczi po nim czyli głownie zalacza się tylko cmd.exe na starcie systemu ale to mi nieprzeszkadza narazie.


@Edit

Wiem jakie to cięźkie bo miałem to przez 1 lub 2 miesiące i co pare dni był format dysku a do tego hostuje dwa serwery na Tibii (JunglaOTS) i stronę internetową do tworzenia postaci acha i zainstaluj Spyware Doctora z tego linku:

http://www.centrumxp.pl/Programy/2310,pobierz.aspx

i przeskanuj i napisz czy dobrze jest.

@Edit

A tu jeśli chcesz trochę poczytać o tym wirusie a raczej to spyware.

http://www.governmentsecurity.org/forum/index.php?showtopic=5783 – How to disable tftp.exe , ftp.exe cmd.exe ...

http://www.winguides.com/article.php/5/ – tu pisze ze to jakiś "Nimba Worm"

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html – Tu źe to blaster

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=36265 – Tu źe to Win32.Poza.A

Więcej linkow poszukaj w http://google.pl

a z loga wynika ze masz chyba drugiego wirusa ktory resetuje kompa

O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

mialem to cos i to resetuje kompa ciagle, ale to teź raportuje błędy systemowe do temp'a więc niewiem ale moźesz to sprawdzić w rejestrze lub przez program i usunąć z autostartu bo to siedzi w autostarcie

Czym jest obciazony ? Jaki proces to powoduje ?

no tak tworza sie pliki tftp **** po kazdym ataku oczywiscie usuwam je ale to nic nie daje dalej procesor jest obciazony

mirco:

Probowalem usuwac plik tftp.exe ale po sekundzie pojawia sie z powrotem.

Dlaczego tftp.exe ? Przeciez pisales, ze to tftp z cyferkami.

Probowalem usuwac plik tftp.exe ale po sekundzie pojawia sie z powrotem. To ten plik jest zarazony? Skoro to plik systemowy to jak sobie poradzic z tym wirusem? Zmienic mu nazwe i wywalic? W menedzerze zadan nie pojawia sie proces tftp.exe w momencie infekcji wiec nie moge go zamknac... :(