» »

Je to virus in če je kaj naredi?

Je to virus in če je kaj naredi?

BlackHole ::

Ko sem samo kliknil na mail, ki smo ga na firmi dobili, se mi je v zagon postavila datoteka Winkfib.exe, ki se nahaja na WINDOWS\SYSTEM. Ustvarjena je bila v tistem trenutku ko sem kliknil nanjo. Sporočilo je imelo pripet HTML dokument, ki pa ga nisem odpiral. Še ena datoteka (Winkfib.lgc) se nahaja na istem mestu. Vsebina te datoteke je pa taka:

{
o d6314090 13463 "C:\WINDOWS\SYSTEM\WINKFIB.EXE"
R d6314090 0 40
R d6314090 d8 f8
R d6314090 d8 198
R d6314090 12000 200
r d6314090 d000 1000
o c14f8080 12000 "C:\WINDOWS\SYSTEM\WS2_32.DLL"
R c14f8080 f000 a00
o c167cdf0 47035 "C:\WINDOWS\SYSTEM\MSVCRT.DLL"
R c167cdf0 3a000 1000
R c167cdf0 3a000 1000
R c167cdf0 34000 1000
R c167cdf0 34000 1000
R c167cdf0 3b000 600
R c14f8080 f000 1000
R c167cdf0 36000 1000
R c167cdf0 38000 1000
R c167cdf0 37000 1000
R c167cdf0 39000 1000
R d6314090 d000 1000
R c167cdf0 3c000 1000
R c167cdf0 35000 1000
R d6314090 0 1000
R c167cdf0 42000 e00
R c167cdf0 3e000 1000
R c167cdf0 3d000 1000
R c14f8080 d000 1000
R c14f8080 e000 600
o c16798e0 46310 "C:\WINDOWS\SYSTEM\SHLWAPI.DLL"
R c16798e0 42200 800
o c1474d00 6f710 "C:\WINDOWS\SYSTEM\WININET.DLL"
R c1474d00 5fe00 1000
R c1474d00 60e00 c00
o c155d070 97867 "C:\WINDOWS\SYSTEM\USER.EXE"
R c155d070 1844 225e
o c1568a40 e000 "C:\WINDOWS\SYSTEM\MPR.DLL"
R c1568a40 a000 400
r d6314090 8000 1000
r d6314090 a000 1000
r d6314090 b000 1000
r d6314090 9000 1000
R d6314090 11000 1000
r d6314090 7000 1000
R d6314090 e000 1000
r d6314090 5000 1000
r d6314090 4000 1000
r d6314090 3000 1000
R d6314090 f000 1000
r d6314090 2000 1000
r d6314090 c000 1000
r d6314090 1000 1000
o d6321470 13463 "C:\WINDOWS\SYSTEM\WINKFIB.EXE"
R d6321470 0 0
R d6321470 1000 1000
R d6321470 2000 1000
R d6321470 3000 1000
R d6321470 4000 1000
R d6321470 5000 1000
R d6321470 6000 1000
R d6321470 7000 1000
R d6321470 8000 1000
R d6321470 9000 1000
R d6321470 a000 1000
R d6321470 b000 1000
R d6321470 c000 1000
R d6321470 d000 1000
R d6321470 e000 1000
C d6321470
r d6314090 6000 1000
o c1565990 74000 "C:\WINDOWS\SYSTEM\KERNEL32.DLL"
R c1565990 3b000 1000
o d6311ca0 69af "C:\BOOTLOG.TXT"
R d6311ca0 0 0
R c1565990 3c000 1000
R d6311ca0 0 1000
R d6311ca0 1000 1000
R d6311ca0 2000 1000
R d6311ca0 3000 1000
R d6311ca0 4000 1000
R d6311ca0 5000 1000
R d6311ca0 6000 9af
R c1474d00 1b400 1000
R d6314090 10000 1000
C d6311ca0
o c1400620 5910 "C:\WINDOWS\SYSTEM\SHFOLDER.DLL"
R c1400620 1600 1000
R c1400620 1600 1000
R c1400620 600 1000
R c1400620 600 1000
R c1400620 2600 200
o c167abb0 157000 "C:\WINDOWS\SYSTEM\SHELL32.DLL"
R c167abb0 83000 1000
R c167abb0 83000 1000
R c167abb0 1000 1000
R c167abb0 1000 1000
R c167abb0 85000 1000
R c167abb0 86000 400
R c167abb0 84000 1000
R c167abb0 2000 1000
R c167abb0 23000 1000
R c167abb0 88000 a00
R c167abb0 7000 1000
R c167abb0 5000 1000
o d6327690 3080 "C:\WINDOWS\TEMP\FLZ31B5.EXE"
R d6327690 0 40
R d6327690 100 f8
C d6327690
R c167abb0 81000 1000
R c167abb0 82000 1000
o d6327b30 4565 "C:\WINDOWS\PODROC~1\TEMPOR~1\CONTENT.IE5\U9M3GFKX\FIS-SK~1.HTM"
R d6327b30 0 0
R d6327b30 0 1000
R d6327b30 1000 1000
R d6327b30 2000 1000
R d6327b30 3000 1000
R d6327b30 4000 565
C d6327b30
R c167abb0 18000 1000
R c167abb0 83000 1000
R c167abb0 83000 1000
R c167abb0 1000 1000
R c167abb0 1000 1000
R c167abb0 85000 1000
R c167abb0 86000 400
R c167abb0 84000 1000
R c167abb0 2000 1000
R c167abb0 23000 1000
R c167abb0 88000 a00
R c167abb0 7000 1000
R c167abb0 5000 1000
R c167abb0 83000 1000
R c167abb0 83000 1000
R c167abb0 1000 1000
R c167abb0 1000 1000
R c167abb0 85000 1000
R c167abb0 86000 400
R c167abb0 84000 1000
o d631a100 443 "C:\FRUNLOG.TXT"
R d631a100 0 0
R d631a100 0 443
C d631a100
R c167abb0 2000 1000
R c167abb0 23000 1000
R c167abb0 88000 a00
R c167abb0 7000 1000
R c167abb0 5000 1000
R c167abb0 81000 1000
R c167abb0 82000 1000
R c167abb0 83000 1000
R c167abb0 83000 1000
R c167abb0 1000 1000
R c167abb0 1000 1000
R c167abb0 85000 1000
R c167abb0 86000 400
R c167abb0 84000 1000
R c167abb0 2000 1000
R c167abb0 23000 1000
R c167abb0 88000 a00
R c167abb0 7000 1000
R c167abb0 5000 1000
R c167abb0 81000 1000
R c167abb0 82000 1000
o c1692b20 1e000 "C:\WINDOWS\SYSTEM\TAPI32.DLL"
R c1692b20 1a000 1000
R c1692b20 1a000 1000
o c167d700 4f000 "C:\WINDOWS\SYSTEM\RPCRT4.DLL"
R c167d700 49000 800
R c1692b20 19000 e00
R c1692b20 18000 1000
o c1692c70 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
R c1692c70 5000 200
o c1678ec0 f200 "C:\WINDOWS\SYSTEM\MSNET32.DLL"
R c1678ec0 da00 600
R c1678ec0 da00 600
R c1678ec0 ca00 1000
o c147c280 43000 "C:\WINDOWS\SYSTEM\MSVCRT20.DLL"
R c147c280 2f000 1000
R c147c280 31000 1000
R c147c280 30000 1000
R c147c280 35000 1000
R c147c280 36000 400
R c147c280 32000 1000
o c167e250 a000 "C:\WINDOWS\SYSTEM\SECUR32.DLL"
R c167e250 6000 800
o c1470cc0 a000 "C:\WINDOWS\SYSTEM\WSOCK32.DLL"
R c1470cc0 6000 a00
o c154afd0 15000 "C:\WINDOWS\SYSTEM\MSWSOCK.DLL"
R c154afd0 f000 1000
R c154afd0 e000 1000
R c154afd0 10000 400
R c1474d00 28400 1000
o c167d8d0 31000 "C:\WINDOWS\SYSTEM\RASAPI32.DLL"
r c167d8d0 4000 1000
r c167d8d0 3000 1000
r c167d8d0 11000 1000
o d63212e0 b000 "C:\WINDOWS\SYSTEM\RNAAPP.EXE"
R d63212e0 0 40
R d63212e0 80 f8
C d63212e0
}


Morda kdo kaj ve kakšni ukazi so to in kaj naredi ta datoteka. Sicer se stvar ob zagopnu ni do konca izvedla, ker je manjkala datoteka FLZ31B5.EXE, katere zagon najdete v tej vsebini.

bobby ::

a ti povem kaj je to???? a a a??? a ti???

klez virus ste staknil.

BlackHole ::

No zdaj pa, kako naj ugotovim ali se je sigurno sprožil, kaj naredi in kako ga odstraniti?


Pa še tole bi vprašal, kar se tiče pošte. Na firmi imamo WIN XP in ne vem zakaj, ko dobim pošto s pripeto datoteko, ne vidim na desni tiste veliki sponke, kjer lahko potem izbiraš ali boš datoteko odprl ali shranil na disk. Doma imam enak sistem pa nimam tega problema.

Kako bi pa v WIN XP pognal MSCONFIG (poznan iz WIN98), da bi videl kateri programi se zaženejo ob zagonu?

Yohan del Sud ::

WinXP ti po defoltu blokira večino končnic priponk. V nastavitvah lahko to prenastaviš.

BlackHole ::

Ker se je to zgodilo na firmi kjer imamo v mreži okrog 8 računalnikov, bi se rad prepričal da virusa ni več gor. Sicer jaz še nisem priklopjen na mrežo in imam tudi še WIN98, zato se je tudi virus sprožil, čeprav dal samo prepregled sporočila. Zbrisal sem vse fajle na temporary internet mapi in tudi exe datoteko, ki se je poganjala sem zbrisal v DOS-u, ter počistil iz registera vse kar je bilo v zvezi s to datoteko. JE to dovolj?

Na vseh ostalih računalnikih so XP-ji in k sreči te ta opozori pred odpiranjem, samo očitno to ni dovilj. Ena sodelavka je okužila svoj računalnik, preden sem zvedel da imamo virus. Mater, še ko sem jo vprašal če je kaj odpirala, mi je pokazala kaj je naredila in takrat še enkrat odprla, da je ja sigurno;(( . Potem sem pognal protivirusni program in je našel dve BAT datoteki v temporary internet mapi in odkril KLEZ, vendar nič ni storil. Program sploh nima opcije CLEAN.Zbrisal sem jih potem ročno in jih Antivirus ni več našel, samo nisem siguren če je vse čisto.

KAj ta virus počne?

BlackHole ::

Kako pa trajno zbrišem pošto iz strežnika, brez da bi moral iz vsakega računalnika (v mreži) brisati posebej.

tec ::

Informacije in postopek odstranjevanja dobis na spodnjih povezavah.
McAfee
Symantec
TrendMicro

BlackHole ::

Ok, to sem že vse našel in odstranil virus. Prosil pa bi nekoga, da mi odgovori še na vsa ostala neodgovorjena vprašanja. Predvsem me zanima, kako lahko trajno zbrišem nek mail s strežnika, ki vsebuje virus pa bi rad preprečil, da bi ga ostali na mreži prebirali.

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Utrinki s CESa

Oddelek: Novice / Ostale najave
83748 (2082) BestAnti7
»

A2 kategorija

Oddelek: Na cesti
111411 (1154) loveJDM
»

Računalnik se zablokira.

Oddelek: Pomoč in nasveti
221607 (1317) The_hammer
»

Miška logitech mx1000

Oddelek: Kaj kupiti
131238 (918) nodes
»

Izpit za kategorijo A z opombo: A le do 50 Km/h

Oddelek: Loža
226134 (2392) SkIDiver

Več podobnih tem