--> Archiwum Forum
Dewey [ Konsul ]
W32.Welchia.Trojan i big problem. Nie mogę usunąć!
Witam. Mam spory problem z trojanem W32.Welchia.Trojan. Mimo iż mam Nortona 2003 z najnowszą bazą virusów, to nie wiem jak to cholerstwo usunąć. Zacznę może od początku :) Wczoraj siedziałem sobie jak gdyby nigdy nic na DC++ (nie włączałem www, poczty, gg itp) i nagle wyskoczył Wirus Alert a wnim info, że w pliku takim a takim znaleziono owego trojana. Norton powiadomił mnie od razu, że plik nie nadaje się do naprawy. Kliknąłem na OK i wyskoczyło, że nie może uzyskać dostępu do pliku. Klikam jeszcze raz OK i Norton podaje, że niby usunął plik. Ale wtedy dzieje się dziwna rzecz. Cały SystemWorks przestaje działać (po włączeniu zawiesza się), kiedy uruchamiam przeglądarkę nie działa wklepywanie adresów w pole (po kliknięciu na enter nic się nie dzieje), więc na strony www mogę wchodzić tylko z "Ulubionych". Klikam Control+Alt+Del i widzę, że ikonka menadżera zadań jest na pasku koło zegara, ale nie wyświetla mi się okno z programem. Poza tym wszystko na kompie działa. Po restarcie kompa również Norton wraca do normy. Skanuje wtedy szybko dysk i nic mi nie wykrywa. Również skaner online mks_vir nic nie krzyczy. Sciągnałem program symanteca FixWelchia i nic nie znalazł. Pomyslałem sobie, że Norton faktycznie go wywalił, tylko po prostu przy okazji się zawiesił. Siedzę sobie dalej i nagle po parru godzinach znowu to samo. Wirus Alert, info o Trojanie klikam 3 razy na OK. i sytuacja się powtarza. Norton po włączeniu ma zwisa, w przeglądarce nie działa wpisywanie w pole adresów itp. Po restarcie systemu wszystko wraca do normy, robie skany, które nic nie wykrywają i tak w kólko. LOL. Macie może jakieś dobre sugestie jak poradzić sobie z tym robakiem?
Isam [ Generaďż˝ ]
Dewey ---> jaki windows i czy masz firewall'a :) nastepnym razem jak ci wykryje to uzyj napierw fixa
Dewey [ Konsul ]
Isam -->> System WinXP Pro + SP1 :) Jak jużwspominałem po wykryciu tego wira siada mi tylko Norton, menadżer zadań i częsciowo przeglądarka. A więc mogę uruchamiać FixWelchia i tak też robię! Mimo wszystko nic nie wyk~rywa. LOL! No więc robie restart i szybko wszystim przelatuje dysk - bez rezulatatów. Mija parę godzin i mam Wirus Alert :) A systemowego firewalla raczej nie włącze, bo wtedy siada ściąganie z DC++
Dewey [ Konsul ]
Po restarcie kompa, kiedy działa mi Norton wchodzę w Logi kwarantanny i tam w zakładce "pliki w kwarantannie" nic nie mam, ale w "Backup files" mam kilka plików (pewnie pojawiały się każdorazowo przy wykryciu trojana) o nazwie svchost. MOgę je przywrócić, albo wywalić. Naprawianie nie działa.
Dewey [ Konsul ]
Ok widzę, że dziś nie ma co liczyć na pomoc Golowiczów, więc rozwiązałem problem sam (chyba). Uruchomiłem kompa w trybie awaryjnym, wywaliłem plik svchost.exe, który znajduje się w C:\Windows\System32\drivers\ po czym włączyłem system w trybie normalnym i uruchomiłem FixWelchia Symanteca. I dopiero wtedy zadziałało. Program wykryl dwa pliki (w tym jakiś WKS Patch o który wył Norton 2003) i je usunął. Źle zrobiłem jedną rzecz. W trybie awaryjnym trzeba było od razu uruchomić FixWelchia, a nie usuwać svchost.exe. Mam nadzieję, że to nie spowodowało jakiś błędów w systemie. Jak na razie nic się system o drivery nie pluje, wszystko chodzi OK. W menadżerze zadań nadal mam 3 usługi svchost (czyli tak jak powinno być). Poza tym wydaje mi się, że "oryginalny" svchost.exe jest w C:\Windows\system32\ a nie w \system32\drivers\. Mam nadzieję, że w przyszłości mój prymitywny poradnik komuś pomoże :)
P.S. Oba pliki svchost.exe (ten zarażony i oryginalny) zajmowały identycznie po 13 KB.
Mentor12 [ Łowca Piersi ]
Masz racje orginalny svchost.exe znajduje się w Windows/System32
Bregan a.k.a. Czapajew [ Senator ]
Dewey ---> Nie łatwiej bylo sciągnąc Trojan Removera lub Trojan Anti-Shield, przeskanowac kompa i po klopocie? :)
Tak poza tym, to chyba miales u siebie to, ale mogę sie mylic ;)
BlueCode - robak internetowy którego głównym celem ataków są strony
internetowe. Ukrywa się on pod nazwą pliku SVCHOST.EXE o rozmiarze około 29KB. Zagrożone są tylko komputery, na których zainstalowany jest pakiet IIS (Internet nformation Server). Infekcja takich komputerów polega na tym, że wirus potrafi zlokalizować zdalne serwery z zainstalowanym IIS i poprzez wysyłanie losowego żądania przepełniającego bufor otwiera sobie drogę do umieszczenia swojej kopii. Kopia umieszczana jest na dysku C: oraz w kluczu rejestru dzięki czemu może być uruchamiany wraz ze startem systemu. Wirus wyszukuje swoje ofiary poprzez sknowanie losowych adresów IP.
Dewey [ Konsul ]
Bregan a.k.a. Czapajew --> wiesz od samego początku mojej przygody z komputerami wirusa miałem tylko raz, a trojana nigdy. Więc nie znam wszystkich programów do usuwania tych badziewi :) Zassałem teraz 30 dniową wersję tego Trojan Remover wygląda na solidny program, ale programy symanteca też sprawiały takie wrażenie. Powiedz mi, czy jeśli wywalę tego trojana i włączę windowsowskiego firewalla, to system nie zainfekuje się drugi raz?
Zdzisiek [ Generaďż˝ ]
Dewey----> czyli radzisz w trybie awaryjnym uruchomic fixa i po klopocie ? wlasnie wczoraj zlapalem to k..... nie chce sobie schrzanic systemu. mam xp pro+sp1
Dewey [ Konsul ]
Zdzisiek --> Tak radziłbym Ci zapuścić FixWelchia w trybie awaryjnym. Albo po prostu w tym trybie wywalić svchost.exe z katalogu C:\Windows\system32\drivers\ i wtedy przeskanować dysk Fixem. Wczoraj Symantec wypuścił nową wersję, któa pdobno niszczy Welchię.C A tak w ogóle to mój wpis z 13.36 jest nie aktualny. Tylko z pozoru wywaliłem tego trojana. Później i tak się okazało, że nadal mam go na dysku. Wiesz co pomogło? Zainstalowanie firewalla Zone Alarm PRO 4.5 Bez niego ani rusz. Co parę godzin miałem Wirus Alert. Powodzenia.
Zdzisiek [ Generaďż˝ ]
mam nadzieje ze wywalenie tego pliku z system32/drivers nie spowoduje crusha systemu :)
Anarki [ Demon zła ]
powinno pomoc ;)
Zdzisiek [ Generaďż˝ ]
no i przeskanowalem w trybie awaryjnym ale ten removal tool nic nie znalazl :(