Avast wykrył trojana,problem z usunięciem!


(Mr Kol) #1

Proszę o sprawdzenie loga!


(adam9870) #2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\lsasss.exe

Klikasz X czerwony i restart kompa.

Usuń wpisy HJT.

Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners.


(Mr Kol) #3

Niestety nie umiem uruchomić WWDC reszte wykonałem


(adam9870) #4

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\rpcc.dll

Klikasz X czerwony i restart kompa.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Przeskanuj ten plik na stronie http://virusscan.jotti.org/ lub http://www.virustotal.com/ a jeśli okaże się szkodliwy - plik usuń ręcznie w trybie awaryjnym, a wpis HJT.

Uruchamiasz wwdc.exe >>> jeśli jest jakiś czerwony znaczek to klikasz na niego raz lewym klawiszem myszki i tak dalej na każdy czerwony znaczek >>> zamykasz program >>> zgadzasz się na reset i po resecie wszystko powinno być Ok (czyt. znaczki powinny zostać zmienione na żółte lub zielone).

Po wykonaniu zdaj relacje i pokaż nowe logi. Tylko tym razem log z silenta ma być cały bo teraz jest ucięty.


(Mr Kol) #5

hmmm a teraz

i sillent


(adam9870) #6

Jest Ok.

Proponuję zainstalować dodatek Service Pack 2. Poprawia on bezpieczeństwo w systemie etc. Możesz go pobrać stąd:

Kosmetyka:

Panel sterowania >>> Java Plug-in >>> Update >>> odznacz opcję Check for updates automatically.

Start >>> uruchom >>> msconfig >>> zakładka Uruchamianie >>> możesz odznaczyć w/w.

Jeśli QuickTime nie jest Ci bardzo potrzebny to zastąp go QuickTime Alternative.

W opcjach komunikatorów możesz odznaczyć automatyczny start jeśli nie jest Ci potrzebny.


(Mr Kol) #7

chyba dalej coś mi siedzi w kompie! !!

2 dni był spokój i znowu to samo i coraz więcej programów niechce sie otworzyć między innymi HijackThis bo pojawia sie okienko

C:..............\hijackthis nie jest prawidłową aplikacją systemu win32 :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops:

nie wiem co mam robic! !!

Albo avast jest do dupy

działa na szczęście sillent runner

oto log


(Krzychuu) #8

majster80 log jest urwany. :?


(adam9870) #9

A do czego potrzebujesz dalszej części loga? Pytanie retoryczne - nie odpowiadaj.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\tcpipmon.exe

Klikasz X czerwony i restart kompa.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Po wykonaniu wklej nowe logi. Tylko tym razem log z Silenta ma być cały bo teraz jest ucięty.


(Mr Kol) #10


(adam9870) #11

W logu nadal:

Proszę zastosować instrukcję usuwania, którą podałem w swoim poprzednim poście i wkleić nowe logi.

Dodatkowo przeskanuj http://kaspersky.pl/virusscanner.html

Ale gdzie go wykrywa? Proszę podać dokładną lokalizację do zainfekowanego pliku.


(Mr Kol) #12

Niestety musiałem na nowo zainstalowac windowsa! !!


(adam9870) #13

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\System32\tcpipmon.exe

C:\WINDOWS\System32\rpcc.dll

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń wpisy HJT.

Użyj progrmu ATF Cleaner i przeczyść TEMP'y.

Po wykonaniu wklej nowe logi.


(Mr Kol) #14

Wszystko dokładnie wykonałem ale odłączyłem internet! !!

Może to wina Avast-a????

oto logi:


(adam9870) #15

Zamknąłeś porty robakom?

Być może ten śmieć ciągle powraca ponieważ ciągle odwiedzasz jakąś stronę na której go łapiesz?

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\tcpipmon.exe

Klikasz X czerwony i restart kompa.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń wpis HJT jeśli będzie.

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym.

Po wykonaniu pokaż nowy log z HijackThis, SilentRunners oraz zawartość pliku c:\rapport.txt


(JNJN) #16

majster80

Proszę pisać poprawnie i uważać na słownictwo.JNJN


(Mr Kol) #17

Niestety znowu zrobiłem według instukcji i niestety znowu nic!

Trojan uaktywnia się przy kazdym odpaleniu ewentualnie przy włączeniu połączenia sieciowego! !!


(Gutek) #18

Pobierz Gmer

  1. Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> Ctrl + V do posta wklej

  2. Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => Kopiuj => Ctrl + V do posta wklej


(Mr Kol) #19

Prosze bardzo


Resztę loga skosowano - jako zbędną

Asterisk


(adam9870) #20
  1. Proszę pokazać logi z najnowszej wersji Gmer'a jaką jest 1.0.12.12027. Możesz ją pobrać stąd:

http://www.searchengines.pl/phpbb203/pl ... s/gmer.zip

  1. Proszę logi z Gmer'a umieścić w postaci plików *.txt na jakimś serwerze, a tu tylko zlinkować ponieważ bezpośrednio do posta się nie zmieszczą.

http://forum.dobreprogramy.pl/viewtopic.php?t=96929

  1. Proszę pokazać dwa logi. Jeden wykonany przy zaznaczonych wszystkich opcjach poza pokazuj wszystko, zaś drugi tylko przy zaznaczonej opcji Usługi + pokazuj wszystko.

Uwaga: przed wrzuceniem nowej wersji Gmer'a proszę zatrzymać stary driver. W tym celu należy wybrać start >>> uruchom >>> wpisać cmd i kliknąć OK >>> w konsoli, która się otworzy wpisać polecenie: