AVG-mnóstwo trojanów, zacinający FF, niepełny autostart

ggrafik · 1 Marzec 2010 08:34

Witam,

Tak jak w tytule. AVG wykrywa mnóstwo trojanów oraz robala w autorun.inf, który początkowo był na pendrivie…potem już na pulpicie.

Nie startują wszystkie programy autostartu, różne procesy przestają działać, przeglądarka co jakiś czas “zacina” i ma kilkuminutowe przerwy w ładowaniu witryn.

log z OTL: http://wklej.org/id/288230/

Lukasz6 · 1 Marzec 2010 08:48

SRV - [2010-02-26 12:24:57 | 000,187,904 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\sshnas21.dll -- (SSHNAS)

Będzie ciężko

To infekcja ciężka i niewykrywana przez antywirusy, dodatkowo stwarza problemy OTLowi :?

Wklej do OTL :

Kliknij w Run Fix. Zatwierdź restart komputera.

Pozdrawiam Łukasz

jessica · 1 Marzec 2010 08:54

Niepodoba mi się rozmiar tych plików Systemowych. Czyżby zostały zarażone?

Sprawdź je na --> JOTTI/

albo na VIRUSTOTAL.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL SRV - [2010-02-26 12:24:57 | 000,187,904 | ---- | M] () [Auto | Running] – C:\WINDOWS\system32\sshnas21.dll – (SSHNAS) O3 - HKLM…\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKLM…\Run: [syncMan] C:\WINDOWS\system32\SyncMan.exe () O4 - HKCU…\Run: [syncMan] C:\Documents and Settings\GT\SyncMan.exe () O4 - HKLM…\RunOnce: [NoIE4StubProcessing] File not found 20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-2608727639-0540886706-139015827-4673\nissan.exe) - C:\RECYCLER\S-1-5-21-2608727639-0540886706-139015827-4673\nissan.exe () NetSvcs: SSHNAS - C:\WINDOWS\system32\sshnas21.dll () [2010-03-01 09:24:00 | 000,000,234 | -H-- | M] () – C:\WINDOWS\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010-03-01 09:17:00 | 000,000,270 | -H-- | M] () – C:\WINDOWS\tasks{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 2010-03-01 08:08:23 | 000,043,389 | ---- | M] () – C:\Documents and Settings\GT\SyncMan.exe [2010-03-01 08:08:22 | 000,043,389 | ---- | M] () – C:\WINDOWS\System32\SyncMan.exe [2010-02-26 16:12:37 | 000,150,528 | ---- | M] () – C:\WINDOWS\msc.exe :Files C:\WINDOWS\system32\SyncMan.exe C:\WINDOWS\msc.exe C:\RECYCLER :Services SSHNAS :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “TaskMan”=- :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Nowy log zrób na dodatkowym ustawieniu:

pod Custom Scans/Fixes wklej

Następnie przestaw Processes i Modules na All, kliknij Run Scan

jessi

ggrafik · 1 Marzec 2010 09:36

> Łukasz

Przy tym logu OTL zawisł i bezwładnie poruszał nogami:D Konieczny był reset

>jessica

link do JOTTI:

/drivers/cdrom.sys :http://virusscan.jotti.org/pl/scanresult/12e83f35d5e1b27afc32e6a548e9b2ec5b19d373

/dllcache/cdrom.sys: nie mogę przesłać pliku, strony wskazują że plik jest pusty (0 bajtów)

raport po restarcie: http://wklej.org/id/288246/

Nie mogę wykonać dodatkowego skanu ze wskazanymi przez ciebie ustawieniami. Przy skanowaniu lokalizacji gdzie znajduje się plik rozruchowy AVG OTL wyrzuca taki błąd:

“list index out of bounds (0)”

jessica · 1 Marzec 2010 09:57

Ściągnij mój “cdrom.sys” - umieść go na C:\

>http://www.speedyshare.com/files/21197897/cdrom.sys

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z podmieniania .

jessi

Lukasz6 · 1 Marzec 2010 10:10

Wykonaj to co napisała jessica, potem pobierz Malwarebytes Anti - Malware : http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Zaktualizuj i puść na pełny skan, potem na http://wklej.org daj log który pokaże Ci sie zaraz po zakończeniu skanowania .

ggrafik · 1 Marzec 2010 10:56

No więc tak:

Podmieniłem plik OTL-em. Po restarcie NIE DOSTAŁEM raportu. Tu log z dodatkowego skanowania OTL-em po restarcie: http://wklej.org/id/288270/

Tu log z MBAM, jednak po opcji usuwania: http://wklej.org/id/288272/

W dalszym ciągu nie odpalają wszystkie aplikacje z autostartu. Przed restartem AVG cały czas krzyczał o zainfekowanych cdrom.sys’ach (w /dllcache oraz /drivers). Po restarcie przeskanowanie tych lokalizacji nic nie pokazało (jednak AVG nadal nie uruchamia się z autostartu)

jessica · 1 Marzec 2010 11:14

MBAM usunął te zarażone pliki Systemowe, więc chyba ta cała podmiana nie była potrzebna choć nie wiem, czy MBAM tylko usunął, czy też potrafił podmienić na jakąś inną kopię.

W logu nie widać tych plików wcale, więc nie wiem, czy w ogóle są, i jaki mają rozmiar.

To chyba na usunięcie - zastanawia mnie tylko rozmiar tego pliku.

To wygląda tak, jakby dokonana została pliku, który wcześniej musiał być już podmieniony przez MBAM, bo ma prawidłowy rozmiar.

Okazuje się, że OTL nie był w stanie tych obiektów dostrzec, bo nie było ich w logu.

ComboFix potrafi je dostrzec, a OTL nie potrafi …

Log jest czysty.

Programy, które nie działają, chyba trzeba będzie przeinstalować.

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.

jessi

ggrafik · 1 Marzec 2010 14:54

Bardzo dziękuję za pomoc.

ps.

Macie jakąś dobrą radę jak sprawdzić dysk przenośny, tak żeby wykryć jakieś ewentualne świństwo zanim zacznie baraszkować po PC’cie?

jessica · 1 Marzec 2010 15:00

Podepnij urządzenie. Nie otwieraj go z dwukliku (to wykona trojana, o ile trojan tam jest), tylko z prawokliku opcja “Przeglądaj”. I ręcznie skasuj szkodliwą zawartość przez SHIFT+DEL.

jessi