F secure wykrył, ale nie mógł usunąć trojana

Dla specjalistów Bezpieczeństwo
#1

Cześć

przy zmianie z nortona (bo stracił możliwość aktualizacji) na innego antywira komputer chodził w przez chwilę tylko na zone alarm. Uruchomiony norton od razu usunął dwa wirusy, ale po zmianie na f secure jeszcze coś wyskakuje, tylko, że program nie może podjąć żadnej akcji i cały komp się muli, tylko co chwila wyskakują komunikaty o trojanie, bez możliwości wyboru, co dalej, tylko z informacją, że jest. F secure odinstalowany po dłuższej walce, bo zanim cośkolwiek sie uruchomiło, to cho cho, a i restart nie pomógł.

Teraz zachowuje się dziwnie zwłaszcza w sieci (otwiera dziesiątki zakładek, traci połączenie, próbuje łączyć z dziwnymi stronami itp.)

Będę wdzięczny za pomoc. Avast nic nie znalazł, f-secure (na tej maszynie?) nie daje rady.

P.S. Właśnie sama włączyła się strona error safe

Please help!

#2

Pliki i foldery na czerwono usuń ręcznie z dysku a wpisy W HijackThis (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

To finalnie co masz na kompie za zabezpieczenie Avasta czy Nortona, zdecyduj się na jedno z nich

Wklej loga SilentRunners

#3

Zrobiłem jak radziłeś i zostawiłem tylko nortona. Miałem problem ze znalezieniem uhrlxiah.dll w trybie awaryjnym, więc tylko potraktowałem go HT. Po ponownym uruchomieniu norton nadal mówi o wykryciu i usunięciu trojan.vando (czy jakoś tak).

SRunners po operacji:

i Hijack This w tym momencie:

Przy każdym restarcie pojawia sie okienko niewiadomego pochodzenia mówiące, że nie może się połączyć z internetem retry/work offline, ale ff i tak łączy. Główny problem jest z ie, same otwierają się okna reklam antywirusów i powiadomienia o potrzebie skanu

#4

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\lqicwqqm.dll

C:\WINDOWS\system32\jkhii.dll

Po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym.

Usuń wpis HJT jeśli będzie.

Użyj narzędzi przeciwko trojanowi Vundo:

http://unicorn.ksiezyc.pl/WWW/instrukcje/vundo.html

Po wykonaniu pokaż nowy log z hjt, SilentRunners, log numer 1 z L2Mfix i zawartość pliku c:\vundofix.txt.

#5

Teraz fix.reg, zgodnie z sugestią Adama, jest w rejestrze i po restarcie. Norton nadal informuje o vundo, strony nadal otwierają się same, np przed chwilą:

#6

Pobierz The avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w lupkę => w okienku, które się otworzy wklej:

=> Kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Po resecie może pojawić się okienko na dosłownie kilka sekund oraz log w notatniku. Wejdź tam gdzie masz avengera i skasuj plik backup.zip czyli np. c:\avenger\backup.zip.

Po wykonaniu wklej trzy nowe logi plus zawartość pliku c:\avenger.txt

#7

avanger.txt:

HJT:

Silent Runners:

L2MFIX:

…na razie, po restarcie, (odpukać) nic niepokojącego się nie dzieje.

Dzięki za nadzieję.

Mogę odetchnąć pełnym płucem?

Złączono Posta : 07.03.2007 (Sro) 21:30

…przepraszam, jednak po chwili dziwny objaw.

Proces ccPxySvc.exe zajął procesor do 100% i przerwało się połączenie z internetem. Po restarcie jest, dzięki czemu mogę to pisać

#8

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\SYSTEM32\mcrh.tmp

Klikasz X czerwony i restart kompa.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń wpisy HJT jeśli będą.

#9

W logu HJT był tylko ten drugi wpis (020 winlogon…) i już go nie ma.

Zrobiłem co poleciłeś, bardzo dziękuję za pomoc. Zmęczyły mnie te syfy. Skąd one się biorą? (pyt. retoryczne)

I do tego utrudniały kontakt z forum w sieci…

Log z HJT, na wszelki:

Ale na razie wygląda świetnie. Masz massę mojej wdzięczności. :zdrowie:

#10

Log czysty.

Powodów łapania szkodników może być naprawdę bardzo wiele. Najczęstszymi z nich są:

  • odwiedzanie podejrzanych stron

  • nie pozamykane porty robakom i słabo zabezpieczony system. Możesz to zmienić używając programu Windows Worms Doors Cleaner i zmieniając za pomocą jego znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.