Fsmgmt.dll- uciążliwy wirus. Nowy atak


(Konradpiotr) #1

Witam!

Wróciłem dziś do domu po tygodniu na uczelni i zastałem niemile zainfekowany komputer. Chodzi o plik fsmgmt.dll, chociaż antywirus manifestował też pliki secpol.exe oraz userinit.exe. Z relacji rodziny wynika że zaczęło się od kłopotów z pendrive- nie dawał się otworzyć normalnie, trzeba było stosować jakieś obejścia w stylu Eksploruj/zarządzaj etc. Ostatnio Avira AntiVir zaczął podawać informacje o trojanach, w różnych plikach (j.w.). Opcja 'delete' 'pomagała' na pewien czas- antywirus nic nie protestował przez jakąś godzinę lub dwie, by ponownie radośnie wyświetlić komunikat o trojanie.

Z tego co sam robiłem, nie pomogło nic. Manualnie usunięcie plików z system32, 'fix entry' z Hijacka (na wadliwym wpisie), usunięcie antywirusem- na nic, trojan powracał, albo z tym samym plikiem albo pod zmienioną nazwą, także w procesach w Hijacku.

Zastosowałem się też do rad z tego tematu:

viewtopic.php?f=16&t=238884

Mimo że problem wydaje się podobny do mojego, nie było żadnych rezultatów, uporczywy trojan nadal przeszkadza.

Log z ComboFixa:

http://wklej.org/id/d3a0676a13

Log z HijackThis:

http://wklej.org/id/9df1107cd2

(notka: w tym logu z Hijacka nie ma pozycji O20-WINDOWS/system32/-fstgmt.dll, po tym jak usunąłem go 30 minut temu. Swoją drogą usuwałem już go kilka razy, ale po kolejnym powiadomieniu antywira trojan się 'uaktywniał')

EDIT

Już miałem wysyłać temat, gdy antywirus wyświetlił okno:

trojansn8.jpg

Powtórne logi z ComboFix:

http://wklej.org/id/455f8d8fd3

I HijackThis:

http://wklej.org/id/308c078e19

EDIT

Pozdrawiam


(Leon$) #2

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

włącz przywracanie systemu

:slight_smile:


(Konradpiotr) #3

Dzięki za odpowiedź!

Zrobiłem tak jak doradzałeś. Nie ma już żadnych alarmów, O20/.... w Hijacku też nie istnieje. Natomiast skanowanie Kasperskim przyniosło taki efekt:

secpolle1.jpg

Avira w żaden sposób na to nie reaguje.

Wywalić ten plik manualnie?


(huber2t) #4

usuń ten plik


(Konradpiotr) #5

Usunięte, jeszcze raz dzięki za pomoc!

W dniu 01.05.2008 , o godzinie 15:39 został dopisany post przez Stardust

Witam, mimo rad użytkowników problem powtórzył się po włożeniu innego pendrive innego domownika. Tym razem zamiast jednego komunikatu Aviry jednocześnie wyskakują 3 różne:

oraz to ze zdjęcia w poprzednim poście.

Log z Hijacka:

http://wklej.org/id/68d36162c6

Oraz z ComboFix:

http://wklej.org/id/f78fbd6ab0

Co ciekawe, wyżej wymieniony pendrive został również uruchomiony na biurowym komputerze, i również tam wykryto wirusa.

Może jakieś hipotezy skąd wziął się ten trojan? Mam wrażenie że rozpowszechnia się przez pamięci przenośne...


(huber2t) #6

Do wyleczenia pendrive z wirusów użyj http://www.brothersoft.com/prt-(perlovga-removal-tool-60877.html

fix w hijackthis

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer