Jak najlepiej usunąć Trojan-Proxy.Win32.Mitglieder.dz


(Notforgotten) #1

Znalazłam przyczynę swoich problemów z programami antywirusowymi, które opisałam już w tym temacie http://forum.dobreprogramy.pl/viewtopic.php?t=123910&highlight=. Po krótkim skanowaniu online skanerem Pandy znalazłam coś podejrzanego - okazało się, że to trojan "Trojan-Proxy.Win32.Mitglieder.dz" - a tu jego opis http://wirusy.antivirenkit.pl/pl/opis/Trojan-Proxy.Win32.Mitglieder.dz.html

Ze względu na to, iż nie pozwala on działać programom antywirusowym, chciałabym wiedzieć, jak najlepiej (i najbezpieczniej, bo boję się uszkodzić system) go usunąć - a chciałabym uniknąć formatowania dysku.

Bardzo proszę o pomoc! !!


(system) #2

Pisz w tym dziale co ci doradzili co zrobić , bo w ten sposób robi się bałagan :mrgreen: .


(Notforgotten) #3

No właśnie doradzili zrobić jedynie loga (stwierdzono, że jest OK) i na tym się pomoc skończyła, dlatego założyłam osobny temat.


(Joan Sunshine) #4

Nie pomoc się skończyła tylko złączyło posta i nie widać nowego :?

Szukałaś tych plików na dysku > hidr.exe, wintems.exe ??

Daj loga z Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle).

Skan EWIDO po update, wklej raport.


(Edlib) #5

wirus nie jest aż tak niebezpieczny i bez obawy możesz go usunąć

ręcznie - podane exe w windows i system 32;

ponadto sprawdż dane aplikacji w swoim folderze, szukaj hidires\hidr.exe

klucze rejestru Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Valores: "drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"

"german.exe" = "%System%\wintems.exe"

Clave: HKEY_CURRENT_USER\Software\DateTime4

Valores: "port" = "0x5B7E"

"uid" = "[- aleatorio -]"

"wdrn" = "0x00000001"

jeśli chodzi o programy antywirusowe to wirus po prostu usiłuje wyłączyć

je, aby nie odkryły jego obecności

valores- wartości kluczy - wszystko oczywiście usunąć - w Run podane wartości i cały klucz DateTime4


(Notforgotten) #6

Jeszcze raz napiszę, że pobrałam według instrukcji SR, ale nie otwiera się żaden program tylko długi kod w mojej przeglądarce.

Złączono Posta : 11.01.2007 (Czw) 10:56

A poza tym nie prościej by mi było użyć np. Trojan Remover 6.5.5?


(Joan Sunshine) #7

Kliknij prawym na linka do Silenta podanego w temacie, który zlinkowałam i daj "zapisz element docelowy jako". To jest tam wyjaśnione przecież :wink:


(Notforgotten) #8

Wiem że jest tak wyjaśnione i tak właśnie zrobiłam. Wszystko według instrukcji. :confused:

A nie prościej byłoby mi użyć np. Trojan Remover 6.5.5?


(Joan Sunshine) #9

Jeśli dajesz "zapisz element docelowy jako" to nie ma siły, plik musi się zapisać w folderze, który jest docelowy do transferów, np pulpit. Znajdź go i odpal :wink:


(Notforgotten) #10

Nie lubię się powtarzać. Ściągęłam i zapisałam plik na pulpicie, odpalam no i w przeglądarce wyświetla się długi kod, z którego guzik rozumiem. To wszystko.


(Joan Sunshine) #11

:? Może zauważ mimo wszystko, że chcemy Ci pomóc.

Masz źle ustawiony program domyślny do otwierania tego piku i pewnie dlatego odpala się w przeglądarce. Prawym + shift na plik > Otwórz za pomocą > "Windows Based Script Host".


(Notforgotten) #12

Przeglądałam na razie edytor rejestru.

Trojan zarejestrował swój sterownik:

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ m_hook

Znalazłam też jego dane konfiguracyjne z DateTime4. Ale w:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

nie ma nic podejrzanego.

Szukałam też plików trojana hidr.exe oraz wintems.exe, ale znalazłam tylko to:

C:\WINDOWS\Prefetch\HIDR.EXE-04AA7E86.pf

Nie wiem, czy to jest ten szkodliwy plik? Jak to rozumieć?


(adam9870) #13

To od rootkita Bagle.

Wrzuć dwa logi z Gmer'a przy takich ustawieniach:

  1. Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy

  2. Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy.

Dodatkowo pokaż jeszcze log z HijackThis.


(Notforgotten) #14

pierwszy log z gmer'a

Złączono Posty : 30.01.2007 (Wto) 18:37

drugi

Złączono Posty : 30.01.2007 (Wto) 18:40

z HijackThis

Złączono Posty : 30.01.2007 (Wto) 18:49

mam jeszcze log z SR bo udało mi się go uruchomić


(Gutek) #15

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\System32\hldrrr.exe

C:\WINDOWS\System32\wintems.exe

i naciskasz X czerwony. Program poprosi o reset kompa ... czyli resetujesz.

Użyj ATF-Cleaner - http://www.atribune.org/ccount/click.php?id=1

Usuwanie w Gmerze:

  • W zakładce Usługi z prawokliku skasować usługę m_hook.

(Notforgotten) #16

Wszystko działa już poprawnie, zainstalowałam i uruchomiłam wreszcie antywirusa :slight_smile:

Serdecznie dziękuję za pomoc!