Nieusuwalny trojan


(Maciek Burczyn) #1

Mam od 3 dni pewien problem - mianowicie ESET wykrywa mi jakiegoś trojana, którego ani nie może usunąć, ani wyleczyć. Oto log: http://wklej.org/id/125732/. (eryxbypdnie.exe - ten proces cały czas wraca do menadżera zadań, nie da się go usunąć, więc chyba to to...?)

Proszę też o podanie co mam usunąć, jeżeli byście coś znaleźli.

Pozdrawiam i z góry dziękuję!


(deFco247) #2

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

Pokaż również logi z OTL oraz GMER.

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkanaście minut) -> po skanie Kopiuj.


(Maciek Burczyn) #3

Usunąłem to co w hijacku było.

Ściągnąłem avengera, zrobiłem to co było napisane. Po restarcie komputera, przy próbie zalogowania na mojego użytkownika komputer sam się restartował. Wszedłem w tryb awaryjny i ręcznie usnąłem ten plik, który był w Windows/Temp, a który miał chyba usunąć avenger :slight_smile:

Po restarcie zalogowałem się i taki oto log pokazał avenger:

http://wklej.org/id/125871/

Tutaj logi po całej operacji:

HijakThis: http://wklej.org/id/125872/

OTL: http://wklej.org/id/125873/ ||| http://wklej.org/id/125874/

GMER (zaraportował, że znalazł rokita): http://wklej.org/id/125875/

Może nie potrzebnie się pospieszyłem z tym ręcznym usuwaniem pliku w trybie awaryjnym? BackUpa rejestru mam na dysku C. W takim wypadku usuwać?

ESET przestał sygnalizować zagrożenie. Ten wirus to "Win32/Olmarik.JU".

Pozdrawiam i wstępnie dziękuję... teraz proszę o ewentualną reprymendę, że coś zrobiłem nie tak :stuck_out_tongue:


(deFco247) #4

Jest rootkit.

W The Avenger wklej:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt


(Maciek Burczyn) #5

Niestety, dzieje się to samo co wcześniej - po tym resecie wykonanym przez program komputer resetuje się gdy ukaże się lista wyboru użytkowników.

r

Log: http://wklej.org/id/126145/

Edit:

Zresetował się parę razy i działa dobrze... tego pliku *.dll nie ma w system32.


(deFco247) #6

Kurczę, ta przeklęta biblioteka nie chce zejść, i do tego te ukryte drivery. ;/

Trzeba to poszczuć czymś lepszym...

Start -> Uruchom... -> cmd

Wpisujesz w oknie:

Pobierz Combofix, ale nie uruchamiaj.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

No bo tego pliku normalnie nie widać, to jest rootkit i jest ukryty.


(Gremski) #7

Wyłączyłeś przywracanie systemu na czas odrobaczania ? (xp lubi sobie sam od siebie przywracać usunięte pliki po restarcie)


(Maciek Burczyn) #8

Log z ComboFixa: http://wklej.org/id/126362/.

Wszystko działo się dna wyłączonym odzyskiwaniu, dlatego jest info o braku konsoli odzyskiwania. Jakieś propozycje? Coś pomogło? :slight_smile:


(deFco247) #9

Udało się usunąć syfa. :smiley:

Log wygląda na czysty.

Pobierz OTM - użyj opcji CleanUp.

Menu Start -> Uruchom... -> Combofix /u

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.


(Maciek Burczyn) #10

Wstępnie deFco247 masz u mnie browar :stuck_out_tongue:

Malwarebytes' Anti-Malware zaczyna skanowanie, reszta zrobiona.

DZIĘKI! :smiley:

Edit:

Chociaż...: http://img151.imageshack.us/img151/9863/kwarantanna.png

Mam nadzieję, że już faktycznie ESET przejmie nad nim kontrolę... w końcu.