MBHunter
(Maciek Burczyn)
24 Lipiec 2009 21:57
#1
Mam od 3 dni pewien problem - mianowicie ESET wykrywa mi jakiegoś trojana, którego ani nie może usunąć, ani wyleczyć. Oto log: http://wklej.org/id/125732/ . (eryxbypdnie.exe - ten proces cały czas wraca do menadżera zadań, nie da się go usunąć, więc chyba to to…?)
Proszę też o podanie co mam usunąć, jeżeli byście coś znaleźli.
Pozdrawiam i z góry dziękuję!
deFco247
(deFco247)
24 Lipiec 2009 22:19
#2
Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
Pokaż również logi z OTL oraz GMER .
W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkanaście minut) -> po skanie Kopiuj .
MBHunter
(Maciek Burczyn)
25 Lipiec 2009 11:04
#3
Usunąłem to co w hijacku było.
Ściągnąłem avengera, zrobiłem to co było napisane. Po restarcie komputera, przy próbie zalogowania na mojego użytkownika komputer sam się restartował. Wszedłem w tryb awaryjny i ręcznie usnąłem ten plik, który był w Windows/Temp, a który miał chyba usunąć avenger
Po restarcie zalogowałem się i taki oto log pokazał avenger:
http://wklej.org/id/125871/
Tutaj logi po całej operacji:
HijakThis: http://wklej.org/id/125872/
OTL: http://wklej.org/id/125873/ ||| http://wklej.org/id/125874/
GMER (zaraportował, że znalazł rokita): http://wklej.org/id/125875/
Może nie potrzebnie się pospieszyłem z tym ręcznym usuwaniem pliku w trybie awaryjnym? BackUpa rejestru mam na dysku C. W takim wypadku usuwać?
ESET przestał sygnalizować zagrożenie. Ten wirus to “Win32/Olmarik.JU”.
Pozdrawiam i wstępnie dziękuję… teraz proszę o ewentualną reprymendę, że coś zrobiłem nie tak
deFco247
(deFco247)
25 Lipiec 2009 11:21
#4
Jest rootkit.
W The Avenger wklej:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
MBHunter
(Maciek Burczyn)
25 Lipiec 2009 22:30
#5
Niestety, dzieje się to samo co wcześniej - po tym resecie wykonanym przez program komputer resetuje się gdy ukaże się lista wyboru użytkowników.
r
Log: http://wklej.org/id/126145/
Edit:
Zresetował się parę razy i działa dobrze… tego pliku *.dll nie ma w system32.
deFco247
(deFco247)
25 Lipiec 2009 22:47
#6
Kurczę, ta przeklęta biblioteka nie chce zejść, i do tego te ukryte drivery. ;/
Trzeba to poszczuć czymś lepszym…
Start -> Uruchom… -> cmd
Wpisujesz w oknie:
Pobierz Combofix , ale nie uruchamiaj.
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
No bo tego pliku normalnie nie widać, to jest rootkit i jest ukryty.
Wyłączyłeś przywracanie systemu na czas odrobaczania ? (xp lubi sobie sam od siebie przywracać usunięte pliki po restarcie)
MBHunter
(Maciek Burczyn)
26 Lipiec 2009 15:30
#8
Log z ComboFixa: http://wklej.org/id/126362/ .
Wszystko działo się dna wyłączonym odzyskiwaniu, dlatego jest info o braku konsoli odzyskiwania. Jakieś propozycje? Coś pomogło?
deFco247
(deFco247)
26 Lipiec 2009 15:44
#9
Udało się usunąć syfa.
Log wygląda na czysty.
Pobierz OTM - użyj opcji CleanUp .
Menu Start -> Uruchom… -> Combofix /u
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
MBHunter
(Maciek Burczyn)
26 Lipiec 2009 16:03
#10
Wstępnie deFco247 masz u mnie browar
Malwarebytes’ Anti-Malware zaczyna skanowanie, reszta zrobiona.
DZIĘKI!
Edit:
Chociaż…: http://img151.imageshack.us/img151/9863/kwarantanna.png
Mam nadzieję, że już faktycznie ESET przejmie nad nim kontrolę… w końcu.