Nowe zagrożenie: STRUGGLER Keylogger

erbello · 23 Wrzesień 2007 12:50

Dostałem poniższego maila:

Od: erbello@tlen.pl Do: erbello@tlen.pl Temat: UWAGA! Masz trojana! Data: 23 września 2007 11:40 [do druku] [pokaż/schowaj nagłówki] [zapisz jako plik eml] Ten e-mail zostal wyslany za posrednictwem Twojego wlasnego konta, poniewaz haslo do niego znalazlo sie wsród logów trojana STRUGGLER KEYLOGGER. Wszelkie inne informacje zostaly pominiete aby nie narazac Ciebie na dodatkowe niebezpieczenstwo. Logi sa ogólnodostepne i kazdy kto tylko wie gdzie szukac moze je znalezc. Ma to zabezpieczyc przed namierzeniem osobe, która rozpowszechnia robaka. Oprócz hasla do konta trojan przechwytuje hasla do gier, banku, numery kart kredytowych itd. Jest to na prawde powazne zagrozenie tymbardziej, ze ciagle powstaja nowe wersje robaka i z reguly programy antywirusowe ich nie rozpoznaja. Po wiecej informacji radze pogooglowac: struggler keylogger [ENTER].

Mój komputer był chroniony Avastem, który, jak widać nie spełnił swojego zadania. Informacji w necie na temat tego keyloggera dużo nie ma, nie licząc niepewnej aplikacji, którą można wygooglać wedle instrukcji z powyższego maila. Napisałem temat na forum, by poinformować ludzi o zagrożeniu. Jeśli ktoś by miał namiar na szczepionkę made by jakaś poważna firma antywirusowa, to niech śmiało odpisze.

Tymczasem wracam do procedury zmiany haseł i równolegle formatu, stawiania systemu, i szukaniu lepszych rozwiązań zabezpieczających.

Aravras · 23 Wrzesień 2007 15:35

Również dostałem tą wiadomość, i niestety, nabrałem się. Pobrałem z pierwszego linka z Google program “usuwający” trojana, użyłem i teraz mam problem. Co jakieś 20min wyłącza mi explorer.exe, co chwilę mam ataki, które mój Avast! blokuje, przy próbie włączenia niektórych aplikacji wyskakuje mi: " (nazwa aplikacji) nie jest prawidłową aplikacją systemu Win32". Dodatkowo zaraz po użyciu tego “programu usuwającego trojana” wyskoczyło mi ostrzeżenie, że pliki Avasta zostały zmodyfikowane, więc nie wiem, czy mogę mu dalej ufać…

Już od wczoraj męczę się z tym wirusem (czy jak to tam inaczej nazwać, nawet nie wiem co to jest), zainstalowałem kilka programów wyszukujących spyware i inne zagrożenia, m. in. Spybot Search & Destroy, wykryły kilka infekcji, usunęły je, ale to nie pomogło. Nie zauważyłem żeby pojawił się jakiś nowy proces w menadżerze zadań. Po kilku próbach pobrania Avasta udało się, odinstalowałem go i zainstalowałem od nowa, zamierzam teraz przeskanować nim komputer, ale wątpię, żeby coś wykrył. Na wszelki wypadek pobrałem też Comodo Firewall Pro. A oto log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 17:31:00, on 2007-09-23

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Last.fm\LastFMHelper.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Adamus\Pulpit\HiJackThis_v2.exe


R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SearchPageURL.dll

F2 - REG:system.ini: Shell=explorer.exe 

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [Assassin 4.0] C:\Program Files\Black List Software\Assassin 4.0\assassin.exe

O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe

O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O16 - DPF: {2931566C-B8A6-46C5-BF4D-E6AB9251E953} - 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - 

O17 - HKLM\System\CCS\Services\Tcpip\..\{86EDCC25-130B-4C00-90D1-9049E73352C6}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - (no file)

O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mi log wydaje się czysty, ale nie znam się zbytnio na tym, więc proszę, żeby ktoś go sprawdził. Czy ktoś ma jakiś pomysł, jak sobie poradzić z tym wirusem? Jeśli Avast coś wykryje i uda mi się to usunąć, zedytuję posta. Z góry dziękuję i pozdrawiam.

erbello · 23 Wrzesień 2007 15:42

Zainteresowałeś mnie informacją na temat możliwości podszycia się pod dowolny email. Dzięki.

Edit:

Mimo, że ja nie ściągnąłem wygooglowanej szczepionki, też mogę powiedzieć, że się nabrałem, stosując broń ostateczną. W sumie i tak miałem format zrobić po tym, jak przesadziłem w mieszaniu w systemie. ;p

orsoniasty · 23 Wrzesień 2007 16:21

Plik struggler_remover.exe otrzymany 2007.09.23 18:06:26 (CET)

Wynik: 1/32 (3.13%)

AhnLab-V3 2007.9.22.0 2007.09.21 -

AntiVir 7.6.0.15 2007.09.21 -

Authentium 4.93.8 2007.09.23 -

Avast 4.7.1043.0 2007.09.22 -

AVG 7.5.0.485 2007.09.23 -

BitDefender 7.2 2007.09.23 -

CAT-QuickHeal 9.00 2007.09.21 -

ClamAV 0.91.2 2007.09.23 -

DrWeb 4.33 2007.09.23 -

eSafe 7.0.15.0 2007.09.19 -

eTrust-Vet 31.2.5154 2007.09.21 -

Ewido 4.0 2007.09.20 -

FileAdvisor 1 2007.09.23 -

Fortinet 3.11.0.0 2007.09.23 -

F-Prot 4.3.2.48 2007.09.23 -

F-Secure 6.70.13030.0 2007.09.21 -

Ikarus T3.1.1.12 2007.09.23 -

Kaspersky 4.0.2.24 2007.09.23 -

McAfee 5125 2007.09.21 -

Microsoft 1.2803 2007.09.23 -

NOD32v2 2545 2007.09.23 -

Norman 5.80.02 2007.09.21 -

Panda 9.0.0.4 2007.09.23 -

Prevx1 V2 2007.09.23 -

Rising 19.41.62.00 2007.09.23 -

Sophos 4.21.0 2007.09.23 -

Sunbelt 2.2.907.0 2007.09.22 -

Symantec 10 2007.09.23 -

TheHacker 6.2.5.066 2007.09.22 -

VBA32 3.12.2.4 2007.09.23 -

VirusBuster 4.3.26:9 2007.09.23 -

Webwasher-Gateway 6.0.1 2007.09.21 Win32.Malware.gen (suspicious)

No, generalnie nic nie wykrywa specjalnie. Ja u siebie uruchomiłem z durnej ciekawości. ;> W HijackThis też nic nie widzę. Sam nie wiem…

orsoniasty · 23 Wrzesień 2007 18:01

@Aravras: u mnie również wywala explorer.exe co jakiś czas, po uruchomieniu tego “removera”. KIS włączony cały czas, skanowałem też wszystkim czym sie da i nic. W sumie troszkę obawy mam przed zalogowaniem się do banku, do czasu upewnienia się, że jest ok, korzystam z klawiatury ekranowej

crowley · 23 Wrzesień 2007 19:45

Panowie i Panie info o STRUGGLER KEYLOGGER to fake… używacie programów pocztowych??? sprawdźcie źródło wiadomości… przykładowo pokażę Wam mój mail z info o wirusie. xxx@xx.pl to przykładowy adres każdego z Was.

From - Sun Sep 23 07:32:06 2007 X-Account-Key: account2 X-UIDL: 1190500277.6763.saturn.xx.pl,S=1845 X-Mozilla-Status: 0003 X-Mozilla-Status2: 00000000 X-Mozilla-Keys: Return-Path: Delivered-To: xxx@xx.pl Received: (qmail 6756 invoked by uid 98); 23 Sep 2007 00:31:16 +0200 X-Spam-Checker-Version: SpamAssassin 3.1.7-deb (2006-10-05) on saturn.os.pl X-Spam-Level: ** X-Spam-Status: No, hits=2.8 required=5.0 tests=FUZZY_CREDIT,MANY_EXCLAMATIONS, NO_REAL_NAME Received: from unknown (HELO poczta.o2.pl) (193.17.41.42) by 0 with SMTP; 23 Sep 2007 00:27:24 +0200 Received-SPF: pass (0: SPF record at o2.pl designates 193.17.41.42 as permitted sender) Received: from poczta.o2.pl (mx2 [127.0.0.1]) by poczta.o2.pl (Postfix) with ESMTP id 29D1D748068 for ; Sun, 23 Sep 2007 00:19:52 +0200 (CEST) Received: from [85.232.232.38] (http://www.cba.pl [85.232.232.38]) by poczta.o2.pl (Postfix) with ESMTP for ; Sun, 23 Sep 2007 00:19:52 +0200 (CEST) To: xxx@xx.pl From: xxx@xx.pl Reply-To: xxx@xx.pl Subject: UWAGA! Masz trojana! Date: Sun, 23 Sep 2007 00:14:15 +0200 X-LibVersion: 3.3.1_4 MIME-Version: 1.0 Content-Type: text/plain; charset=iso-8859-1; format=flowed Content-Transfer-Encoding: 8bit Message-ID: <20070922221425.9664.2109817517.swift@a.c0.pl> Ten e-mail zostal wyslany za posrednictwem Twojego wlasnego konta, poniewaz haslo do niego znalazlo sie wsród logów trojana STRUGGLER KEYLOGGER. Wszelkie inne informacje zostaly pominiete aby nie narazac Ciebie na dodatkowe niebezpieczenstwo. Logi sa ogólnodostepne i kazdy kto tylko wie gdzie szukac moze je znalezc. Ma to zabezpieczyc przed namierzeniem osobe, która rozpowszechnia robaka. Oprócz hasla do konta trojan przechwytuje hasla do gier, banku, numery kart kredytowych itd. Jest to na prawde powazne zagrozenie tymbardziej, ze ciagle powstaja nowe wersje robaka i z reguly programy antywirusowe ich nie rozpoznaja. Po wiecej informacji radze pogooglowac: struggler keylogger [ENTER].

koleś wykorzystuje maila z o2.pl: “dupuniasrunia@o2.pl”

oraz serwer na cba.pl: “Received: from [85.232.232.38] (http://www.cba.pl [85.232.232.38])”

na który pewnie wwalił sobie jakiś skrypcik do wyszukiwania adresów w necie oraz wysyłania do nich maili.

wiec spokojnie bez paniki. macie magiczny przycisk w swoich pocztach "delete’, “usuń” etc:] należy go tylko użyć, gdy dostaniecie powyższego maila i po wszystkim;] a nie grzebać w necie i ściągać jakieś śmieci:P

pozdrawiam

crowley.

p.s. do tych co ściągnęli removera(szczepionkę) - radziłbym formata… są różne piękne keye, których nie widać(najpopularniejszy ostatnio to owntiba & jego modyfikacje). a jeśli nie format, to chociaż przejrzenie w firewallu co sie zmieniło w połączeniach po zainstalowaniu tego syfu(przede wszystkim przeglądarki). ja osobiście nie ściągałem i nie sprawdzałem co to jest - nie mam narazie na to czasu. jak sie zrobi z tego global to sie może tym zajmę:P

crowley · 23 Wrzesień 2007 21:37

no chyba nie za bardzo:

nie trzeba hakować serwisów żeby zdobyc czyjś email… wystarczy prosty skrypt do przeszukiwania stron www w których jest @… myślisz, że skąd bierze się spam??? właśnie stąd, że gdzieś podajesz w sieci swojego maila, który jest ogólnie dostępny i można sobie go łatwo znaleźć…

to nie minus. to jest normalne i zamierzone działanie protokołu pocztowego. a podszywać podszywa sie tylko dla laika… wystarczy sprawdzić PEŁNE info o mailu i już wiemy kto naprawdę do nas pisze… a wiadomości nie są wysyłane przez cba.pl tylko przez portale internetowe - serwer na cba.pl tylko tworzy te wiadomości:)

pozdrawiam

crow.

grajper · 23 Wrzesień 2007 23:23

No dobra, też się nabrałem, poszedł format i dzieje się dokładnie to samo. Co robić?? jakieś sugestie?

crowley · 24 Wrzesień 2007 08:53

niestety nie pomogę. wszystkie cudne strony z removerem zostały już usunięte(jednak monity do dużych portali pomagają:P) i nie mam jak sprawdzić co on dokładnie robi.

grajper · 24 Wrzesień 2007 09:33

dochodze do następujących wniosków:

Wirus nie instaluje się na C: (zmieniałem dyski, sam dysk systemowy startuje bez problemu i explorer chodzi jak ta lala.) E: i F: też raczej nie powodują zagrożenia. Jak dla mnie wirus wchodzi na D:. Jak do tej pory poszedł format C:, skany mks-online, ad-aware, spybot, outpost, żaden nie umie wyszukać. Jedynie mks-online wyszukał pare rzeczy. I kolejna ciekawostka. Po formacie zrobiłem obraz dysku C: i zpaisałem na D:. Skaner mks przeskanował C: i mniej więcej nic nei znalazł. Natomiast w treakcie skanowania tegoż obrazu znalazł Trojan.Eraser.b - po formacie explorer ciągle restartował, postanowiłem dać jeszcze raz szczepionke, żadnych innych wirusów być nie mogło. Dochodze więc do wniosku że owe “lekarstwo” instaluje Trojan.Eraser.b . Obserwacje potwierdzone jedynie przeze mnie samego. Jak narazie nic nie grzebałem z tym, dopiero wieczorem dojde i popróbuje. A w między czasie fajnie by było jakby ktoś sprawdził to, może coś uda się wykombinować wspólnymi siłami.

orsoniasty · 24 Wrzesień 2007 13:21

Jak do tej pory nic nie wykryłem żadnym programem, nie mniej explorer co jakiś (stosunkowo długi) czas odmawia posłuszeństwa. Hijack raczej czysty także. Opcja z dyskiem D: odpada, jako, iż u mnie to napęd DVD, system jest na C:. Formatować jeszcze nie próbowałem, jednak na Twoim miejscu, dla pewności sformatowałbym oba dyski ( mnie chyba nie trzeba - na drugim jest Ubuntu), wtedy nie ma możliwości aby problem nadal występował no … chyba, że trojan siedzi w biosie, ale to raczej mało prawdopodobne, prawda ?

crowley · 24 Wrzesień 2007 14:12

masz racje mało prawdopodobne:) tak jak to ze pan K. albo jego brat bliźniak wygra konkurs piękności;)

p.s. mógłby ktoś udostępnić tego removera?? chciałbym zobaczyć co to takiego:P

orsoniasty · 24 Wrzesień 2007 17:39

@crowley: Posłałem na pw, aby nikt niepowołany nie ściągał

dudi03 · 24 Wrzesień 2007 18:31

ja chcialbym powiedziec tyle… mialem z tym problem i nie wiedzialem co zrobic…az do godziny19:50 tego dnia

najpierw probowalem format… D zrobilem z poziomu windowsa natomias C nie dalo sie zrobic w dosie moze to ja jestem taki nie kumaty i sobie nie poradzilem ale trudno… znalazlem rozwiazanie. dokladnie 9 dni temu przypadniem nie umyslnie stworzylem punkt przywracania systemu,wiec czemu by nie, uzylem go… jak narazie wszystko dziala i nic sie nie dzieje nie wiem na ile to bezpieczne dalej jest ale problem z procesem explorer.exe rozwiazany

pozdrawiam

Danio149 · 25 Wrzesień 2007 10:14

naprawdę nie mogę ogarnąć tego całego zamieszania. Dałem się niestety na to nabrać jedno z moich kont zostało po chwili shakowane więc postanowiłem walnąć format. Sformatowałem i explorer wyłącza się nadal i nie wiem jak z tym keyloggerem. Będę musiał wypróbować jakąś podpuche na inne konto i zobacze czy ktoś nieoczekiwany się zaloguje. Zna ktoś może jakąś szczepionkę na to? prosze o pomoc PW albo tutaj z góry dzięki

Aravras · 25 Wrzesień 2007 16:49

U mnie bez zmian, oprócz tego, że po odinstalowaniu Comodo Firewall działają mi przeglądarki… A co do Comodo, to bardzo często pokazywał, że explorer.exe chce zmodyfikować różne pliki. Nie wiem, czy zawsze tak jest, czy to wina wirusa, bo wcześniej Comodo nie używałem. Ale podejrzewam, że ten wirus kombinuje coś z explorer.exe, bo przecież także często go wyłącza. Zauważyłem też w Menadżerze Zadań, że często mam włączony drwtsn32.exe, niby normalny plik systemowy (do czego to?), ale nigdy go w procesach nie widziałem. Poza tym, nie ma żadnych podejrzanych procesów, ani w Menadżerze Zadań, ani w autostarcie po wpisaniu “msconfig” w Uruchom…

Chyba wezmę się za format, jako że ostatni robiłem ponad rok temu, a i tak bez niego nie mogę uruchamiać większości aplikacji i instalatorów, bo chyba skasowałem jakiś .dll… Mam jeden dysk, C:, może to na nim siedzi wirus. Punktów przywracania systemu niestety nie mam.

orsoniasty · 27 Wrzesień 2007 14:40

Kaspersky zabrał się za blokowanie explorera… psinco z tego rozumiem, ale wkleję:

2007-09-27 16:34:24 C:\WINDOWS\Explorer.EXE HKEY_USERS\S-1-5-21-1645522239-113007714-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Start_ShowNetConn_ShouldShow 0x00000042 (66) 32-bit number Create detected

2007-09-27 16:34:24 C:\WINDOWS\Explorer.EXE HKEY_USERS\S-1-5-21-1645522239-113007714-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Start_ShowNetConn_ShouldShow 0x00000042 (66) 32-bit number Create blocked

Edit : E tam, mimo tego i tak błąd wyskakuje cyklicznie.

Żadnych koncepcji? Jeśli nie, formatuję i będę miał pretekst, by przetestować Vistę

crowley · 27 Wrzesień 2007 17:55

po bitwie z kasperskym i ich twierdzeniem, ze plik jest czysty i oni nic nie moga zrobic(wyslalem do nich bo sam nie dawalem rady) jednak w koncu jakis koles u nich sie obudzil ze jednak plik nie jest czysty. wirus ktory siedzi w tym pliku to:

Virus.Win32.Daum.a

najnowsza baza kaspra juz wykrywa(nawet online).

pozdro.

crow.

orsoniasty · 27 Wrzesień 2007 19:14

To prawda, od kilku godzin Kaspersky ów g. wykrywa na bieżąco.

deleted: virus Virus.Win32.Daum.a File: C:\System Volume Information_restore{44B69D1C-435D-4328-9FB3-2BEE9D171FF6}\RP93\A0089903.exe

Ciekawe, czy błedy explorera się skończą po pełnym skanie…

Edit : *.exe na dysku do wyrzucenia :lol: Stare dobre wirusy się przypominają, kiedy dos’owy mks wykrywał setki zainfekowanych .exe

crowley · 27 Wrzesień 2007 20:36

a zacytuje ci wypowiedź kolesia z kaperskiego jeszcze z dziś na mojego maila z info o wirusie…:

gdybym ci pokazał all maile od nich na moje maile to byś padł ze śmiechu. najlepsze jest to, że tego maila dostałem właśnie dziś… jak widzę kto tam pracuje to normalnie się załamuje…

pozdro

crow.

p.s. jeszcze jeden text z maila do mnie, bo to po prostu paranoja co oni robią…:

najlepsze jest to, że wysłałem im plik już w pierwszym zgłoszeniu(ten co dostałem na PW - czyli oryginalny ze stronki)… tak jak sobie życzyli - spakowany rarem… ale cóż na co mam liczyć to tylko polska… mają burdel i chyba lubią wqrzać ludzi…

EDIT:

powiem tak jeśli oni dostają na swoje ręce nowego wirusa z opisem działania i kwalifikują go jako not-a-virus to nie wiem jak Wy, ale ja bym nigdy takiej firmie nie zaufał, aby chroniła mojego kompa. nigdy nie polecę ani nie kupię kasperskiego po tym jak potraktowali tą sprawę…