Odradzający sie trojan OnLineGames i inni dwaj intruzi


(system) #1

Witam. Coś mi się dossało do mojego pc. Jeden wlazł z pendrive'a a kolejne 2 nie wiem skąd.

W raporcie Kasperskiego pojawiły się następujące zagrozenia:

2008-04-17 12:03:29	File: c:\documents and settings\ctasus\ustawienia lokalne\temp\chjbrh.dll	detected: Trojan program 'Rootkit.Win32.Agent.tq'	

2008-04-17 12:03:43	File: c:\documents and settings\ctasus\ustawienia lokalne\temp\chjbrh.dll	not disinfected	skipped by user

2008-04-17 12:03:43	File: c:\documents and settings\ctasus\ustawienia lokalne\temp\~df37b.tmp	detected: Trojan program 'Trojan.Win32.Agent.bve'	

2008-04-17 12:03:45	File: c:\documents and settings\ctasus\ustawienia lokalne\temp\~df37b.tmp	not disinfected	skipped by user

2008-04-17 12:03:45	File: c:\windows\system32\amvo0.dll	detected: Trojan program 'Trojan-PSW.Win32.OnLineGames.nij'	

2008-04-17 12:03:46	File: c:\windows\system32\amvo0.dll	not disinfected	skipped by user

I teraz tak, zrobilem logi, a pozniej zdesynfekowałem/usunalem powyzsze zagrozenia. Kasp twierdzi ze wyczyścił to całe badziewie ale mimo wszystko prosiłbym o sprawdzenie czy w logach jest wszystko ok. Z góry dziekuję a ponizej zamieszczam logi. log z combo http://www.wklej.org/id/659f5bd9cclog z hijack'a http://www.wklej.org/id/c0d05f180a EDIT nowy log z combo po usunięciu folderu QooBox. Z tym ze pare minut temu znow pokazalo się

program Trojan-PSW.Win32.OnLineGames.ngm	File: C:\System Volume Information\_restore{BC47FE04-AA20-4089-83C2-570412C3B070}\RP492\A0294709.exe

http://www.wklej.org/id/0ce299dacc

HELP!


(huber2t) #2

fix w hijackthis

otwórz notatnik i wklej

zapisz jako typ wszystkie pliki i pod nazwą plik.reg

Uruchom ten plik, uruchom ponownie komputer

Przeskanuj komputer tym http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Agatonster) #3

black_identity ,

Zapoznaj się z tematem Ważny komunikat dotyczący tytułowania tematów i popraw tytuł na konkretny, mówiący o problemie.

W celu dokonania zaleconej korekty - proszę użyć przycisku ac7a4cd89050aa6e.gifprzy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów w tym dziale, przeczytaj i zastosuj się do Tematu


(system) #4

Po pierwsze wielkie dzieki za odzew - juz myslalem ze wszyscy spią na tym forum. Więc tak, usunalem te 2 wpisy z hijack'u, plik.reg zrobiony, reboot tez. Tyle tylko ze ja mam Kasperskiego na dysku a ten online scaner nie łyka. Co w takim przypadku? Zrobić normalnie scan wszystkich partycji (są 3) czy tylko C: albo sam katalog WINDOWS? Przed chwilą wlasnie robilem skan katalogu WINDOWS i jest czysty, tzn zanim go zrobilem juz wykrył znowu tego dziada Trojan program Trojan-PSW.Win32.OnLineGames.nij File: C:\System Volume Information_restore{BC47FE04-AA20-4089-83C2-570412C3B070}\RP492\A0294729.dll więc go usunalem najpierw a pozniej przeskanowalem katalog C:\WINDOWS i tak jak juz napisalem nic nie znalazł.

Proszę o dalsze instrukcje... bo nie wiem co robic.

EDIT: ok, odpalilem onliescaner Kasp przez IE. Na razie pomyka bez zarzutów...

Nie skanowałem calego dysku jedynie wybrane foldery z partycji C: http://www.wklej.org/id/c9424e697d. Wygląda na to ze moj "przyjaciel" OnLineGames zmartwychwstał... robie skan systemowym KIS 7.0.1.321.


(Leon$) #5

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

start >> uruchom >> cmd

sc stop pr2ah4nc >> Enter

sc stop ZDCndis5 >> Enter

sc delete pr2ah4nc >> Enter

sc delete ZDCndis5 >> Enter

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

:slight_smile:


(system) #6

ten scan sobie potrwa... a moze wystarczy sam C: ?? :lol:

no dobra, jest cały skan My Computer

http://www.wklej.org/id/75416d8e5b

(Dmirecki) #7

Kasperski nic nie wykrył czyli czysto :slight_smile:


(huber2t) #8

Log jest czysty


(system) #9

też zauważyłem, że log jest czysty, ale problem w tym czy ten robal znów sie nie sklonuje. jak coś dam znać. dzięki za dotychczasową pomoc. pozdro 600 :smiley:


(Leon$) #10

Nie sklonuje się ponieważ cały czas siedział w punktach przywracania systemu które zostały skasowane przez wyłączenie przywracania systemu

ot cała filozofia

:slight_smile:


(system) #11

szczerze mówiąc dla mnie filozofia... nie znam sie na grzebaniu w rejestrze i jakichs komendach w DOSie wiec specjalistyczna pomoc byla konieczna :wink: wlasnie robie scan i choc wiem ze nic nie znajdzie to dla spokoju ducha odpale go jeszcze raz.

Jestem niezmiernie wdzieczny za pomoc - sam nie dalbym rady! =D> dla Was Panowie :slight_smile: ! :smiley: [-o<