Poszukuję czegoś skutecznego m.in. na trojana AMVO

(Kylek) #1

Witam

Kilka tygodni temu na laptopie mojej dziewczyny zamieszkał AMVO. Dzięki postom z tego forum, udało mi się wysłać go w kosmos, ale oczywiście coś pokusiło właścicielkę komputera o użycie pendrive-a zainfekowanego w punkcie ksero (chyba muszę jej kupić flash-a z funkcją blokady zapisu)…

Teraz sytuacja wygląda tak, że podczas uruchamiania Windows XP komp staje na ekranie logowania, albo tuż po wczytaniu się pulpitu. W trybie awaryjnym jest tak samo.

Wystartowałem system z płyty Norton AntiVirus, ale nic on nie znalazł. Potem uruchomiłem jeszcze komputer z płyty Bart PE (którą stworzyłem kiedyś na potrzeby przywracania partycji programem DriveImage XML) i za jej pomocą usunąłem kilka plików, które nie były plikami pożądanymi. Usunąłem też foldery Kosza i SVI z poziomu Konsoli odzyskiwania (wystartowałem ją ze swojej płyty OEM, bo do laptopa nie było żadnych płyt a całość fabrycznego oprogramowania jest na ukrytej partycji).

Komputer zaczął się normalnie uruchamiać, ale coś jeszcze chyba go trapi, bo nie działa za szybko…

Powiedzcie mi, czy jest jakieś narzędzie, które skutecznie rozprawia się z trojanami? Antywirusy coś nie bardzo niektóre syfy rozpoznają, a nie bardzo mam możliwość wysyłania np. logów do analizy na forum.

(Spandau) #2

W takim razie Pobierz Combofix przeskanuj system daj log na forum. Może jednak będziesz mógł dać loga.

(Kylek) #3

A czy ComboFix, oprócz tego, że wygeneruje log, usunie trochę syfu samodzielnie? Zrobię loga, tylko trochę to potrwa, bo nie mam teraz pod ręką tego zainfekowanego (prawdopodobnie) laptopa…

(huber2t) #4

Usunie trochę ale jest potrzebna nasza interwencja gdyż wszystkiego nie usunie

(Kylek) #5

Udało mi się wygenerować logi:

Po moich ręcznych czystkach komputer normalnie się już uruchamia i działa w miarę “normalnie”. Znacznie poprawiła się również prędkość Internetu ADSL. Jakieś syfy pewnie jednak jeszcze pozostały…

Jeszcze jedno - Windows działa na tym laptopie gdzieś od października 2007, więc może tam być (i pewnie jest) niezły burdel, ale proszę, byście skupili się na kwestiach ewentualnych zagrożeń bezpieczeństwa (takie rzeczy jak niepotrzebne programy uruchamiane przy starcie niedługo przejdą do historii, bo udało mi się namówić dziewczynę na porządną reinstalację systemu :slight_smile: )

(huber2t) #6

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\gdsdstqd.dll

C:\WINDOWS\system32\shvhnypr.dll

C:\WINDOWS\BM0a6725ef.xml

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BE7E4CE1-8CBA-44A6-956F-462A667D3286}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CoolSwitch"=-

"09541673"=-

"HP Software Update"=-

"BM0a6725ef"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{BE7E4CE1-8CBA-44A6-956F-462A667D3286}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXNEVlj] 

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayxwwUn]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{18B0E5C2-99CB-11CF-AYX5-00401C648513}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link

(jessica) #7

Oprócz infekcji z pendrive’a są jeszcze dwie inne infekcje, w tym “VUNDO”.

Wklej do Notatnika :

File::

C:\WINDOWS\BM0a6725ef.xml 

C:\WINDOWS\system32\shvhnypr.dll 

C:\WINDOWS\system32\gdsdstqd.dll

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe


Folder::

C:\RECYCLER


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BE7E4CE1-8CBA-44A6-956F-462A667D3286}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"09541673"=-

"BM0a6725ef"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{BE7E4CE1-8CBA-44A6-956F-462A667D3286}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXNEVlj] 

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayxwwUn]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{18B0E5C2-99CB-11CF-AYX5-00401C648513}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>CFScript3.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

jessi

(Kylek) #8

Uruchomiłem Wasze skrypty i teraz logi są takie:

Czysto już jest na tym kompie?

(huber2t) #9

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!