Prawdopodobnie trojan


(S1108) #1

Witam, proszę o pomoc. Prawdopodobnie złapałem trojana i zmodyfikował skutecznie rejestr. Efekt działania wirusa jest taki, że po starcie systemu pojawia się okienko (link poniżej)

Po zamknięciu okna, w katalogu (profilu) danego użytkownika np C:\Documments and Settingd\Administrator\Searched\

tworzą siętysiące plików z rozszerzeniem AVI. Prawdopodobnie będą się tworzyły do momentu zapisania całego wolnego miejsca na dysku. Każdy plik ma wielkość 45KB. Poniżej link do logu z Hijacka.

http://www.wklej.org/id/30889/

Bardzo proszę o pomoc. Osobę która zachce udzielić mi pomocy, proszę o info na priv s1108@tlen.pl

Z góry dziękuję i pozdrawiam.

K.P. s1108


(Michaelp128) #2

Fix w HijackThis. Instrukcja :arrow: viewtopic.php?f=16&t=36654

Wykonaj optymalizację autostartu :arrow: http://helpc.eu/viewtopic.php?f=25&t=233

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Następnie daj raport na forum.

Lub użyj Dr.WEB CureIt!

Potem zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html Uruchom pełne skanowanie jeżeli coś znajdzie, to usuń Następnie daj loga na forum.


(huber2t) #3

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(S1108) #4

Witam ponownie. Niestety pierwsza odpowiedź nie pomogła. Dodam jeszcze że próbowałem usunąć to coś reanimatorem, ponieważ podejrzewałem zainfekowany plik systemowy csrss.exe. Okazało się nie to. Dodam jeszcze że mam zainstalowany darmowy program antywirusowy AVIRA. AVIRA wykrywa mi EXP/ASF.GetCodec.Gen. Przeczytałem że można to usunąć SUPERANTISPYWARE, lecz zanim sięgnę po to narzędzie chciałbym zasięgnąć porady, żeby nic nie zchrzanić. Zależy mi na utrzymaniu przy życiu tej instalacji. Co do logu z ComboFixa trochę się obawiam, bo uruchomienie programu automatycznie zamyka nieszczęsne okienko o którym pisałem w pierwszym poście i zaczyna się masowa generacja plików. I co będzie pierwsze wygenerowanie loga czy zapchanie dysku. Jeśli ktoś ma jakiś pomysł to proszę o pomoc.

Jeszcze jedno prawdopodobnie reanimator coś zainstalował bo tuż przed pojawieniem się okna logowania pojawia się na ułamek sekundy jakiś napis którego nie zdążam przeczytać. W dodatku blokuje mi to coś konsolę (brak możliwości wykonania RunCMD) albo uruchomienie REGEDIT, nie mówiąc już o menadżerze urządzeń.

Pozdrawiam

s1108 K.P.


(huber2t) #5

To jest normalne w działani Combofix

Pobierz i uruchom Malwarebytes' Anti-Malware

Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczyna się skanowanie, usuwamy to co znajdzie.


(S1108) #6

Witam ponownie.

Uwziąłem się na to coś i nie daję za wygraną, format i reinstall to ostateczność. Udało mi się złapać coś takiego:

Prblem tylko z przeczesaniem rejestru. Nie wiem gdzie to coś się schowało. Uruchamia się na ułamek sekundy i potem znika. Udało mi się za którymś razem uruchomić menadżera zadań i wciśnąć print screena. Może ktoś się spotkał z czymś podobnym.

Przeskanowałem w trybie awaryjnym i MalwerByte i SuperAntiSpyWare i kicha.

Z góry dziękuję za odpowiedź.

Pozdrawiam i WESOŁYCH ŚWIĄT (bez wirusów)

s1108 K.P. :smiley:


(S1108) #7

No i grunt to się nie poddawać. Udało mi się wywalić to g*^%$. Dziwne tylko że żaden antywirus tego nie wykrył. Żmudną metodą kolejnych włączeń i wyłączeń, śledzenia krok po kroku odkryłem że w rejestrze \HKLM\Software\Microsoft\Windows\Current_Version\Run utworzył się wpis nview.exe z podpisem NVIDIA. Jako że mam Radeona 9550 ze sterownikami detonator (NVIDIA) więc mnie to zmyliło. Przypadek zrządził że zwróciłem na ten proces uwagę, udało mi się go wyrzucić i szystko gra. Zainfekowany syf utworzył się i był uruchamiany z katalogu (profilu) użytkownika \Documents and Settings.

Wątek mógłbym zamknąć ale nie wiem jak :? #-o

Pozdrawiam i jeszcze raz !!