Problem z trojanem (?)

Dla specjalistów Bezpieczeństwo
#1

Problem: trojan. Nie wiem jaki… Ostatnio AVG określił go jako psw.onlinegames.atno, ale wcześniej pojawiały się jakieś inne nazwy, których niestety nie pamiętam. Objawy: zaczęło się od tego, że Zonealarm i kilka innych programów przy uruchamianiu dawały komunikat “Zły obraz” (co on dokładnie oznacza nie wiem, coś chyba z plikami dll do których się program odwołuje? - mógłby ktoś mnie oświecić?). Avira Antivirus był stale włączony, ale nic nie wykrył… Inne programy i owszem. Łącznie skanowałem kompa ok. 10 różnymi antyvirami. Znajdowały coś w katalogach tymczasowych w documents and settings (np. plik exe ok. 50 - 60 KB).

Ostatnio już myślałem, że jest po problemie, ale AVG, którego teraz używam, obwieścił o infekcji psw.onlinegames.atno.

Próbowałem odpalać Combofix, ale mam z nim wielki problem - zawiesza się na komunikacie mówiącym o tym, że nastąpi restart systemu (coś w stylu “Proszę czekać - restartowanie komputera”), nie pomaga odpalanie w trybie awaryjnym. W C:\QooBox\Quarantine mam podkatalogi:

C\WINDOWS\temp -> plik: Perflib_Perfdata_1cc.dat.vir

C\WINDOWS\system32 -> pliki: MSINET.oca.vir oraz rtl60.bpl.vir

Przeskanowałem te pliki na virustotal.com i nic nie wykryło…

Log z Hijack This:

http://www.wklej.org/hash/146b239353/

Log z Silent Runners:

http://www.wklej.org/hash/04425b0f18/

Log z Gmer - rootkit:

http://www.wklej.org/hash/848a26ebb6/

Ogólnie to jestem załamany, bo nie wiem co dalej robić :confused:

Pewnie mam jakiegoś rootkita, albo jakąś poważną dziurę w oprogramowaniu przez którą to świństwo włazi… Aaa, dodam jeszcze, że zanim odkryłem infekcję miałem jakąś dziwną aktualizację z windows update dotyczącą jakiejś starszej wersji Net Framework… Ta aktualizacja była już dostępna od roku, więc trochę to podejrzane (mam włączone automatyczne aktualizacje).

#2

Zrób wdech …i wydech. zainstaluj eset smart seccurity to bedzie po problemie

#3

Przeskanuj komputer

:arrow: http://www.mks.com.pl/skaner/

i powiedz czy coś ci wykryło.

Pozdrawiam :smiley:

#4

fix w hijackthis

Podaj log z Combofix

#5

Nodem 32 skanowałem i nic nie wykryło.

MKS nic groźnego nie wykrył, jak już mówiłem skanowałem chyba 10 antywirami i było już niby czysto, po czym ochrona rezydenta AVG wykryła psw.onlinegames.atno, potem dalej skanowałem kilkoma antywirami i nic nie znalazło.

Combofix jak już mówiłem zawiesza mi się na “ponowne uruchamianie omputera” i nie generuje mi loga.

Ten wpis w hosts jest w porządku, sam go tam umieściłem.

#6

Pobierz program SDFix

#7

Log z SDFix:

http://www.wklej.org/hash/a17e24293d/

Combofix próbowałem i w trybie awaryjnym i w normalnym ze wszystkimi programami wyłączonymi, niestety jest zwis na komunikacie o restarcie.

#8

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

:slight_smile:

#9

Proszę bardzo oto log z System Rep. Eng.:

http://www.wklej.org/hash/8d2e0c2671/

Dzięki za dotychczasową pomoc =D>

#10

uruchom System Repair Engineer zakładka System Repair >> File Asociation >> zaznacz

>> Repair

System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń

System Repair Engineer zakładka System Repair >> Advanced Repair >> Auto repair

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

potem zrób nowy log System Repair Engineer

:slight_smile:

#11

Jeszcze nie zrobiłem tego powyżej, bo są dwie nowe sprawy:

  1. Coś się stało z rejestrem, nie wiem czy z całym, na razie widzę problemy z listą rzeczy uruchamianych przy starcie systemu - niektóre poznikały, inne są pozamieniane na średnik (;), do innych jest średnik przyklejony na początku ścieżki (; C:\katalog\plik.exe) - http://www.wklej.org/hash/e616955d3f/

Wydaje mi się, że może to być wina System Repair Engineer :confused:

  1. Odpaliłem programik Rootkit Unhooker i widzę, że coś on wykrywa. Daję dwa logi.

http://www.wklej.org/hash/48df3f471e/

Drugi wykonany po restarcie:

http://www.wklej.org/hash/ab5af5f9aa/

Na pierwszym widać coś takiego jak spnj.sys, na drugim spfg.sys. Hmmmm…

#12

zrób to co podałem plik reg właśnie miał usunąć te wpisy ze startu

System Repair Engineer generuje jedynie log sam nie robi żadnych zmian więc to nie jego wina

tu jeszcze nie był stosowany Sreng więc nie szukaj w nim przyczyn

:slight_smile:

#13

niby nie, ale jakby po jego uruchomieniu zrobił się ten syf… dziwną sprawą jest też, że zaktualizowało mi go do wersji 2.6.12.1018, w sytuacji gdy najnowszą stabilną wersją jest 2.6.12.1017.

Nowy log SRE:

http://www.wklej.org/hash/3e8cc3dccc/

#14

tu nie ma nic dziwnego najnowsza wersja to 2.6.12.1018 http://www.kztechs.com/eng/download.html

uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń

System Repair Engineer zakładka Boot Items >> Services >>Win32 Services, Drivers >> odszukaj i usuń

System Repair Engineer zakładka System Repair >> Advanced Repair >> Scan API Hook

System Repair Engineer zakładka System Repair >> Advanced Repair >> Auto Repair

potem nowy log Srenga

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

lub

Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5

:slight_smile:

#15

Log SRE: http://www.wklej.org/hash/4e0fce25ba/

Dr.WEB CureIt! nie pokazuje nic podejrzanego.

#16

log OK

:slight_smile: