Problem z usunieciem trojana Win32/Morte!dot i Win32/morte.M

blabluh · 27 Kwiecień 2012 13:10

Witam, szukam pomocy w usunięciu trojanów z komputera. Avast znalazł je jako Win32/Morte!dot , a Malwarebytes Anti-Malware jako Win32/Morte.M . Programy te znajdywały zagrożenie, usuwały, ale przy kolejnym skanowaniu znowu je znajdywały. (wg. Avast-a lokalizacja: Offline Web Pages, plik M13332.plg choć nic takiego w tym folderze nie było).

Po przeskanowaniu komputera w trybie awaryjnym, z wyłączonym przywracaniem systemu, pliki te nie są już znajdowane, ale Avast blokuje co jakieś pół godziny dostęp do strony http://d.jfrmt.info/20.z uruchamiany przez C:\WINDOWS\System32\svchost.exe.

Logi z OTL:

http://wklej.org/id/741343/

http://wklej.org/id/741344/

spandaupol · 27 Kwiecień 2012 13:19

Masz rootkita. Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz opcje Skip i zaprezentuj raport na forum

blabluh · 27 Kwiecień 2012 13:34

Dwa zagrożenia zostały znalezione:

http://wklej.org/id/741367/

spandaupol · 27 Kwiecień 2012 13:44

Uruchom ponownie Kasperskiego jak znajdzie

Wybierasz opcje Cure

Jak znajdzie

Wybierasz Skip

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\xpsec.sys – (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\xcpip.sys – (xcpip) O2 - BHO: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - No CLSID value found. O2 - BHO: (no name) - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. [2012-04-26 19:24:22 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\ezvnjyfd.sys [2012-04-25 23:17:39 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\ssbsrthq.sys [2012-04-25 22:04:28 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\kgtfbjtg.sys [2012-04-25 21:27:01 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\jxujfsaj.sys [2012-04-25 21:08:56 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\xostlyuc.sys [2012-04-25 20:50:35 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\niwgrozq.sys [2012-04-25 20:32:16 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\mdkfntiu.sys [2012-04-25 20:14:10 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\wqbmljgc.sys [2012-04-25 19:56:01 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\fexvklnz.sys [2012-04-25 19:38:07 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\pohdyfcq.sys [2012-04-25 17:41:51 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\harbhnps.sys [2012-04-25 17:06:52 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\qnkkrwzp.sys [2012-04-25 16:37:32 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\swbodjns.sys [2012-04-25 16:19:25 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\hpyxmwsl.sys [2012-04-25 16:01:15 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\spropzpz.sys [2012-04-25 15:43:40 | 000,042,960 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\ipazsxqu.sys [2012-04-24 13:38:11 | 000,042,960 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\cuikjwns.sys [2012-04-24 17:18:30 | 000,042,960 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\System32\drivers\eaqkcmit.sys :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] “3389:TCP” =- “65533:TCP” =- “52344:TCP” =- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “3389:TCP” =- “65533:TCP” =- “52344:TCP” = :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

klopers33 · 27 Kwiecień 2012 14:16

mam pytanko, jak to mozliwe ze pliki infekcji mają podpis cyfrowy microsoftu ?

blabluh · 27 Kwiecień 2012 14:25

Log z usuwania:

http://wklej.org/id/741391/

i z ponownego skanowania:

http://wklej.org/id/741402/

spandaupol · 27 Kwiecień 2012 14:44

Tutaj prawdopodobnie jest Twój robak Morto

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum

blabluh · 27 Kwiecień 2012 14:52

Prosze o to log:

http://wklej.org/id/741428/

spandaupol · 27 Kwiecień 2012 15:41

Wykonaj sobie kopię rejestru, gdyby coś poszło nie tak przywrócisz

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

blabluh · 27 Kwiecień 2012 17:12

Log z usuwania:

http://wklej.org/id/741501/

i powtórnego skanowania:

http://wklej.org/id/741506/

spandaupol · 28 Kwiecień 2012 07:15

Usuń z dysku przez Shift+ Del dwa foldery

Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Jak program coś wykryje proszę nic nie usuwać tylko pokaż raport z wykrytych infekcji.

Po tym podam kolejne kroki.

blabluh · 28 Kwiecień 2012 08:53

w ramach uzupełnienia informacji-podczas skanowania komputera wyświetliło sie niebieskie tlo z napisami, których jednak nie zdążyłem przeczytać, komputer się zrestartował, no i cóż - skanuję ponownie

spandaupol · 28 Kwiecień 2012 08:54

Jeśli się to powtórzy to przerwij skan i napisz.

blabluh · 28 Kwiecień 2012 16:48

Niestety podczas każdej kolejnej próby przeskanowania program MAlwarebytes się zawieszał i skanowanie się zatrzymywało, po przeskanowaniu programem Avast został znaleziony plik C:\Windows\offline web pages\m15053.plg i oczywiście usunięty, dodatkowo pojawia sie komunikat, ze czesci plikow nie mozna bylo przeskanowac(archiwum jest zabezpieczone hasłem), ale za to znowu co pol godziny włącza się ostrzeżenie Avast że zablokował złośliwą stronę włączaną przez C:\WINDOWS\System32\svchost.exe. Malwarebytes teraz nie znajduje zagrożenia. Czy włączone przywracanie systemu może powodować problemy z usunięciem zarażonych plików?

spandaupol · 29 Kwiecień 2012 08:24

Dobrze nie skanuj więcej Malwarebytes wykonaj jeszcze pełny skan Dr.WEB CureIt! Jeśli także się zawiesi nie powtarzaj skanu.

To jest OK

Zawsze możesz zresetować punkty przywracania systemu. Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum

blabluh · 30 Kwiecień 2012 06:22

Log:

http://wklej.org/id/742705/

Program Dr. Web Curelt! znalazl 4 zagrożenia:

C:\Documents And Settings\AllUsers\Application Data\Skype \Plugins\Plugins\7B5560BB781B40259A06350E9B643b6E\rLLauncher.exe

trojan RKRoor.origin

C:\Documents And Settings\Kubus i Ania\Desktop\Otl.exe

trojan Siggen3.60539

C:\Program Files\AMT\Wmainfo.dll

BackDoork.click679

F:\nasze\Hubert\viewtopic.php_pliki\likebox_data

spandaupol · 30 Kwiecień 2012 09:04

Wklej do notatnika:

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum

blabluh · 30 Kwiecień 2012 09:42

Log z usuwania:

http://wklej.org/id/742754/

i z powtórnego skanowania:

http://wklej.org/id/742763/

i z SystemLook:

http://wklej.org/id/742768/

spandaupol · 30 Kwiecień 2012 10:15

Wklej do notatnika

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters] “ServiceDll”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 73,00,65,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4] “Type”=dword:00000020 “Start”=dword:00000002 “ErrorControl”=dword:00000001 “ImagePath”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 “DisplayName”=“IPv6 Helper Service” “DependOnService”=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,74,00,63,00,70,00,\ 69,00,70,00,36,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,00,\ 00 “DependOnGroup”=hex(7):00,00 “ObjectName”=“LocalSystem” “Description”=“Provides DDNS name registration and automatic IPv6 connectivity over an IPv4 network. If this service is stopped, other computers may not be able to reach it by name and the machine will only have IPv6 connectivity if it is connected to a native IPv6 network. If this service is disabled, any other services that explicitly depend on this service will fail to start.” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Config] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Interfaces] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters] “ServiceDll”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 36,00,74,00,6f,00,34,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Security] “Security”=hex:01,00,14,80,e8,00,00,00,f4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,b8,00,08,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,25,02,\ 00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,14,\ 00,40,00,00,00,01,01,00,00,00,00,00,05,13,00,00,00,00,00,14,00,40,00,00,00,\ 01,01,00,00,00,00,00,05,14,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,\ 00,00,05,20,00,00,00,2c,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Spróbuj teraz wykonać pełne skanowanie Malwarebytes.

blabluh · 30 Kwiecień 2012 11:52

http://wklej.org/id/742871/