Problem z usunieciem trojana Win32/Morte!dot i Win32/morte.M


(Hubertwodz) #1

Witam, szukam pomocy w usunięciu trojanów z komputera. Avast znalazł je jako Win32/Morte!dot , a Malwarebytes Anti-Malware jako Win32/Morte.M . Programy te znajdywały zagrożenie, usuwały, ale przy kolejnym skanowaniu znowu je znajdywały. (wg. Avast-a lokalizacja: Offline Web Pages, plik M13332.plg choć nic takiego w tym folderze nie było).

Po przeskanowaniu komputera w trybie awaryjnym, z wyłączonym przywracaniem systemu, pliki te nie są już znajdowane, ale Avast blokuje co jakieś pół godziny dostęp do strony http://d.jfrmt.info/20.z uruchamiany przez C:\WINDOWS\System32\svchost.exe.

Logi z OTL:

http://wklej.org/id/741343/

http://wklej.org/id/741344/


(Spandau) #2

Masz rootkita. Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz opcje Skip i zaprezentuj raport na forum


(Hubertwodz) #3

Dwa zagrożenia zostały znalezione:

http://wklej.org/id/741367/


(Spandau) #4

Uruchom ponownie Kasperskiego jak znajdzie

Wybierasz opcje Cure

Jak znajdzie

Wybierasz Skip

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Villy) #5

mam pytanko, jak to mozliwe ze pliki infekcji mają podpis cyfrowy microsoftu ?


(Hubertwodz) #6

Log z usuwania:

http://wklej.org/id/741391/

i z ponownego skanowania:

http://wklej.org/id/741402/


(Spandau) #7

Tutaj prawdopodobnie jest Twój robak Morto

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum


(Hubertwodz) #8

Prosze o to log:

http://wklej.org/id/741428/


(Spandau) #9

Wykonaj sobie kopię rejestru, gdyby coś poszło nie tak przywrócisz

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Hubertwodz) #10

Log z usuwania:

http://wklej.org/id/741501/

i powtórnego skanowania:

http://wklej.org/id/741506/


(Spandau) #11

Usuń z dysku przez Shift+ Del dwa foldery

Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte ... 13117.html Jak program coś wykryje proszę nic nie usuwać tylko pokaż raport z wykrytych infekcji.

Po tym podam kolejne kroki.


(Hubertwodz) #12

w ramach uzupełnienia informacji-podczas skanowania komputera wyświetliło sie niebieskie tlo z napisami, których jednak nie zdążyłem przeczytać, komputer się zrestartował, no i cóż - skanuję ponownie


(Spandau) #13

Jeśli się to powtórzy to przerwij skan i napisz.


(Hubertwodz) #14

Niestety podczas każdej kolejnej próby przeskanowania program MAlwarebytes się zawieszał i skanowanie się zatrzymywało, po przeskanowaniu programem Avast został znaleziony plik C:\Windows\offline web pages\m15053.plg i oczywiście usunięty, dodatkowo pojawia sie komunikat, ze czesci plikow nie mozna bylo przeskanowac(archiwum jest zabezpieczone hasłem), ale za to znowu co pol godziny włącza się ostrzeżenie Avast że zablokował złośliwą stronę włączaną przez C:\WINDOWS\System32\svchost.exe. Malwarebytes teraz nie znajduje zagrożenia. Czy włączone przywracanie systemu może powodować problemy z usunięciem zarażonych plików?


(Spandau) #15

Dobrze nie skanuj więcej Malwarebytes wykonaj jeszcze pełny skan Dr.WEB CureIt! Jeśli także się zawiesi nie powtarzaj skanu.

To jest OK

Zawsze możesz zresetować punkty przywracania systemu. Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum


(Hubertwodz) #16

Log:

http://wklej.org/id/742705/

Program Dr. Web Curelt! znalazl 4 zagrożenia:

C:\Documents And Settings\AllUsers\Application Data\Skype \Plugins\Plugins\7B5560BB781B40259A06350E9B643b6E\rLLauncher.exe

trojan RKRoor.origin

C:\Documents And Settings\Kubus i Ania\Desktop\Otl.exe

trojan Siggen3.60539

C:\Program Files\AMT\Wmainfo.dll

BackDoork.click679

F:\nasze\Hubert\viewtopic.php_pliki\likebox_data


(Spandau) #17

Wklej do notatnika:

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum


(Hubertwodz) #18

Log z usuwania:

http://wklej.org/id/742754/

i z powtórnego skanowania:

http://wklej.org/id/742763/

i z SystemLook:

http://wklej.org/id/742768/


(Spandau) #19

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer.

Spróbuj teraz wykonać pełne skanowanie Malwarebytes.


(Hubertwodz) #20

http://wklej.org/id/742871/