Problem z usunięciem trojana" Worm Downloader.GEN"


(Klemensk) #1

Proszę o sprawdzenie loga. Miesiąc temu "Spyware Doctor" wykrył obecność infekcji "Trojan Dropper Agent". Lokalizacja - System 32 explorer. Nie był w stanie go usunąć. Inne programy "Awast","Kaspersky" itp. nic niepokojącego nie odnotowały. Po tygodniu system się rozsypał. Została uszkodzona pamięć RAM i zniszczona struktura logiczna dysków. Nie wiem czy obecność tego trojana mogła na to wpłynąć. Sformatowałem dyski i po pierwszej aktualizacji systemu "Wista 64 bit" skanowanie programem "Spyware Doctor" wykazało obecność infekcji "AdRotator (Backdoor.Agent.bg)- koń trojański..Lokalizacja- system32 bitsprx.4.dll. "Backdoor.Rbot.Gen. Lokalizacja - system 32wininit.exe. Po uruchomieniu explorera na nowo pojawił się trojan..Dropper Agent".Nadal nie byłem w stanie go usunąć. Od kilku dni "Spyware Doctor" zamiast "Droppera" wskazuje obecność trojana "Worm Downloader.GEN. Lokalizacja - system 32 explorer. Mam zainstalowany program "adware' - DAP. Pierwsze skanowanie wykonałem przed jego zainstalowaniem. Właściwie to nic niepokojącego teraz się nie dzieje, raz tylko mocno spowolnił system, wczoraj explorer. Może ktoś będzie mi w stanie powiedzieć czy jest to błąd programu "Spyware Doctor",czy może jednak coś innego. Z góry dziękuję.

Log z HijackThis http://wklej.org/id/7d56e6ce54


(Yole) #2

możesz odhaczyć to . potem w trybie awaryjnym przeskanuj AD-Aware

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)


(Klemensk) #3

Niestety usunięcie tych wpisów i przeskanowanie w trybie awaryjnym nic nie dało. Nadal pojawia się komunikat o istnieniu trojana "Worm Downloader.Gen". Poza tym sprawdzałem logi osób posiadających Wistę i dokładnie te wpisy / adresy html / znajdują się u wszystkich.


(huber2t) #4

Pokaż jeszcze raz log z Hijackthis


(Klemensk) #5

Nowy log http://wklej.org/id/f43ac7c0da

Zaznaczonych wpisów nie udało się usunąć. "Doctor Spyware" informuje o istnieniu trojana "Trojan Dropper Agent". Nadal nie jest w stanie go usunąć.


(huber2t) #6

Hijackthis jest 32 bitowy i dobrze nie rozpoznaje 64 bitow i dlatego w wiekszosci wpisów masz file missing

Pokaż log z Combofix


(Klemensk) #7

Przy instalowaniu programu "Combo Fix" wyświetla się tylko komunikat "Incompatible OS. Combo Fix only works Windows 2000 and XP"

Nowy log z "Silent Runners" http://wklej.org/id/465913e1dd


(Leon$) #8

Jeśli twój system jest 64b to Combo nie zadziała

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

:slight_smile:


(Klemensk) #9

Wykonałem optymalizację programów startowych.

Kaspersky Online Scanner -raport

Raport został zapisany w plikach tymczasowych, dlatego podaję tylko dane zainfekowanych

obiektów.

E: /Dr.Spyware/sd4start.exe/file48 - zainfekowany - not-a-virus:Monitor.Win32.

Keylogger.dq

E: /Dr.Spyware/sd4start - zainfekowany/ 1 infekcja

Obiekty zostały pominięte - ponieważ znajdują się wewnątrz pliku złożonego.

Po usunięciu programu kolejne skanowanie nie wykazało infekcji.

Dr.Spyware nadal informuje o istnieniu trojana

Trojan-Dropper.Agent (Trojan-Dropper.Win32.Agent.bxm

Trojan-Dropper.Win32.Agent.bfr [Kaspersky]

Trojan.Sentinel [DrWeb]

Win32/Tesllar.A [eTrust])

Typ: Koń trojański

Lokalizacja - Files>Explorer

Poziom zagrożenia: Wysokie

Opis: Trojan-Dropper.Agent attempts to drop a malicious file and run it on the compromised computer.

Zalecenie: Usuń

Może ten program niewłaściwie odczytuje jakieś wpisy rejestru ?


(Leon$) #10

dla tego pisze pominięte że Kasperski online nie usuwa zarażonych plików jedynie je lokalizuje

usunąć trzeba samemu ręcznie

może to fałszywy alarm

:slight_smile:


(Klemensk) #11

Może to fałszywy alarm, zwłaszcza że nowa wersja Dr.Spyware nie obsługuje Wisty 64bit. Zainstalowana przeze mnie to jakaś wcześniejsza wersja.

Bardzo dziękuję wszystkim /pow3r_shell, huber2t, LeonS /za pomoc.


(Gutek) #12

OT-y KOSZ :evil: