Proszę o pomoc w usunięciu Trojan:Win32/Alureon.CT + Trojan:


(Robertox23x) #1

Witam.

System : Windows 7

Windows Defender wyrzuca mi :

"Kategoria:

Koń trojański Trojan:Win32/Alureon.gen!U

Opis:

Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.

Porada:

Usuń niezwłocznie to oprogramowanie.

Zasoby:

file:

globalroot\Device\Ide\IdePort5\xfrdedki\xfrdedki\tdlwsp.dll

Wyświetl więcej informacji o tym elemencie w trybie online."

Moje próby walki :

Ad adware (nic)

Kaspersky full scan (nic)

Windows care scaner (nic)

TrojanRemoverv6.8.1Build2591 (nic)

Trojan.Hunter.5.2.Build.988 (nic)

Raport Kaspersky :

Stan: Usunięto (zdarzenia: 2)

2009-10-22 15:59:08 Usunięto wirus Rootkit.Win32.TDSS.u C:\Windows\System32\drivers\atapi.sys

2009-10-22 11:42:11 Usunięto wirus Rootkit.Win32.TDSS.u C:\Windows\System32\drivers\atapi.sys

Stan: Zagrożenie (zdarzenia: 2)

2009-10-22 21:18:00 Zagrożenie legalne oprogramowanie może zostać wykorzystane przez cyberprzestępców do uszkodzenia komputera i prywatnych danych PDM.Suspicious driver installation E:\RAPIDSHARE DOWNLOADS\5PGCOKPX.EXE

2009-10-22 17:22:22 Zagrożenie legalne oprogramowanie może zostać wykorzystane przez cyberprzestępców do uszkodzenia komputera i prywatnych danych PDM.Suspicious driver installation C:\PROGRAM FILES\TROJAN REMOVER\RMVTRJAN.EXE

Stan: Nie odnaleziono (zdarzenia: 1)

2009-10-22 17:19:52 Nie odnaleziono wirus Rootkit.Win32.TDSS.u C:\Windows\System32\drivers\atapi.sys

Logi :

Extras.txt

http://wklej.org/id/183240/

Otl.txt

http://wklej.org/id/183241/

Gmer

http://wklej.org/id/183243/

Log z Hjack

http://wklej.org/id/183565/

Proszę o pomoc w usunięciu tych 2 trojanów Trojan:Win32/Alureon.CT + Trojan:Win32/Alureon.gen!U. Windows defender wyrzuca mi je - niby usuwa ale za chwile po kilku minutach znowu krzyczy....


(jessica) #2

Logi są czyste.

Po przyjrzeniu się bliżej temu Trojanowi (http://translate.google.com/translate?hl=pl&sl=en&u=http://www.microsoft.com/security/portal/Entry.aspx%3Fname%3DTrojan:Win32/Alureon.gen!U&ei=tDviStu4GpGO_Abv76iFAg&sa=X&oi=translate&ct=result&resnum=1&ved=0CAYQ7gEwAA&prev=/search%3Fq%3DWin32/Alureon%2Bis%2Ba%2Bfamily%2Bof%2Bdata-stealing%2Btrojans.%2BThese%2Btrojans%2Ballow%2Ban%2Battacker%2Bto%2Bintercept%2Bincoming%26hl%3Dpl%26client%3Dopera%26rls%3Dpl%26hs%3DXK9 dochodzę do wniosku, że tego się nie da usunąć "ręcznymi" metodami, (no, chyba że użytkownik jest informatykiem).

Użyj MBAM >http://www.dobreprogramy.pl/Szukaj.html?Malwarebytes+Anti-Malware

Być może potem potrzebna będzie podmiana tego pliku na prawidłowy, z płytki instalacyjnej.

jessi


(deFco247) #3

Ostatnimi czasy często wykrywana jest ta "szkodliwa" modyfikacja.

Combofix przy tym listuje mniej więcej taki humorystyczny tekścik:

Prawdopodobną przyczyną takiego stanu rzeczy jest program pokroju Alcohol lub Daemon Tools, który modyfikuje ten sterownik.


(Kefir001) #4

Miałem ten sam problem. Nie mogłem pozbyć się tdlwsp.dll.

Za każdem razem gdy mój Avast usunął plik po pewnym czasie pojawiał się od nowa i wszczynał alarm co było troszkę irytujące.

Ja rozwiązałem to w ten sposób:

Po usunięciu programem antywirusowym tdlwsp.dll stworzyłem pusty plik tekstowy w tym samym miejscu i zmieniłem jego nazwę na tdlwsp.dll

Od tego czasu miałem spokój i alarmy przestały się pojawiać.


(Henio Mazurek) #5

No właśnie. Atapi może być modyfikowany przez narzędzia do wirtualizacji. Ale ostatnio GMER opisał nową wersję rootkita TDSS, który korzysta z atapi.sys. Objawy + listowanie globalroot\Device\Ide\IdePort5\xfrdedki\xfrdedki\tdlwsp.dll wskazują na niego. Sterownik pod Windows jest maskowany i czysty, można go skopiować jako backup

Start => uruchom => cmd, wpisz

Następnie w konsoli odzyskiwania wpisz

Teoretycznie pliki powinny się różnić.

Pobierz SystemLook i wpisz

Kliknij Look i pokaż log.