Psw.sboy.a - problem z trojanem


(Ishikura) #1

Witam serdecznie

Mam za soba reinstalacje systemu - zrobilem ja raptem 3 dni temu, a juz niestety przyplatal mi sie jakis trojan (psw.sboy.a). Wykryl go skaner online MKS ale nie jest w stanie go usunac.

Znalazl go w D:\WINDOWS\system32\EXPLORER.EXE(1).VIR

Skad on mogl sie tam wziac? Moze z jakichs "instalek"?

Nie wiem czy to cos groznego, ale chociaz nie zauwazylem zadnych niepokojacych zmian, to jednak wolalbym sie go pozbyc.

Bede bardzo wdzieczny za pomoc w jego usunieciu.

Wrzucam log z hijackthis - dla mnie to czarna magia ale pewnie cos da sie w tym dostrzec;)


(jessica) #2

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

To wygląda na infekcję zdysku przenośnego.

Daj log z -->ComboFix

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi


(Ishikura) #3

fix checked z tymi trzema pozycjami zrobiony.

log z combofix http://wklej.org/id/2ff7bdfea5

infekcja z dysku przenosnego? opcje sa 2 - pendrive lub zewnetrzny dysk twardy. Mozna sie z nich jakos pozbyc tego trojana tak by znow nie zainfekowal mi systemu?

dzieki za pomoc:)


(jessica) #4

Z logu ComboFixa wynika, że "Fix checked" nie był zrobiony (lub zrobiony po ComboFixie).

Zobacz w logu Hijacka - jeśli te wpisy są, to je sfiksuj.

Dodatkowo:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2f1147-8930-11dc-89a8-0009dd600126}]


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2f1148-8930-11dc-89a8-0009dd600126}]


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2f1149-8930-11dc-89a8-0009dd600126}]


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2f114a-8930-11dc-89a8-0009dd600126}]


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae2f706a-8929-11dc-b50b-00c09ff79f51}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

Daj nowy log z ComboFixa do kontroli.

EDIT:

Jeśli masz włączonego Rezydenta w Ad-Aware, to go wyłącz na czas dokonywania tych zmian.

jessi


(Ishikura) #5

hm dziwne. Zrobilem fixa ale te dwie ostatnie pozycje faktycznie pojawily sie jeszcze raz. Zrobilem fixa ponownie i chyba jest ok bo juz ich nie ma w logu.

adwatch wylaczony

fix.reg zrobiony i uruchomiony

teraz wyglada to tak: http://wklej.org/id/32afb227a1


(jessica) #6

Wg mnie - jest OK. :slight_smile:

jessi


(Ishikura) #7

dzieki serdeczne!:slight_smile:

przeskanowalem system i faktycznie juz chyba wszystko jest ok.

powiedz mi jeszcze prosze jak sie przed tym obronic w przyszlosci?

uzywam pendriva i dysku zewnetrznego - da sie jakos wykryc na nich tego trojana i go usunac, tak by jednoczesnie nie zadomowil sie znow w systemie?


(jessica) #8

To ciężka sprawa z tym pendrive, bo infekcja kręci się w kółko: dysk - pen - dysk itd.

Można próbować:

Combofix może przeczyścić pendrive jeśli pendrive będzie przestawiony z trybu read only na pełne zapisywanie.

Innym narzędziem czyszczącym jest PRT (Perlovga Removal Tool)

-->http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml

(ale pen też musi być odblokowany do zapisu by to się udało).

jessi


(Ishikura) #9

czyli problem dotyczy tylko pen drivea - a o ten dysk zewnetrzny moge byc spokojny?

a format pen drivea nie wystarczy? pewnie nie;)

moze glupie pytanie ale jak przestawic pena na tryb pelnego zapisu?


(jessica) #10

Pisząc "pendrive" miałam na myśli wszystkie dyski przenośne.

Nie odpowiem Ci na pytanie o to, jak przestawić z jednego trybu na drugi, bo nie używam dysków przenośnych. Domyślam się, że może na obudowie jest jakiś przełącznik?

Format teoretycznie wystarczy, ale w praktyce: wkładasz pen do sformatowania, to infekcja przenosi się automatycznie na dysk twardy. Przy powtórnym użyciu czystego pena infekcja przeniesie się z dysku twardego na pena, i tak w kółko.

jessi


(Ishikura) #11

ok. dzieki. bede kombinowal:)

DZIEKI JESZCZE RAZ!