PSW.VB.KU - ciągle wraca po usunięciu


(Tomeklaga) #1

Witam, mam taki mały problem, mój antyvir wykrył trojana PSW.VB.KU który siedzi w c:/windows/iexplorer.exe i tworzy swoje kopie w doc and settings - temporaty internet files... i za kazdym razem jak antyvir go "wyleczy"(usunie ten plik) to po jakims czasie on sie tworzy na nowo

Log z HijackThis:

Log z Combfix:


(jessica) #2

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij OTMoveIt

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:**** _OTMoveIt (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Ponieważ pliki "re1.exe", "it.exe", "ne1.exe", zmieniają co chwila swoje nazwy, więc jeszcze użyj SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Daj też nowe logi z Hijacka i ComboFixa.

jessi


(Tomeklaga) #3

Zrobiłem wszystko według poleceń, w OTMoveIt nie żądało restarta więc może coś nie zadziałało :confused:

Report z SDFix:

HijackThis Log:

Combofix:


(jessica) #4

Po użyciu OTMoveIt trzeba samemu zrestartować komputer.

Ale to i tak zostało usunięte.

Chyba z jednym wyjątkiem:

Ten wpis dalej jest w Hijacku, choć plik był usunięty.

Teraz nie wiem, czy infekcja powróciła, czy to tylko pusty wpis, bo w logu ComboFixa, tego wpisu nie widać, a widać, że plik jest usunięty.

W każdym razie - zrobimy powtórkę:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem użyj ComboFixa, bo widzę, że potrafi to usuwać.

I daj nowe logi.

jessi


(Tomeklaga) #5

Ok teraz mamy tak:

Combofix:

HijackThis:

no i jak widać ten plik ciągle pojawia się na nowo, a oprócz tego w

C:\Documents and Settings\Łaga\Ustawienia lokalne\Temporary Internet Files co chwila pojawiają sie te same pliki iexplorer.exe i to po pare... nie wiem skad to sie bierze... co dalej?

Złączono Posta : 11.09.2007 (Wto) 18:27

Popatrz na to, kiedy pojawił się na nowo to zrobiłem samego Combofixa bez Hijacka i combo go wykrył:

no i w momencie kiedy włączyłem firefoxa to plik na nowo pojawił się w windows\iexplorer.exe oraz w temporary internet files... wiec on sie odnawia kiedy uruchamiam przeglądarke... to co mam usunąć firefoxa? przeinstalować czy jak?


(jessica) #6

Tak - czarno to widzę, chyba trzeba będzie sformatować dysk.

Na razie:

1) Opróżnij całkowicie folder "Temporary Internet Files".

2) Ściągnij -->GMER.

3) Otwórz Notatnik i wklej do niego:

Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT

( np. na C:\ )

4) Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny. Komputer się zresetuje i uruchomi się Gmer.

Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).

5) Potem zrób log z GMERa na ustawieniu:

>>>Rootkit>>zaznacz tylko "Usługi" i "Pokaż wszystko">>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś).

Log wklej na http://wklej.org/, a w poście daj tylko link.

6) Daj też nowy log z Hijacka, oczywiście po sfiksowaniu tego wpisu "O4".

jessi


(Tomeklaga) #7

w Gmerze wyskoczyło że nie można usunąć tego pliku...

ale nie wiesz dlaczego ten plik powraca za każdym razem po odpaleniu firefoxa? musi być jakiś sposób poza formatem, pozatym ten plik właściwie nic nie robi tylko jest, a format byłby dla mnie w tej chwili katastrofą...


(Leon$) #8

A masz wyłączone przywracanie systemu na wszystkich dyskach?jak nie to wyłącz

przeleć to Combo

otwórz notatnik wklej

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Explorer"=-

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

:slight_smile:


(Tomeklaga) #9

Zrobiłem tak jak napisałeś:

  • wyłączyłem przywracanie systemu...

  • przeleciałem to combo, który usunął plik iexplorer.exe

  • stworzyłem plik.reg z tym kluczem i dodałem go do rejestru

  • restart kompa

i po odpaleniu mozilli firefox, iexplorer.exe znowu się pojawił więc bezkutecznie...

do czego wogóle owy wpis do rejestru służy?


(Leon$) #10

Czy po włączeniu Internet Explorera też powraca ten wpis czy tylko przy Mozilli?

:slight_smile:


(Tomeklaga) #11

tylko przy mozilli


(jessica) #12

A może wystarczy usunąć Mozillę i potem od nowa zainstalować?

jessi


(Tomeklaga) #13

tego próbowałem już wcześniej, ale po ponownym zainstalowaniu i odpaleniu plik wraca... ciekawe


(jessica) #14

W takim razie wywal całkiem Mozillę, a zainstaluj np. Operę.

Być może Twoja Mozilla pochodziła z niesprawdzonego źródła i była zarażona.

jessi


(Tomeklaga) #15
  1. Nie chce innej przeglądarki

  2. Korzystam z niej od 4 miesięcy a problem pojawił się pare dni temu, więc to nie mozilla była zarażona tylko jakiś plik się pod nią "podczepił" i napewno można się tego jakoś pozbyć...


(Leon$) #16

Czy po odinstalowaniu usuwałeś coś z profili i czyściłeś rejestr?

Jeśli nie to spróbuj jeszcze raz odinstalować

Pobierz instalkę FF

Pobierz i zainstaluj CCleaner 2.00.500 http://www.filehippo.com/download_ccleaner/

Cleaner - uruchom - wyczyści co niepotrzebne

Rejestr - skanuj by znaleźć problemy - usunie błędne lub puste wpisy w rejestrze

Odinstaluj FF

Opcje folderów >> Widok >> Wyczyść pola przy ukryj chronione pliki systemu >> zaznacz pokaż ukryte pliki i foldery >> zatwierdź

Wejdź do profili

C:\Documents and Settings\?????\Dane aplikacji\ Mozilla - usuń

Przeskanuj CCleanerem

Wywal Combofixem ten nieszczęsny plik C:\WINDOWS\ iexplorer.exe

Dopiero później zainstaluj na nowo FF

:slight_smile:


(Tomeklaga) #17

no i pozamiatane :smiley: zrobiłem tak jak napisałeś i póki co plik nie powrócił :slight_smile:

dzięki wszystkim za pomoc...