Rootkity i trojany inwazja, np. explore.exe, EXPLORER.EXE


(Czef) #1

Witam Serdecznie!

Ostatnimi czasy avast zaczął wyrzucać mi alerty o trojan ach oraz rootkit ach, po usuwaniu odnawiały się one pod postacią innej nazwy na każdej przeglądanej partycji. Starałem się zwalczyć to dziadostwo za pomocą dr.WebCureIt! ale pojawiają się coraz to nowe rootkity i trojany, pliki które wyrzucił jako ostatnie avast to: explore.exe (brak r na końcu to nie pomyłka) oraz EXPLORER.EXE , co gorsza boję się, że przez dysk zewnetrzny przeniosłem te robaczki na drugi komputer , serdecznie proszę o pomoc i z góry bardzo dziękuję


(Henio Mazurek) #2

Wklej logi z wymienionych niżej narzędzi:

1. OTL, uruchom program i pod Custom Scans/Fixes wklej

Następnie przestaw Processes i Modules na All, zaznaczasz Lop Check i Purity Check , kliknij Run Scan , wklej log który powstanie ( OTL.txt ) + log Extras.txt który powstanie jako drugi.

2. GMER, zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz.

UWAGA Przed uruchomieniem GMER'a odinstaluj (jesli posiadasz) wszelkie programy montujące napędy wirtualne typu Alcohol , Daemon Tools , StarBurn itp, następnie usuń za pomocą SPTDinst sterownik SPTD (uruchamiasz program, jeśli wyżej wymieniony sterownik zostanie wykryty pojawi się opcja Uninstall którą wybierasz, potem OK => restart komputera).

3. System Repair Engineer, instrukcja w linku.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.


(Czef) #3

1)

OTL.Txt: http://www.wklejto.pl/49482

Extras.Txt: http://www.wklejto.pl/49483

2)

http://www.wklejto.pl/49502

3)

http://wklejto.pl/49503

-- Dodane 07.12.2009 (Pn) 22:47 --

okej wszystko zrobiłem tak jak kazałeś :slight_smile: co teraz ?:slight_smile:


(Henio Mazurek) #4

Log z OTL jest ucięty. Popraw.


(Czef) #5

Nie no teraz to już w ogóle miałem niespodzianke, chciałem dać ponownie logi z OTL, zawiesił mi się komp, zrobiłem reset, nie można było go włączyć w żadnym trybie awaryjnym, przywracanie też nie działało, za każdą próbą uruchomienia Windowsa wyskakiwał niebieski ekran z jakimiś błędami. Zrobiłem format, postawiłem winde od nowa, przy pierwszym skanowaniu avastem podczas uruchamiania kompa wyskoczyły dwa trojany z podlaczonego dysku zewnetrznego w takich nazwach:

A0010457.exe -> Win32:Rootkit-gen [Rtk]

A0010458.exe -> Win32:Detnat-AX [Wrm]

Avast niby skasował te pliki ale myśle, że rootkit coś namodził, komp mi zamula.

Teraz to mam już mega problem i nie wiem co zrobić, bo po

1) chce oczyścić dysk zewnętrzny z całego zła jakie może posiadać w sobie, ale nie robić formatowania

2) komputer (stacjonarny) ten na którym teraz działam - przy ktorym musialem robić format

3) laptop pod ktory dysk zewnętrzny też był podłączany więc pewnie został także zainfekowany

Wiem, że to troche pomieszane, ale naprawde będę wdzięczny za wskazówki co mogę zrobić żeby wydostać się z tego bajzlu :frowning:

na początek intuicyjnie daję logi z kompa stacjonarnego, bez podłączania dysku zewnętrznego

OTL.Txt -> http://www.wklejto.pl/49666

Extras.Txt -> http://www.wklejto.pl/49667

GMER -> http://www.wklejto.pl/49669

-- Dodane 09.12.2009 (Śr) 13:04 --

SREngLOG -> http://www.wklejto.pl/49671


(Henio Mazurek) #6

Nic w tych logach nie widać.

Przeskanuj się Dr.WEB CureIt i pokaż raport.

Zastosuj na obu kompach FlashDisinfector.

Potem wklej log z drugiego komputera.


(Czef) #7

a co zrobić z dyskiem zewnętrznym? bo myślę że on jest sprawcą całego zamieszania, [btw. format na pewno nie wchodzi w grę]

z drugiego kompa mam dać logi z tych trzech programow co wczesniej czy z drweb antyvir ??


(Henio Mazurek) #8

Jeśli użyłeś FlashDisinfector na kompie to podłącz ten dysk. Na razie nie dawaj logów z drugiego kompa, wyczyścimy dysk zewnętrzny.

W OTL wklej

Za X podstaw literę pod jaką jest widoczny ten dysk, kliknij Run Scan


(Czef) #9

logi dla dysku zewnętrznego:

otl http://www.wklejto.pl/49912

otl extras http://www.wklejto.pl/49913


(Henio Mazurek) #10

Wygląda na to, że dysk zewnętrzny jest czysty. Jeśli masz na nim foldery typu RECYCLER , RECYCLED (lub inne imitacje kosza), SYSTEM , RESTORE i nie tworzyłeś ich sam - skasuj.

Pokaż logi z drugiego komputera. Robisz je tak jak napisałem w moim pierwszym poście w tym temacie.


(Czef) #11

z laptopa (drugiego kompa)

otl http://www.wklejto.pl/49999

otl extras http://www.wklejto.pl/50000

-- Dodane 12.12.2009 (So) 13:43 --

gmer http://www.wklejto.pl/50004

sre http://www.wklejto.pl/50006

Nie wkleiłem dotąd jeszcze loga z doctorweb ze skanowania na kompie pierwszym (stacjonarnym) z podłączonym dyskiem zewnętrznym bo ten log zajmuje prawie 17 mb i wklejto.pl wariuje mi i są wciąż błędy, jak możemy to rozwikłać ? wrzucic plik na jakiś serwer?


(Katalonczyk97) #12

spróbuj na wklej.org jeżeli tam też nie wejdzie to upload na speedyshare albo hotfile


(Czef) #13

i jak myślisz Ciemnowidz , widać jakieś problemy w tych logach z drugiego kompa?

pozdrawiam


(Henio Mazurek) #14

Tutaj też nic takiego nie ma. Jak sytuacja?

Pokaż jeszcze log z AVZ

Klikasz avzupd.gif

Zaznaczasz do skanu wszystkie partycje, potem File = Standard scripts = zaznaczasz opcję 2 = klikasz Execute selected scripts = po zakończeniu skanu klikasz upd.gif


(Czef) #15

Sytuacja z dwoch kompów, że tak powiem w porządku, od czasu wzmożonych poszukiwań problemu avast przestał wyskakiwać z alertami, a na laptopie zmieniłem go na noda i też nic nie pokazuje. Poza tym nie ma już zawiech i problemów z użytkowaniem obydwóch kompów.

Btw. Znalazłem na necie temat o samoobronie przed różnym badziewiem które może odpalać się przez autorun zazwyczaj przy pamięciach flash dyskach zewn itd. Panda USB Vaccine, co o tym myślicie?

zaraz wrzuce loga z obydwoch kompów z AVZ,

jeżeli dojdziemy do zamknięcia mojego problemu/tematu , co polecilibyście na ochrone przed tym aby mój dysk zewnetrzny był bezpieczny na tyle na ile to mozliwe i żebym znów nie miał takich cyrków jakie miały miejsce? :slight_smile:

z góry jeszcze raz wieelka dziękówka za całą pomoc!!

-- Dodane 16.12.2009 (Śr) 20:37 --

AVZ log z kompa stacjonarnego: http://www.wklejto.pl/50474

-- Dodane 16.12.2009 (Śr) 20:54 --

AVZ log z laptopa http://www.wklejto.pl/50476