Syf typu Trojan Downloader, Alman

system · 21 Czerwiec 2008 20:34

jessica · 22 Czerwiec 2008 07:35

@ Barnaba - to nie jest jedno narzędzie, lecz …kilkadziesiąt różnych narzędzi, więc chyba trzeba było wskazać, króre z nich konkretnie ma wybrać. No bo używanie wszystkich po kolei zajmie ok. 3 tygodni.

Być może miałeś na myśli tylko użycie “Win32/Alman”? Tego nie wiem.

jessi

system · 22 Czerwiec 2008 12:25

Miałem otwarte dwie zakładki AVG i podałem przez pomyłkę błędny link. Oczywiście chodziło o użycie Win32/Alman.

Link poprawiony.

Miver · 22 Czerwiec 2008 19:26

alman poszedł w …

teraz męczy mnie już tylko Trojan-Downloader.Win32.Murlo.nnURL: http://root.51113.com/root.gif….

nie mam pojęcia gdzie to może siedzieć

jessica · 22 Czerwiec 2008 20:06

Najprawdopodobniej w folderze “Temporary Internet Files”.

Wklej do Notatnika :

Folder::

C:\WINDOWS\Temp

C:\Documents and Settings\Miver\Ustawienia lokalne\Dane aplikacji\TEMP

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files

C:\Documents and Settings\Miver\Ustawienia lokalne\Temp

C:\Documents and Settings\Miver\Ustawienia lokalne\Temporary Internet Files

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log).

Po restarcie usuń ręcznie folder C:** Qoobox**.

jessi

Miver · 5 Lipiec 2008 00:04

http://wklej.org/id/052c3249fe

Gutek · 5 Lipiec 2008 00:11

Wklej do Notatnika:

File::

C:\mt201.exe


DirLook::

C:\ckis


Driver::

Apache2.2

GPU-Z

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

jessica · 5 Lipiec 2008 06:46

@ Gutek2222 - chyba zmyliły Cię daty instalacji tych plików.

Ta nowa, nieusuwalna na stałe, infekcja charakteryzuje się tym, że jej pliki mają poprzestawiane daty instalacji, najczęsciej na 2004, 2002, 2001, 2000r.

Wirus tak robi, by zmylić sprawdzających logi.

Jak widać, infekcja znów się odrodziła. Nawet “Kaspersky” tu nie pomógł.

@ Miver :

Te powyższe pliki dopisz do Scriptu pod:

File::

Daj dodatkowo log z “System Repair Engineer”.

jessi

Gutek · 5 Lipiec 2008 08:04

jessica bardziej godzina

Czyli zrób tak:

Wklej do Notatnika:

File::

C:\mt201.exe

C:\WINDOWS\system32\dtzfajke.sys 

C:\WINDOWS\system32\igxyaloe.sys 

C:\WINDOWS\system32\iujraler.sys 

C:\WINDOWS\system32\rnmxajkl.sys 

C:\WINDOWS\system32\smdsbsrv.sys


DirLook::

C:\ckis


Driver::

Apache2.2

GPU-Z

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo + Daj dodatkowo log z “System Repair Engineer”.

Miver · 5 Lipiec 2008 09:40

http://wklej.org/id/eddc2dff04

C:\mt201.exe usunąłem ręcznie już przed ComboFix - jest to Memtest, który przypadkiem wylądował w tym miejscu

Qoobox wyczyszczony.

Zabieram się za te pliki, które podała jessica, za chwilę dam logi.

W dniu 05.07.2008 , o godzinie 11:40 został dopisany post przez Miver

http://wklej.org/id/0d41f99282 (nie było restartu)

Qoobox wyczyszczony.

Nowy ComboFix (po prostu kliknąłem w ikonkę, nie przeciągałem CFScript.txt): http://wklej.org/id/82cf60fc78

System Repair Engineer: http://wklej.org/id/0ef53a3fc2

Leon1 · 5 Lipiec 2008 10:04

Wygląda że czysto

włącz System Repair Engineer zakładka >> System Repair >> Advanced Repair >> scan API HOOK

System Repair Engineer zakładka >> System Repair >> Advanced Repair >> Auto Repair

Miver · 6 Lipiec 2008 22:29

Gdy klikam scan API HOOD dostaję wiadomość:

Po kliknięciu w details mam okienko z tabelką: http://images31.fotosik.pl/309/ab56c1bfee37f4famed.jpg

gdy chce klikąć fix entry point error dostaję: http://images31.fotosik.pl/309/90e1ce63e9971930med.jpg

mam wersję: 2.6.11.992

po Auto Repair mam po prostu “done”.

W dniu 07.07.2008 , o godzinie 0:29 został dopisany post przez Miver

murlo pojawia się w kasperskim dalej, codziennie.

ale tak sobie pomyślałem.

kaspersky wykrywa go w c:/documents and setting/user/Ustawienia Lokarne/Temporary Internet Files więc może dałoby coś gdybym zrobił nowego usera, przeniósł dane i skasował aktualnego?

to może pomóc? pytam się bo nie chce mi się z tym babrać na darmo…

huber2t · 7 Lipiec 2008 02:10

Możesz tak zrobić ale to chyba nie pomoże, daj raport ze skanowania Kaspserskim