Trojan autorun.inf


(Mzarek) #1

Sorki za nowy wątek bo przecież temat poruszany w wielu wątkach ale nie mogę sobie poradzić mimo że sporo już czytam na ten temat. Każdy antywirus wykrywa Trojana po podłączeniu pena. Nie pomaga formatowanie bo syf siedzi pewnie na dysku kompa choć żadne dziwne rzeczy z dyskami się nie dzieją np. zmiany w menu kontekstowym z "otwórz" na "autoodtwarzanie" czy inne krzaki. Ponieważ używam różnych pamięci przenośnych w pracy i różnych komputerów wszyscy mają już to samo. W sumie jestem zielony ale czytając zdążyłem się zorientować że trzeba zrobić logi więc zrobiłem skanowanie HijackThis-em i ComboFix-em. Polecenia z lini komend też znam bo kiedyś dosem dość dobrze się posługiwałem. Proszę wiec o pomoc, co po kolei mam zrobić, jakie pliki usunąć, co zmienić w rejestrze żeby pozbyć się tego syfa z kompa żeby pamięci mi nie infekowało bo sprawa dotyczy już kilkunastu komputerów. Logi z ComboFix i HijackThis poniżej.

http://www.wklej.org/id/47201/

http://www.wklej.org/id/47202/


(Gutek) #2

Wklej do Notatnika:

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

"AntiVirusOverride"=dword:00000000

"FirewallOverride"=dword:00000000

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html


(Mzarek) #3

Dzięki, niby proste. Wypróbuje najszybciej jak się da.

Pozdrawiam

-- Dodane 01.02.2009 (N) 23:13 --

Niby zrobiłem wg instrukcji. Co prawda nie pojawiło się pytanie "1 or 2" ale ComboFix przeskanował i mam nowego loga którego właśnie podsyłam. Wskazany folder z katalogu C:\ też usunąłem i teraz włączyłem skanowanie online kasperskym. Zobaczymy a to nowy log ComboFix:

http://www.wklej.org/id/47440/


(jessica) #4

Wklej do Notatnika :

File::

c:\windows\system32\drivers\SCtri.exe


Driver::

"Service Controler Installer"

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi


(Mzarek) #5

Wszystko wygląda na w porządku już po zastosowaniu instrukcji użytkownika Gutek2222 bo nie ma tych objawów co byly. Skanowanie online wykazało infekce więc skanowalęm swoim antywirusem który coś tam pousuwał. Zastosowanie się do instrukji Jessiki pewnie nie zaszkodzi więc też to zrobię i prześlę logi. Mam jednak jeszcze jedno pytania. To co tu próbuję rozwiącać dotyczy jednego kompa z WinXP Prof ja jednak mam podobną sytuację na kilku i między innymi na kompie w pracy z Win XP Home gdzie są jeszcze dodatkowe objawy w postaci wyskakującego okiena systemowego z informację "brak dysku" i z przyciskami "ingoruj" "anuluj" i "kontynuuj" i niezależnie od tego co by nie wybrać oko wyskakuje znowu, cały czas aż do momentu ponownego uruchmienia kompa. Po ponownym uruchomieniu w porządku do momentu włożenia piendriva i sytuacja się powtarza. W folderze mój komputer dysk symbolizujący pendriva dostaje ikone jak folder.

Moje pytanie jest takie, czy mogę zastosować identyczną procedurę jak wyżej i wklejać do notatnika powyższe kody czy powinienem przesłać logi z kompa pod Xp Home i wtedy zobaczymy.

Dziękuję za dotychczasową pomoc i ewentualnie za dalszą.

pozdrawiam wszystkich.


(jessica) #6

Wg mnie: na innych komputerach sytuację może wyjaśnić już pierwsze użycie ComboFixa. Automatyczne używanie jednego Scriptu do różnych komputerów nie ma sensu, choć raczej nie zaszkodzi.

jessi


(Mzarek) #7

Przesyłam loga po zastosowaniu skryptu Jessi oraz po skanowaniu Bitdefenderem. Wszystko z tego samego komputera. Odnośnie drugiego kompa to przeskanuje go jutro ComboFixem i prześlę loga, może trzeba będzie zastosować nowy skrypt.

Tu log: http://www.wklej.org/id/48235/


(Kambor4) #8

Czysto.

Usuń ręcznie folder C:**** Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj tym: Dr.WEB CureIt! .

===============

K.


(Mzarek) #9

Wykonalem insturkcję kolegi Djarta i wszystko niby jest ok. Coś tam jeszcze się wyczyściło Ccleanerem, Dr.Web nic już nie znalazł no i wszyskto niby działa dobrze. Pendrivy czyste, antywirusy nie wysyłają alarmów OK.

Mam jednak jeszcze jedną prośbę. Jeżeli możecie przejrzeć mi loga z ComboFixa z drugiego komputera ktory jest na Xp Home o czym wcześniej wspominałem. Bo sytuacja była taka sama i wyskakiwalo okienko systemowe z informacją o braku dysku - napędu przenośnego a ponadto ostatnio jeszcze komunikat "System nie może odnaleźć pliku C:\Windows\system32\drivers\SCtri.exe". Przeskanowalem więc tego kompa ComboFixem i wszystko niby się naprawiło ale na wszelki wypadek wolałbym wiedzieć czy jest już ok czy może jeszcze jakiś skrypt na ComboFix zastosować.

Dzięki z góry.

Pozdrawiam

Tu log: http://www.wklej.org/id/49322/


(jessica) #10

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8713d74-8de3-11dd-965e-4d6564696130}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

To wszystko.

jessi


(Mzarek) #11

No już wszystko fajnie.

Bardzo dziękuję.