Trojan (co 5 minut łączy się dziwny IP)


(Arminvanb08) #1

witam

ostatnio podpiąłem kilka pendrive'ów z trojanami i wydaje mi się, że kaspersky nie wykrył wszystkiego. Poza tym ciągle pojawia mi się taki komunikat (dosłownie co 5 minut):

5d74zn.png

co oznacza, że na komputerze jest serwer trojana ;/

log z OTL (wklej.org tymczasowo nie działa):

http://3paste.com/hash/9bfa1651aba89aefc3c3f50ea55196f5

Bardzo proszę o pomoc


(jessica) #2

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz log z usuwania.

jessi


(Arminvanb08) #3

log z usuwania:

http://wklej.to/exG3

nowy log:

http://wklej.to/gOFM

dziękuję za pomoc :slight_smile:


(jessica) #4

Usunięte, i w nowym logu nie widać już nic szkodliwego.

Miejmy nadzieję, że to było przyczyną Twoich problemów.

W przeciwnym wypadku trzeba będzie szukać Rootkitów - niestety OTL nie jest w stanie zobaczyć Rootkita.

jessi.


(Arminvanb08) #5

ehh ;/

bo ta informacja ciągle mi się pojawia ;f

jest jakiś skaner rootkitów?

format pomoże oO?

-- Dodane 12.01.2010 (Wt) 20:48 --

jeszcze przeglądnąłem procesy i pojawia się plik "rqvszx.exe", jak go usunę z procesów - natychmiastowo się włącza ; (


(jessica) #6

Zrób dwa logi z >[/color=blue]****GMER

1) >>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

2) >>gmer>>Rootkit>>zaznacz tylko "Usługi" i "Pokaż wszystko">>Szukaj>

Przed uruchomieniem GMER trzeba zrobić najpierw to:

1) użyć >defogger

2) usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Daj też log z System Repair Engineer

jessi


(Arminvanb08) #7

1) http://wklej.to/5K5w

2) http://wklej.to/RmWz


(jessica) #8

GMER nie znalazł żadnego Rootkita.

Może coś w logu SRENG będzie widać?

Napisz też ścieżkę tego "rqvszx.exe".

jessi


(Arminvanb08) #9

ten proces zniknął

log z SRENG

http://wklej.to/Jx0c


(jessica) #10

Jest coś podejrzanego na razie szukam dalej ...

Nic więcej podejrzanego nie ma.

Ten powyższy plik sprawdź je na --> JOTTI/ albo na VIRUSTOTAL. - o ile w ogóle jeszcze jest, bo rozszerzenie .tmp wskazuje na to, że to jest plik tymczasowy.

jessi


(Arminvanb08) #11

tego pliku nie ma, został wcześniej usunięty.

jeśli nic więcej nie ma, to czy jest możliwe, że kaspersky wydaje po prostu fałszywy komunikat?

ponieważ jeżeli wyłączę go na 5 minut (np. aby zalogować się do routera, muszę wyłączyć firewalla), to wtedy będę miał jakiś malware w systemie...


(jessica) #12

Kaspersky pewnie wydaje właściwy komunikat, ale dobrze, że to blokuje.

To ściąganie ma jakiś związek z "YouTube" - czy korzystałeś kiedyś z tego?

Choć z drugiej strony: co tu robi rosyjski "91.212.226.180" ?

>http://www.malwareurl.com/listing.php?domain=91.212.226.180

jessi


(Gutek) #13

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny.

Pozdrawiam Gutek


(Arminvanb08) #14

z youtube korzystam regularnie, ale czy to ma jakikolwiek wpływ?

też mnie to dziwi, plik nazywa się "anime512.crypted.exe", w google nic na temat tego nie pisze ;/

przed chwilą kasersky pokazał takie coś:

34h9b0n.png


(jessica) #15

Obrazek nic mi nie mówi, ja musiałabym zobaczyć to w logu.

Jak to nie, przecież w podanym przeze mnie w poprzednim linku jest napisane, że ta rosyjska strona wysyła właśnie ten szkodliwy plik:

Daj log z ComboFix

jessi


(Arminvanb08) #16

w końcu zrobiłem format, bo dużo tych powiadomień zaczęło się pokazywać.

Bardzo dziękuję za pomoc :))

Pozdrawiam:)