Trojan (co 5 minut łączy się dziwny IP)

avb09 · 12 Styczeń 2010 18:45

witam

ostatnio podpiąłem kilka pendrive’ów z trojanami i wydaje mi się, że kaspersky nie wykrył wszystkiego. Poza tym ciągle pojawia mi się taki komunikat (dosłownie co 5 minut):

co oznacza, że na komputerze jest serwer trojana ;/

log z OTL (wklej.org tymczasowo nie działa):

http://3paste.com/hash/9bfa1651aba89aefc3c3f50ea55196f5

Bardzo proszę o pomoc

jessica · 12 Styczeń 2010 18:53

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz log z usuwania.

jessi

avb09 · 12 Styczeń 2010 19:11

log z usuwania:

http://wklej.to/exG3

nowy log:

http://wklej.to/gOFM

dziękuję za pomoc

jessica · 12 Styczeń 2010 19:16

Usunięte, i w nowym logu nie widać już nic szkodliwego.

Miejmy nadzieję, że to było przyczyną Twoich problemów.

W przeciwnym wypadku trzeba będzie szukać Rootkitów - niestety OTL nie jest w stanie zobaczyć Rootkita.

jessi.

avb09 · 12 Styczeń 2010 19:26

ehh ;/

bo ta informacja ciągle mi się pojawia ;f

jest jakiś skaner rootkitów?

format pomoże oO?

– Dodane 12.01.2010 (Wt) 20:48 –

jeszcze przeglądnąłem procesy i pojawia się plik “rqvszx.exe”, jak go usunę z procesów - natychmiastowo się włącza ; (

jessica · 12 Styczeń 2010 20:15

Zrób dwa logi z >**[/color=blue]**GMER

>>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)
>>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>

Przed uruchomieniem GMER trzeba zrobić najpierw to:

użyć >defogger
usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Daj też log z System Repair Engineer

jessi

avb09 · 12 Styczeń 2010 21:05

jessica · 12 Styczeń 2010 21:25

GMER nie znalazł żadnego Rootkita.

Może coś w logu SRENG będzie widać?

Napisz też ścieżkę tego “rqvszx.exe”.

jessi

avb09 · 13 Styczeń 2010 08:05

ten proces zniknął

log z SRENG

http://wklej.to/Jx0c

jessica · 13 Styczeń 2010 08:20

Jest coś podejrzanego na razie szukam dalej …

Nic więcej podejrzanego nie ma.

Ten powyższy plik sprawdź je na --> JOTTI/ albo na VIRUSTOTAL. - o ile w ogóle jeszcze jest, bo rozszerzenie .tmp wskazuje na to, że to jest plik tymczasowy.

jessi

avb09 · 13 Styczeń 2010 15:06

tego pliku nie ma, został wcześniej usunięty.

jeśli nic więcej nie ma, to czy jest możliwe, że kaspersky wydaje po prostu fałszywy komunikat?

ponieważ jeżeli wyłączę go na 5 minut (np. aby zalogować się do routera, muszę wyłączyć firewalla), to wtedy będę miał jakiś malware w systemie…

jessica · 13 Styczeń 2010 15:40

Kaspersky pewnie wydaje właściwy komunikat, ale dobrze, że to blokuje.

To ściąganie ma jakiś związek z “YouTube” - czy korzystałeś kiedyś z tego?

Choć z drugiej strony: co tu robi rosyjski “91.212.226.180” ?

>http://www.malwareurl.com/listing.php?domain=91.212.226.180

jessi

Gutek · 13 Styczeń 2010 16:07

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny.

Pozdrawiam Gutek

avb09 · 13 Styczeń 2010 17:18

z youtube korzystam regularnie, ale czy to ma jakikolwiek wpływ?

też mnie to dziwi, plik nazywa się “anime512.crypted.exe”, w google nic na temat tego nie pisze ;/

przed chwilą kasersky pokazał takie coś:

jessica · 13 Styczeń 2010 17:33

Obrazek nic mi nie mówi, ja musiałabym zobaczyć to w logu.

Jak to nie, przecież w podanym przeze mnie w poprzednim linku jest napisane, że ta rosyjska strona wysyła właśnie ten szkodliwy plik:

Daj log z ComboFix

jessi

avb09 · 13 Styczeń 2010 20:57

w końcu zrobiłem format, bo dużo tych powiadomień zaczęło się pokazywać.

Bardzo dziękuję za pomoc :))

Pozdrawiam:)