Trojan Crypr-Fro, złośliwe połączenia

voltux · 19 Styczeń 2010 17:37

Wczoraj reinstalowałem system, dzisiaj jednak avast wykrywa mi wirusy w pamięci operacyjnej oraz próby połączenia ze złośliwymi stronami.

Oto skan z OTL:

http://wklejto.pl/54705

deFco247 · 19 Styczeń 2010 17:42

Jest to typowa infekcja z pendrive, która roznosi się po wszystkich dyskach i partycjach, więc reinstalacja systemu jej nie usuwa.

Nie obejmuj linków do logów w żadne tagi.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL MOD - [2010-01-19 18:29:28 | 00,092,160 | RHS- | M] () – C:\Documents and Settings\voltux\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\voltux\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2010-01-19 18:33:15 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-19 18:33:15 | 00,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-19 18:33:15 | 00,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] O33 - MountPoints2{7e602231-04fa-11df-83d4-001d92a3a1f6}\Shell\AutoRun\command - “” = G:\nx.exe – File not found O33 - MountPoints2{7e602231-04fa-11df-83d4-001d92a3a1f6}\Shell\open\Command - “” = G:\nx.exe – File not found O33 - MountPoints2{7e602232-04fa-11df-83d4-001d92a3a1f6}\Shell\AutoRun\command - “” = H:\nx.exe – File not found O33 - MountPoints2{7e602232-04fa-11df-83d4-001d92a3a1f6}\Shell\open\Command - “” = H:\nx.exe – File not found O33 - MountPoints2{e9bc3ff3-0456-11df-a6b0-806d6172696f}\Shell\AutoRun\command - “” = C:\sywyrl0q.exe – [2010-01-19 14:42:42 | 00,123,392 | RHS- | M] () O33 - MountPoints2{e9bc3ff3-0456-11df-a6b0-806d6172696f}\Shell\open\Command - “” = C:\sywyrl0q.exe – [2010-01-19 14:42:42 | 00,123,392 | RHS- | M] () O33 - MountPoints2{e9bc3ff4-0456-11df-a6b0-806d6172696f}\Shell\AutoRun\command - “” = D:\sywyrl0q.exe – [2010-01-19 14:42:42 | 00,123,392 | RHS- | M] () O33 - MountPoints2{e9bc3ff4-0456-11df-a6b0-806d6172696f}\Shell\open\Command - “” = D:\sywyrl0q.exe – [2010-01-19 14:42:42 | 00,123,392 | RHS- | M] () O33 - MountPoints2{e9bc3ff5-0456-11df-a6b0-806d6172696f}\Shell\AutoRun\command - “” = E:\sywyrl0q.exe – [2010-01-19 14:42:42 | 00,123,392 | RHS- | M] () O33 - MountPoints2{e9bc3ff5-0456-11df-a6b0-806d6172696f}\Shell\open\Command - “” = E:\sywyrl0q.exe – [2010-01-19 14:42:42 | 00,123,392 | RHS- | M] () :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Przed kliknięciem Run Scan wklejasz w OTL taki tekst:

Leon1 · 19 Styczeń 2010 17:49

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

:Processes explorer.exe :OTL MOD - [2010-01-19 18:29:28 | 00,092,160 | RHS- | M] () – C:\Documents and Settings\voltux\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\voltux\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2010-01-19 18:33:15 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-19 18:33:15 | 00,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-19 18:33:15 | 00,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] [2010-01-19 18:33:40 | 00,000,063 | RHS- | M] () – C:\autorun.inf [2010-01-19 14:42:42 | 00,123,392 | RHS- | M] () – C:\sywyrl0q.exe :Files C:\Documents and Settings\voltux\Ustawienia lokalne\Temp\cvasds0.dll C:\Documents and Settings\voltux\Ustawienia lokalne\Temp\herss.exe D:\autorun.inf E:\autorun.inf D:\sywyrl0q.exe E:\sywyrl0q.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

potem nowy log OTL

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

voltux · 19 Styczeń 2010 18:20

Czy to dobrze że OTL po uruchomieniu FIXa zwiesza sie?

dodam jeszcze że nie moge włączy osłony dostępowej w avaście

deFco247 · 19 Styczeń 2010 18:36

Na czas działania OTL-em wyłącz Avasta, gdyż on często blokuje OTL-a.

voltux · 20 Styczeń 2010 06:24

Udało się wykonałem Fix.

Oto raporty:

Wyskoczył po ponownym uruchomieniu po fixie: http://wklejto.pl/54720

Ten zrobiłem już sam także po wykonaniu procedury: http://wklejto.pl/54721

Jestem już czysty?

edit:

nie mogę nadal ustawic pokazywania ukrytych plików…

deFco247 · 20 Styczeń 2010 13:33

W OTL wklej:

Run Fix , potem klikasz CleanUp , bo jest czysto.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

No i zaktualizuj system do stanu Service Pack 3.

voltux · 20 Styczeń 2010 15:30

Ok skanuje system.

A jak oczyścic dysk przenośny aby po raz kolejny nie zainfekowac komputera?

deFco247 · 20 Styczeń 2010 15:31

voltux · 23 Styczeń 2010 11:48

Pełny skan Dr. Webem pokazał że mam jeszcze kilka zarażonych plików.

Zamieszczam tutaj kolejny scan z OTLa:

http://wklejto.pl/55152

Leon1 · 23 Styczeń 2010 12:59

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

Kliknij w Run Fix. Zatwierdź restart komputera.

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

W OTL kilknij CleanUp

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

voltux · 24 Styczeń 2010 08:16

Fix + CCleaner

Kolejny skan z OTL:

http://wklejto.pl/55258

deFco247 · 24 Styczeń 2010 10:32

Nie musiałeś się skanować ponownie, gdyż i tak jest czysto.

W OTL kliknij CleanUp.

voltux · 24 Styczeń 2010 14:36

Jeszcze jedno pytanko.

Odkąd mam tego wirusa wyskakuje mi po uruchomieniu systemu okienko do połączeń telefonicznych.

Nigdy tak się nie działo i zawsze łączyłem się przez program neostrady.