Trojan downloader popuper

scyther5 · 4 Listopad 2008 15:27

witam…moze mi ktos pomoc z usunieciem tego wira (trojan-downloader.popuper). no i chyba jeszcze klika innych sie tam znajdzie.

Oto logi:

HijackThis - http://www.wklej.org/id/14737/

Combofix - http://www.wklej.org/id/14738/

Gutek · 4 Listopad 2008 15:46

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

usuń wpis HJT Wklej do Notatnika:

File::

C:\WINDOWS\system32\nielntri.dll

C:\WINDOWS\system32\nhwbwikj.exe

C:\WINDOWS\system32\hdhdgirj.dll

C:\WINDOWS\system32\ficzwv.dll

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Proszę pobrać i użyć Malwarebytes’ Anti-Malware

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone jak będą i Ok

scyther5 · 4 Listopad 2008 17:05

a wiec…zrobilem modyfikacje na logach tak jak powiedziales ale to nic nie dalo.

zrobilem szybkie skanowanie Malwarebytes’ Anti-Malware i rzeczywiscie wykryl mi infekcje w rejestrze…usunalem je, ale tez to nic nie dalo.

pelnego skanowania tym programem nie moge zrobic bo mi sie zawsze w jednym momencie zawiesza.

W logu z Malwarebytes’ Anti-Malware mam:

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.24 192.168.0.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.24 192.168.0.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.24 192.168.0.1 -> Quarantined and deleted successfully.

moge te wpisy usunac recznie z rejestru?

Gutek · 4 Listopad 2008 17:09

One sa już usunięte daj nowy log z Combo

scyther5 · 4 Listopad 2008 17:16

jezeli chodzi o te wpisy w rejestrze to moze je zmodyfikowal i o to chodzilo, az tak sie nie znam…ale wpisy (klucze) jako takie nadal sa w rejestrze.

Oto nowy log z cf-a: http://www.wklej.org/id/15261/

Gutek · 4 Listopad 2008 18:23

Nic nie widzę.

Daj log z System Repair Engineer - http://www.bezpieczenstwosystemow.pl/in … pic=3900.0

scyther5 · 4 Listopad 2008 22:35

Link z System Repair Engineer:

http://www.wklej.org/id/15380/

ktos ma jeszcze jakis pomysl jak moge go usunac??

scyther5 · 5 Listopad 2008 18:54

zrobilem jeszcze raz skana Malwarebytes’ Anti-Malware w trybie awaryjnym z wylaczonym kablem sieciowym. znalazl kilka robakow…usunal…po wlaczeniu kabla z powrotem trojan nadal siedzi…czy ktos ma na to sposob?

Gutek · 5 Listopad 2008 21:34

Uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń

{33564D57-0000-0010-8000-00AA00389B71}

{013321C0-887C-4795-9384-1AFA9EB9C7C3}

{05D82697-0476-4BCE-9FB6-CAC72F62F945}

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}

{1D0864EB-C192-474F-8320-9FCB83A251BE}

{20A86867-2051-4404-9587-B069FA076373}

{259F616C-A300-44F5-B04A-ED001A26C85C}

{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}

{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}

{8D5964B1-99AC-4BFA-9ECA-0DA5170C7CD4}

{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}

{E4F8D9CB-B7E6-4EC1-AC04-12A146C02411}

{EBC53A19-CFA1-4EDC-8E09-88B6417DF13D}

{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}

System Repair Engineer zakładka System Repair >> File association >> zaznacz .JS >> repair

Wykonaj skan Dr. Web CureIt

scyther5 · 6 Listopad 2008 17:19

zrobilem co powiedziales. Dr. Web CureIt wykryl mi tam jakies pierdoly jedynie…problem nie rozwiazany…albo wyskakuje trojan downloader popuper albo probuje sie laczyc z jakims adresem (jak zablokuje nie mam neta) czyli najprawdopodobnie ten trojan dns. jezeli ktos ma jeszcze jakies pomysly to czekam

scyther5 · 7 Listopad 2008 09:38

dziekuje wszystkim za poswiecony czas i checi…przyczyna zlokalizowana. bawilem sie z modyfikowaniem tych kluczy ale zawsze po restarcie komputer z powrotem je zmienial. co prawda juz mi nie wyskakiwalo okienko informujace o wirusie ale po sakowaniu nadal mi ZAWSZE wykrywal trojan dns changer.

PRZYCZYNA:

http://www.download.net.pl/Trojan-modyf … row/n/131/

sprawdzilem router i rzeczywiscie zmienione mialem DNSy w routerze przez trojana…zaraz sie bede bawil ze zmiana itp ale to juz inna bajka.

troche sie nauczylem dzieki Waszej pomocy, mam nadzieje ze dzieki temu watkowi ktos odniesie korzysci

pozdrawiam