Trojan IRC/SdBot + inne(?)


(liska) #1

Witam,

na pewno mam jakieś trojany, co jeszcze to nie wiem. Objawy:

  1. Przy starcie systemu pojawia się okno dialogowe systemu:

Nazwa: Edytor rejestru

Treść: Edycja rejestru została wyłączona przez administratora sieci.

(zazwyczaj jedno, czasem dwa takie same)

  1. Przy starcie systemu pojawia się okno dialogowe systemu:

Nazwa: C:\WINDOWS\system\svchost.exe

Treść: System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu.

  1. Niedawno podczas pracy komputera pojawia się okno dialogowe systemu:

Nazwa: N%WINDIR%\system\svchost.exe

Treść: System Windows nie może odnaleźć pliku ,,%WINDIR%\system\svchost.exe". Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie. Aby wyszukac plik, kliknij przycisk Start, a następnie kliknij polecenie Wyszukaj.

  1. Ze dwa razy svchost zamknął system w sposób "60 sekund"

  2. Na początku internetu (założony we wtorek i niestety nie zabezpieczony od początku :frowning: ) w "60 sekund" system zamykał mi lsass.exe, ale tego chyba wyleczyłam programikiem (aktualizacja?) Microsoft® Windows® Malicious Software Removal Tool (KB890830) http://www.microsoft.com/downloads/deta ... laylang=en

  3. Podczas HiJacka Nod pokazuje okienko że wykrył:

IRC/SdBot trojan w zbiorze C:\WINDOWS\system\svchost.exe

  1. Komputer się zmula niczym szczególnym (1-3 programy nie proceso- ani pamięcio-żerne, zamknięty FF), tak jakby nie zwalniał pamięci po zamkniętych programach.

Log z HiJacka: http://wklej.org/id/29d4030388

Silent Runners: http://www.wklej.org/id/5ecf799976

DSS main: http://wklej.org/id/e53a066302

extra: http://wklej.org/id/2f5580bc77

Bardzo proszę o pomoc.

pozdrawiam, L


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\System32\i


Folder::

C:\WINDOWS\system


Driver::

Host Process for Win32 Services

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(liska) #3

log z ComboFixa: http://wklej.org/id/7502842575


(huber2t) #4

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(liska) #5

kaspersky on-line: http://www.wklej.org/id/973197a05b

cureIt: http://www.wklej.org/id/4130aaeb3b

tych paru zainfekowanych plików z D i E już się pozbyłam

Jak oczyścić System Volume information? normalnie usuwając pliki?


(huber2t) #6

Wystarczy to zrobić: Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Usuń to:

Usuń wszystkie pliki z tego folderu:

Po tym przeskanuj ponownie