Trojan na kompie?


(Zakl) #1

Hej,

Mam problem z kompem - podobno zadomowił się tu jakiś trojan i coś mi się udało usunąć.

Tu mam jednego z pierwszych logów:

Mam problem z vmmon32.exe i mssvcc.exe, w międzyczasie pojawił się jeszcze mssecure.exe

Uruchomiłem kompa w awaryjnym bez przywracania, usunąłem vmmon32 i lup, ale nie mogłem znaleźć pliku mssvcc (najwyżej w windows/prefetch było coś, co zawierało tą nazwę i w końcu też to usunąłem).

Prawie wszystkie procesy są nadal aktywne, jak wspomniałem doszło jeszcze coś, a ja nadal nie widzę plików.

Jak się coś takiego usuwa?

Teraz log wygląda tak:

Przy okazji: do czego służą lsass.exe i services.exe? Pamiętam, że kiedyś się nieźle namęczyłem z Soberem i tam bodajże właśnie te pliki był najgorsze. Mam je przepuszczać, gdy firewall pyta?

Dziękuję z góry za pomoc! !!


(Gutek) #2

użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

Scan EWIDO po update :wink:


(Zakl) #3

Dzięki za pomoc,

Ostatecznie wystarczyło tylko użyć hijacka.

Przeskanowałem jeszcze i jest ok.

To jest aktualny log:

Jeszcze tylko sobie myślę, że chyba to powinienem wyrzucić:

Zastanawia mnie tylko, dlaczego 2 razy lsass.exe wyłączył mi kompa podczas zabawy z WWDC.

I co wg Ciebie jest bardziej przydatne: ewido czy avast? Bo zgodnie z tym co pisałeś, przeskanowałem kompa ewido, ale razem z avastem trochę za dużo ramu zżerają...

Pozdrawiam


(Gutek) #4

Ewido usuń tylko jednorazowo maiłeś przeskanować kompa

nadal sa pliki, poszukaj ich w C:\WINDOWS\System32\ i w trybie awaryjnym usuń


(Bbieniol) #5

Łatwiej użyć narzędzia KillBox, zaznacz Delete ob reboot, w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\mssvcc.exe

C:\WINDOWS\System32\mssecure.exe

Kliknij X i restart kompa :wink:


(Gutek) #6

Jezeli juzto niech zazaczy opcję Delete on Reboot oraz All Files.....

Ponieważ jak zobi jak ty jemu każesz 2 razy bedzie musiał usunąć(wklejać ścieżki) i restratować kompa :wink:


(Zakl) #7

Uruchomiłem jeszcze raz hijacka i wszystko porządku.

Plików fizycznie nadal nie ma.

Zastanawiam się tylko nad jednym - w kompie włącza mi się oszczędzanie energii po 10 min nieużywania. W koncie użytkownika nie miałem ustawionego żadnego hasła więc po "przebudzeniu" kompa mogłem wejśc do profilu po kliknięciu w nazwę użytkownika.

Mniej w czasie gdy pojawiły się wirusy po wylogowaniu komp zaczął żądać podania hasła, ale nic nie pasowało.

Trzeba było restartować.

Ustawiłem hasło i potem już można było powrócić do konta.

Ale po jakimś czasia zrobiło się tak, że z hasłem można było się zalogować po uruchomieniu kompa, ale nie po wylogowaniu w trybie oszczędzania (ale jeśli np złożysz laptopa, wszystko się usypia, wylogowuje itp, ale po obudzeniu można się zalogować).

Czy to może być powiązane z wirusami?

Jeśli nie, to z czym?

Gdzie to zmienić?

Wszedłem np. w Narzędzia administarcyjne/Zasady zabezpieczen lokalnych, ale wolałem tam nie kombinować, żeby za bardzo nie namieszać.

Pozdrawiam