Trojan socks.exe. wklejam log z hjt i proszę o pomoc


(Ykim) #1

witam. od jakiegoś czasu avira antivir wyświetla mi alarmy o plikach trojana. w task managerze pjawia się proces iexplore.exe po kilkanaście i więcej razy, pożerając ram. także po kilka razy pojawia się tam svchost.exe.

pliki trojana wg tego programu to:

wszystkie usuwałem w trybie awaryjnym za pomocą pocket killboxa, zamykając wcześniej procesy w task manadżerze. na koniec w msconfig usuwałem z listy plików uruchamianych po starcie systemu socks.exe. usuwałem nawet kopie zapasowe z foldera killboxa i odpowiednie pliki z windows\prefetch.

niestety, sytuacja powtarza się po każdym restarcie - pliki wracają na swoje miejce, niektóre z dodatkowym rozszerzeniem exe.bat. socks.exe wraca do programów uruchamianych automatycznie.

wklejam więc loga z najnowszej wersji hijackthis (już po wyżej wymienionych usunięciu plików) i proszę ludzi którzy się na tym znają o przeanalizowanie i sugerowane rozwiązanie problemu (najlepiej inne niż format i przeinstalowanie systemu:)):

z góry dziękuję za pomoc.


(Gutek) #2

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

Scan EWIDO po update :wink:


(Ykim) #3

usunąłem klucze w hijackthis w trybie awaryjnym jak pisałeś.

z tych czterech plików

C:\WINDOWS\system32\ cfgmngr32.dll i C:\WINDOWS\SYSTEM32\ msupdate32.dll

nie dało się usunąć, używały ich jakieś procesy

potem wykrył je także kaspersky i chyba zostały usunięte.

iexplore.exe nie otwiera się samoczynnie, ponownie jak trojanowe procesy. svchost.exe wciąż otwiera się w pięciu kopiach.

log z hjt:

jak to wygląda?


(Monczkin) #4

Jak masz problem to napisz do Kasi albo użyj PW - za nastęne takie posty wyłapiesz warna za oty


(Gblade) #5

Kasujesz wpisy i pogrubiony folder w trybie awaryjnym z wyłączonym przywracaniem systemu:

Ściągnij Pocket Killbox, odpal, zaznacz Delete ob reboot, w polu full path of file powklejaj ścieżki:

C:\WINDOWS\system32\cfgmngr32.dll

C:\WINDOWS\SYSTEM32\msupdate32.dll

Klikasz X i reset kompa.

Daj loga z Silent Runners