Trojan-Spy.Win32.KeyLogger.aa i inne (okienka pop up)

Dla specjalistów Bezpieczeństwo
#1

Witam!

Tak jak w temacie mam problem z usunięciem tego typu wirusów.

Zagrożenie objawia się komunikatem na fake okienku bardzo dobrze udając oryginalne z win XP.

Powiadamia np o:

Spy.Win32.KeyLogger.aa i nakazuje pobrać oprogramowanie antywirusowe ze strony www.

Wstępuje kila rożnych komunikatów których nazwa jest podobna, pewnie generowana losowo.

np. Spy.Win32. KeyLogger.aa , Spy.Win32. Green Screen , Spy.Win32. XXXXXX.xx itd…

To Trojan typu spieg monitoruje wpisywane znaki na klawiaturze, zapisuje do pliku txt i wysyła pod adres e mail tego kto go stworzył.

Podobny watek był już na tym forum znajdziecie go tutaj -> http://forum.dobreprogramy.pl/viewtopic.php?t=271912

Tutaj znalazłem tutorial do manualnego usunięcia zagrożenia ->http://www.removeonline.com/how-to-remove-trojan-spy-win32-keylogger-aa-removal-instructions/. Widać tu również wiadomość (feake mesage).

Jednak ze względu na to, że zagrożeń może być więcej proszę o pomoc oto log z combofix’a

http://www.wklej.org/id/9394/

Do wiadomości wszystkich, skanowałem już system za pomocą, Spyware Doctor oraz Malwarebytes, a także Panda AV 2008, Nod32 i Xilisoft SE. wszystko na nic. Każdy z nich znalazł wirusy jednak z tym sobie nie poradził.

Proszę wiec o sprawdzenie loga, i pomoc specjalistów, bo siedziałem pół nocy i nic…

Monitoruje wątek wiec piszcie nawet jeśli jestem offline zajrzę tu i zastosuje się do wskazówek.

PS. Jeśli znacie stronę która wyjaśnia jak czytać logi z programów to proszę o info sam chętnie się tego nauczę,

nie zawracał bym wam głowy.

Pozdrawiam

Bekon :wink:

#2

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

#3

Cześć Spandaupol jestem zaczynamy działać dziękuje za info, za moment napisze co dalej :slight_smile:

Prosze oto wyniki combofix’a

http://www.wklej.org/id/9465/

[EDIT: godz. 17:23 by Bekon]

Z tego co widzę osunęło z sytemu 3 (1,3,4) pliki jakie podałeś, od czasu ostatniego wykorzystania combofixa, jest znacznie lepiej, do tej pory nie pokazało się okienko pop up które wyskakiwało co około 5 do 10 min. Mam nadzieję ze już po wszystkim proszę jednak o dokładne sprawdzenie loga i potwierdzenie że wszystko jest w porządku. Z góry dziękuje :wink: .

#4

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:

#5

Rozumie zabieram się za to :slight_smile: Tylko pytanie czy mam to nadal robić w systemie awaryjnym czy normalne wystarczy?

#6

normalnie

:slight_smile:

#7

Leon$ moja kolej :wink:

Zrobione

Rejestr czysty

Zrobione według własnych potrzeb(nie osuwałem np. obsługi wielu języków)

Folder i program usunięte

Punkty przywracania systemu usunięte, system przywracania aktywowany ponownie na wszystkich dyskach

Trochę to trwało (4h) ale jest… Proszę o analizę i info czy już czysto… :slight_smile:

Kaspersky nic nie wykrył… :slight_smile: kilkadziesiąt obiektów zamkniętych (obiect is locked) i te pominął.

RAPORT -> http://www.wklej.org/id/9643/

#8

Czysto

:slight_smile:

#9

Dziękuję Wam Wszystkim, na takie info.czekałem. Leon$, Spandaupol , bardzo dziękuje, za poświęcony czas, jeśli można prosić, o wyjaśnienie mi, tego jak się buduje skrypty, podobne do tych jakie mi kazaliście użyć w combofix’ie, oraz jak w log’ach programu wynaleźć zainfekowanie pliki ( czy to te oznaczone jako “[x]”), lub znacie dobry tutorial, gdzie wszystko na ten temat znajdę proszę o kontakt na PW :). Jeszcze raz bardzo Wam dziękuje za wszystko, komputer czysty ;).