Trojan TrojanDropper.Agent.NJV - problem z usunięciem


(kubik#) #1

Witam. Od wczoraj mój komputer jest zainfekowany trojanem o nazwie "Trojan TrojanDropper.Agent.NJV". Wykrywanym w folderze "Temp" oraz "Temporary internet files". Nod32 z najnowszą aktualizacją wykrywa trojana i niby usuwa, ale ten niestety powraca. Kiedy próbuję włączyć pokazywanie folderów systemowych ustawienia samoczynnie wracają do ustawień defaultowych. Trojan wykrywany jest za każdym wejściem na dowolną partycję. Dodatkowo partycje otwierają się w nowym oknie mimo tego, iż jest zaznaczona opcja otwierania w tym samym. Bardzo proszę o pomoc, oto logi z Hijackthis:

http://www.wklej.org/id/d9e5c9d1d5


(Leon$) #2

wpis

usuń HijackThisem >> Fix checked

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 przeskanuj daj log

:slight_smile:


(kubik#) #3

Proszę bardzo, oto i log z ComboFixa:

http://wklej.org/id/0a86c41f26


(Leon$) #4

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(kubik#) #5

Proszę bardzo, a oto i log powstały po całej operacji:

http://wklej.org/id/d7f2ed102e


(Leon$) #6

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

włącz przywracanie systemu

:slight_smile:


(kubik#) #7

Oto raport ze skanowania:

http://wklej.org/id/4047d481aa

Jak widać wykryto jeszcze wirusa o nazwie: Trojan-PSW.Win32.OnLineGames.abrx


(huber2t) #8

Usuń te pliki:

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. http://support.microsoft.com/kb/310405/pl


(kubik#) #9

W porządku, ale jak w takim razie mam usunąć te pliki, skoro ich nie widać na dysku?


(huber2t) #10

Zrób tak:

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

D:\dwvo.cmd

D:\mug0sd.cmd

D:\uqhqx1.cmd

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

A jeśli się nie powiedzie usuń pliki killboxem


(kubik#) #11

Ok, tak zrobiłem. Na początku nie chciało się wykonać, ale były dodane spacje do skryptu, po ich usunięciu wszystko przebiegło pomyślnie. A oto raport:

http://wklej.org/id/927f5b4eba


(huber2t) #12

udało się już powinno być ok z komputerem


(kubik#) #13

Faktycznie, przeskanowałem raz jeszcze dokładnie system nodem32 i problem wydaje się być wyleczony. Serdecznie dziękuję huber2t, oraz Leon$ za pomoc!


(Karol Wierzbicki) #14

Czy jesteście pewni, że te wirusy zniknęły???????

Uruchomiłem program Combofix, później zrestartowałem komputer z pendrivem umieszczonym w usb. Przed użyciem Combofix w takiej sytuacji (restart z pendrivem w usb) Kaspersky antywirus pokazywał mi 3 wirusy na pendrivie a na pasku narzędzi "mój komputer" czylli (prawy przycisk na pasku startu > paski narzędzi > nowy pasek narzędzi > mój komputer)pokazywały się 3 ikony niezidentyfikowanych programów. Po użyciu Combofix nadal pokazują się te trzy ikony, ale antywirus nie wykrywa żadnego wirusa. Co więcej te trzy ikony znikają tylko po sformatowaniu pendriva.

Stąd moje pytanie: Czy Combofix usuwa wirusy, czy TYLKO JE MASKUJE?

Pewnie przeskanowanie dysku po podłączeniu jako "slave" da odpowiedź, ale w tym momencie niestety nie mam takiej możliwości, czy ktoś to próbował?


(huber2t) #15

vv3k4i Combofix usuwa pliki które ma tylko w swojej bazie, chcąc znaleźć wirusy trzeba samemu przeanalizować logi

Nie sądze aby po podłączeniu jako "slave" coś się zmieniło