Trojan w Autorunie


(Zajxx) #1

Mam ten sam problem co kolega, lecz przez 3 lata jakoś mi błąd nie wyskakiwał dopiero teraz. Problem pojawił sie dopiero wtedy gry zainstalowałem demona oraz Assassin Creeda (pirat). czy to może być wina któregoś z tych programów? Używam Avasta jakby co.

PS. Aha zapomniałem płytę otwieram opcją otwórz i nic sie nie dzieje i mogę instalować i wszystko działa w porządku, problem ten mam tez z dwoma MP3


(huber2t) #2

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu.


(Zajxx) #3

file:///C:/Documents%20and%20Settings/Micha%C5%82/Pulpit/jkdhgfkjfhss.html

KASPERSKY ONLINE SCANNER REPORT

 11 maj 2008 16:33:38

 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

 Kaspersky Online Scanner wersja: 5.0.98.0

 Ostatnia aktualizacja Kaspersky Anti-Virus11/05/2008

 Liczba wpisów w bazie danych Kaspersky Anti-Virus756163

-------------------------------------------------------------------------------


Ustawienia skanowania:

	Skanowanie przy użyciu następujących baz danych: rozszerzone

	Skanuj archiwa: tak

	Skanuj pocztowe bazy danych: tak


Obszar skanowania - Mój komputer:

	C:\

	D:\

	E:\

	F:\


Statystyki skanowania:

	Liczba skanowanych obiektów: 44020

	Liczba wykrytych wirusów: 2

	Liczba zainfekowanych obiektów: 2

	Liczba podejrzanych obiektów: 0

	Czas trwania skanowania: 00:20:50


Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Documents and Settings\LocalService\Cookies\index.dat	Object is locked	pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT	Object is locked	pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG	Object is locked	pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat	Object is locked	pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat	Object is locked	pominięty

C:\Documents and Settings\Michał\Cookies\index.dat	Object is locked	pominięty

C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\cert8.db	Object is locked	pominięty

C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\history.dat	Object is locked	pominięty

C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\key3.db	Object is locked	pominięty

C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\parent.lock	Object is locked	pominięty

C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\search.sqlite	Object is locked	pominięty

C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\urlclassifier2.sqlite	Object is locked	pominięty

C:\Documents and Settings\Michał\NTUSER.DAT	Object is locked	pominięty

C:\Documents and Settings\Michał\ntuser.dat.LOG	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\Cache\_CACHE_001_	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\Cache\_CACHE_002_	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\Cache\_CACHE_003_	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\4hxxmsrt.default\Cache\_CACHE_MAP_	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Historia\History.IE5\index.dat	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Historia\History.IE5\MSHist012008051120080512\index.dat	Object is locked	pominięty

C:\Documents and Settings\Michał\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat	Object is locked	pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT	Object is locked	pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG	Object is locked	pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat	Object is locked	pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db	Object is locked	pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws	Object is locked	pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswAr.log	Object is locked	pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log	Object is locked	pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log	Object is locked	pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt	Object is locked	pominięty

C:\Program Files\DAEMON Tools Lite\SRSAI.exe	Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.r	pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominięty

C:\WINDOWS\Debug\PASSWD.LOG	Object is locked	pominięty

C:\WINDOWS\SchedLgU.Txt	Object is locked	pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Object is locked	pominięty

C:\WINDOWS\system32\CatRoot2\edb.log	Object is locked	pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb	Object is locked	pominięty

C:\WINDOWS\system32\config\ACEEvent.evt	Object is locked	pominięty

C:\WINDOWS\system32\config\Antivirus.Evt	Object is locked	pominięty

C:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	pominięty

C:\WINDOWS\system32\config\default	Object is locked	pominięty

C:\WINDOWS\system32\config\default.LOG	Object is locked	pominięty

C:\WINDOWS\system32\config\SAM	Object is locked	pominięty

C:\WINDOWS\system32\config\SAM.LOG	Object is locked	pominięty

C:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	pominięty

C:\WINDOWS\system32\config\SECURITY	Object is locked	pominięty

C:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	pominięty

C:\WINDOWS\system32\config\software	Object is locked	pominięty

C:\WINDOWS\system32\config\software.LOG	Object is locked	pominięty

C:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	pominięty

C:\WINDOWS\system32\config\system	Object is locked	pominięty

C:\WINDOWS\system32\config\system.LOG	Object is locked	pominięty

C:\WINDOWS\system32\drivers\sptd.sys	Object is locked	pominięty

C:\WINDOWS\system32\h323log.txt	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Object is locked	pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_594.dat	Object is locked	pominięty

C:\WINDOWS\Temp\_avast4_\Webshlock.txt	Object is locked	pominięty

C:\WINDOWS\WindowsUpdate.log	Object is locked	pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominięty

E:\AutoRun.exe	Zainfekowanych: Trojan-PSW.Win32.Nilage.aer	pominięty

F:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominięty


Proces skanowania został zakończony.

proszę oto skan.


(Kapi10072) #4

Wiem że w Daemonie są dwa wirusy jeśli się nie mylę to jeden Adware drugi trojan w SRSAI.exe(w tym trojan) a adware poprostu wyłącz przywracanie systemu a potem włąćz jak kolega pisze a co do Assassin Creeda to możliwe że tam może być wirus przeskanuj czymś jak przeskanujesz skanerem online (kolega podał adres) to powinno coś wykryć

W dniu 11.05.2008 , o godzinie 16:42 został dopisany post przez kapi10072

spróbuj usunąć te dwa trojany ręcznie albo przez KillBox


(Zajxx) #5

trojan jest w pliku Autorun z oryginalnej gry i nie da się usunąć a jak sprawdzam demona to avast nic nie wykrywa.

Tak więc

  • plik z demona usunięty

  • z płyty nie mogę usunąć

  • Assassin jest czysty jak łza


(Kambor4) #6

Daj jeszcze raz log z Combofix.Nie podoba mi się co wykryte było przez Kaspra.Opróznij cały folder Temporary Internet Files.Masz Pendrive lub jakiś dysk przenośny lub MP3?

:slight_smile:


(Zajxx) #7

Jakoś po zrobieniu loga przestał mi działać autorun nie wiedząc czemu.


(Kambor4) #8

To znaczy?Mozesz wytłumaczyć?

:slight_smile:


(Zajxx) #9

Przed zrobieniem loga wszystko działało a teraz wkładam płytę i nic sam muszę wchodzić żeby sie uruchomiła. to samo z Pendrivem a na MP3 znajduje mi wirusa w pliku info.exe


(Kambor4) #10

Czy możesz dać log na forum?


(Zajxx) #11

prosze


(Leon$) #12

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

:slight_smile:

do naprawy autoruna skorzystaj z Autoplay Repair Wizard

http://www.microsoft.com/downloads/deta ... laylang=en

:slight_smile:


(Zajxx) #13

No dobra a co z tym głupim plikiem autorun.exe z trojanem który pojawił sie oryginalnej płycie z grą?? Czy to po prostu jakiś błąd antywirusa czy co??


(Kambor4) #14

Nie.Antyvirus mówi dobrze w tym pliku znajduję się wirus.

Daj jeszcze raz log z Combofix.Chce zobaczyć czy coś jeszcze siedzi.

:slight_smile: :slight_smile:


(Zajxx) #15

już dałem jest wyżej. Powiedz mi jeszcze jak to możliwe ze przez 3 lata nie było żadnego wirusa a teraz sie pojawił


(Kambor4) #16

Może że podłączyłeś Pendrive lub MP3 i nagle virus się obudził.Może też zainstalowałeś jakąś grę czy program i w tym programie lub grze był plik Autorun i virus zainfekował WSZYSTKIE Autoruny.Jutro dam ci odpowiedź czy jest czysto w Combofixie.Dzisiaj nie ma czasu.Przepraszam :frowning:

W dniu 11.05.2008 , o godzinie 18:44 został dopisany post przez djarta

Wklej to do notatnika:

File::

C:\WINDOWS\IsUn0415.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i ENTER) Ma się rozpocząć usuwanie. Powstanie log

Po restarcie usuń ręcznie folder C: \Qoobox.

Po tym daj nowy log z Combo.

Po za tym nie widać żadnej infekcjii.Ale na wszelki wypadek daj log po usunięciu tego.

:slight_smile:


(Lost World) #17

Ten plik jest prawidłowy , dlaczego chcesz go usuwać?


(Kambor4) #18

Przepraszam ten plik jest czysty.

Więc jest CZYSTO! :slight_smile: