Przy starcie komputera z Windowsem Vista HE pojawiają się komunikaty, żeby dopuścić (zezwól/anuluj) aplikację Windows Defender Apps Control.exe.
MBAM wykrył Trojan.Agent w C:\PROGRAM FILES\MY APPLICATIONS\win.exe.
Nie mogę utworzyć punktów przywracania systemu, jest komunikat: … Żądanie nie jest obsługiwane (0x80070032).
Często ESET SS zapisuje w dzienniku zdarzeń zapory osobistej Eset tego typu raporty
(info - mamy router, do którego są podpięte jeszcze 3 inne kompy
2010-04-20 23:18:53 Nieprawidłowa suma kontrolna pakietu IP 0
2010-04-20 17:31:11 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP 192.168.1.104 192.168.1.1 ARP
2010-04-20 17:28:03 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP 192.168.1.104 192.168.1.1 ARP
2010-04-20 13:07:30 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:43534 UDP
2010-04-20 13:07:28 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:43534 UDP
2010-04-20 13:07:27 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:43534 UDP
2010-04-20 13:07:26 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:48468 UDP
2010-04-20 13:07:26 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:43534 UDP
2010-04-20 13:07:12 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:47507 UDP
2010-04-20 13:07:12 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:62346 UDP
2010-04-20 13:07:11 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:62346 UDP
2010-04-20 13:07:10 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:47507 UDP
2010-04-20 13:07:09 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:47507 UDP
2010-04-20 13:07:08 Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS 192.168.1.1:53 192.168.1.101:47507 UDP
2010-04-19 21:38:13 Nieprawidłowa suma kontrolna pakietu TCP 0
2010-04-19 21:38:07 Nieprawidłowa suma kontrolna pakietu TCP 0
2010-04-19 21:38:04 Nieprawidłowa suma kontrolna pakietu TCP 0
2010-04-15 21:31:29 Nieprawidłowa suma kontrolna pakietu IP 0
2010-04-15 21:17:15 Nieprawidłowa suma kontrolna pakietu IP 0
> Usunąłem trojana za pomocą MBAM.
> Odhaczyłem w msconfig:
Windows Defender Apps Control (ale wraca)
Windows Live Control
win.exe
> Sprawdziłem blokadę portów przez WWDC (było wszystko na zielono).
Przeczyściłem CCleaner, ATF, usunąłem Recycle.bin, chciałem wył./zał. przywracanie systemu, ale nie mogę bo jest komunikat: … Żądanie nie jest obsługiwane (0x80070032).
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Microsoft Windows [Wersja 6.0.6002]
Copyright (c) 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.
C:\Users\user>del "\\.\E:\$RECYCLE\nic\nic\nic\CAZQ4NNT."
System nie może odnaleźć określonej ścieżki.
C:\Users\user>
Nazwy folderów w ścieżce oczywiście oryginalnie były inne, ale żeby było łatwo je odnaleźć i usunąć zmieniłem na “nic”.
Znów kicha:
Microsoft Windows [Wersja 6.0.6002]
Copyright (c) 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.
C:\Users\user>del "\\.\E:\$RECYCLE.BIN\nic\nic\nic\CAZQ4NNT."
Nie można odnaleźć \\.\E:\$RECYCLE.BIN\nic\nic\nic\CAZQ4NNT..
C:\Users\user>