Trojan w win.exe + problem Win.Defender Apps Controll


(Marcos 777) #1

Witam,

  1. Przy starcie komputera z Windowsem Vista HE pojawiają się komunikaty, żeby dopuścić (zezwól/anuluj) aplikację Windows Defender Apps Control.exe.

  2. MBAM wykrył Trojan.Agent w C:\PROGRAM FILES\MY APPLICATIONS\win.exe.

  3. Nie mogę utworzyć punktów przywracania systemu, jest komunikat: ... Żądanie nie jest obsługiwane (0x80070032).

  4. Często ESET SS zapisuje w dzienniku zdarzeń zapory osobistej Eset tego typu raporty

(info - mamy router, do którego są podpięte jeszcze 3 inne kompy

2010-04-20 23:18:53	Nieprawidłowa suma kontrolna pakietu IP 0			

2010-04-20 17:31:11	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP	192.168.1.104	192.168.1.1	ARP			

2010-04-20 17:28:03	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP	192.168.1.104	192.168.1.1	ARP			

2010-04-20 13:07:30	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:43534	UDP			

2010-04-20 13:07:28	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:43534	UDP			

2010-04-20 13:07:27	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:43534	UDP			

2010-04-20 13:07:26	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:48468	UDP			

2010-04-20 13:07:26	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:43534	UDP			

2010-04-20 13:07:12	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:47507	UDP			

2010-04-20 13:07:12	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:62346	UDP			

2010-04-20 13:07:11	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:62346	UDP			

2010-04-20 13:07:10	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:47507	UDP			

2010-04-20 13:07:09	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:47507	UDP			

2010-04-20 13:07:08	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:47507	UDP			

2010-04-19 21:38:13	Nieprawidłowa suma kontrolna pakietu TCP 0			

2010-04-19 21:38:07	Nieprawidłowa suma kontrolna pakietu TCP 0			

2010-04-19 21:38:04	Nieprawidłowa suma kontrolna pakietu TCP 0			

2010-04-15 21:31:29	Nieprawidłowa suma kontrolna pakietu IP 0			

2010-04-15 21:17:15	Nieprawidłowa suma kontrolna pakietu IP 0

> Usunąłem trojana za pomocą MBAM.

> Odhaczyłem w msconfig:

  • Windows Defender Apps Control (ale wraca)

  • Windows Live Control

  • win.exe

> Sprawdziłem blokadę portów przez WWDC (było wszystko na zielono).

Przeczyściłem CCleaner, ATF, usunąłem Recycle.bin, chciałem wył./zał. przywracanie systemu, ale nie mogę bo jest komunikat: ... Żądanie nie jest obsługiwane (0x80070032).

Podaję logi:

Gmer http://wklej.org/id/319984/txt/ (chyba do końca się nie zeskanowało...)

i OTL http://wklej.org/id/319979/txt/.

Proszę o instrukcję co dalej.


(deFco247) #2

W GMER zrobiłeś log w niewłaściwy sposób. W nim należy wszystko robić na domyślnych ustawieniach, zaznaczając do skanu tylko partycję systemową.

Przede wszystkim jednak logi robione w nieprawidłowych warunkach:

W tle działa sterownik napędów wirtualnych, który fałszuje obraz systemu.

Usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pobierz Combofix, ale nie uruchamiaj.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(Marcos 777) #3

Log ComboFix: http://wklej.org/id/320489/txt/

Log Gmer: (za chwilę podam)


(deFco247) #4

Combofix elegancko pousuwał wszystko co potrzebne.

Log GMER jest już zbyteczny.

Ten plik usuń poprzez Shift+Delete :

Otwórz Notatnik i wklej do niego:

Plik zapisz jako typ wszystkie pliki pod nazwą plik.bat -> jako admin uruchom powstały plik.

Wykonaj: Start -> Uruchom... -> Combofix /uninstall

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).


(Marcos 777) #5

Wszystko wykonałem.

Log MBAM - czysty.

Log OTL.Extras: http://wklej.org/id/321548/txt/

Log OTL.txt: http://wklej.org/id/321551/txt/


(deFco247) #6

Logów OTL już nie musiałeś podawać, infekcji żadnych w nich nie ma.

Na usunięcie pójdą tylko te bezplikowe, martwe usługi oraz kilka innych śmieci od Gadu-Gadu.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem uruchamiasz OTL ponownie i wywołujesz w nim opcję CleanUp.

Obowiązkowe aktualizacje systemu i aplikacji:

Usuń stare wersje Javy i zaktualizuj ją za pomocą JavaRa.

Audacity 1.3.12 + K-Lite Codec Pack 5.9.0 + MyDefrag 4.2.9 + Real Alternative 2.0.1 + Unlocker 1.8.9 + VLC Media Player 1.0.5 + GIMP 2.6.8


(Marcos 777) #7

Log z fix OTL:

http://wklej.org/id/321594/txt/

A teraz robię aktualizacje...

Jeszcze jedno,

nie mogę usunąć pliku: E:\$RECYCLE.BIN\nic\nic\nic\CAZQ4NNT.

W Total Commanderze go widzę, a jak daję opcję F8 Usuń, to jest komunikat "Nie znaleziono pliku".

Jak próbuję usunąć poprzez Shift+Delete: to jest komunikat, że "Dostęp do pliku zabroniony".

Nie radzi sobie: Unlocker, LockHunter, FileASSASSIN. Jest jakaś rada? Komp z Vista Home 32-bit.


(deFco247) #8

To jest specyficzny plik z wadą nazwy.

Spróbuj tak: Start -> Uruchom... -> cmd

Wpisujesz w oknie:

Zatwierdzasz Enterem.


(Marcos 777) #9

Próbuję i taki efekt:

Microsoft Windows [Wersja 6.0.6002]

Copyright (c) 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.


C:\Users\user>del "\\.\E:\$RECYCLE\nic\nic\nic\CAZQ4NNT."

System nie może odnaleźć określonej ścieżki.


C:\Users\user>

(deFco247) #10

Nie wpisujesz poprawnej ścieżki.

Ma być:

Oczywiście ten felerny plik naprawdę się znajduje w folderze nic\nic\nic ??


(Marcos 777) #11

Nazwy folderów w ścieżce oczywiście oryginalnie były inne, ale żeby było łatwo je odnaleźć i usunąć zmieniłem na "nic".

Znów kicha:

Microsoft Windows [Wersja 6.0.6002]

Copyright (c) 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.


C:\Users\user>del "\\.\E:\$RECYCLE.BIN\nic\nic\nic\CAZQ4NNT."

Nie można odnaleźć \\.\E:\$RECYCLE.BIN\nic\nic\nic\CAZQ4NNT..


C:\Users\user>

(deFco247) #12

Widzę, że tak lekko to nie pójdzie.

Użyj Delete FXP FIles.


(Marcos 777) #13

Usunąłem od razu składnią podaną przez DawidS28:

http://www.searchengines.pl/index.php?showtopic=137888&st=0#entry598458

Start/Uruchom/cmd/

Innych metod nie zdążyłem wypróbować.

Dziękuję Wszystkim.

:slight_smile: