Trojan w win.exe + problem Win.Defender Apps Controll

marcos_777 · 20 Kwiecień 2010 23:46

Witam,

Przy starcie komputera z Windowsem Vista HE pojawiają się komunikaty, żeby dopuścić (zezwól/anuluj) aplikację Windows Defender Apps Control.exe.
MBAM wykrył Trojan.Agent w C:\PROGRAM FILES\MY APPLICATIONS\win.exe.
Nie mogę utworzyć punktów przywracania systemu, jest komunikat: … Żądanie nie jest obsługiwane (0x80070032).
Często ESET SS zapisuje w dzienniku zdarzeń zapory osobistej Eset tego typu raporty

(info - mamy router, do którego są podpięte jeszcze 3 inne kompy

2010-04-20 23:18:53	Nieprawidłowa suma kontrolna pakietu IP 0			

2010-04-20 17:31:11	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP	192.168.1.104	192.168.1.1	ARP			

2010-04-20 17:28:03	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP	192.168.1.104	192.168.1.1	ARP			

2010-04-20 13:07:30	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:43534	UDP			

2010-04-20 13:07:28	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:43534	UDP			

2010-04-20 13:07:27	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:43534	UDP			

2010-04-20 13:07:26	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:48468	UDP			

2010-04-20 13:07:26	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:43534	UDP			

2010-04-20 13:07:12	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:47507	UDP			

2010-04-20 13:07:12	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:62346	UDP			

2010-04-20 13:07:11	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:62346	UDP			

2010-04-20 13:07:10	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:47507	UDP			

2010-04-20 13:07:09	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:47507	UDP			

2010-04-20 13:07:08	Wykryto atak z preparowaniem pakietów dla pamięci podręcznej DNS	192.168.1.1:53	192.168.1.101:47507	UDP			

2010-04-19 21:38:13	Nieprawidłowa suma kontrolna pakietu TCP 0			

2010-04-19 21:38:07	Nieprawidłowa suma kontrolna pakietu TCP 0			

2010-04-19 21:38:04	Nieprawidłowa suma kontrolna pakietu TCP 0			

2010-04-15 21:31:29	Nieprawidłowa suma kontrolna pakietu IP 0			

2010-04-15 21:17:15	Nieprawidłowa suma kontrolna pakietu IP 0

> Usunąłem trojana za pomocą MBAM.

> Odhaczyłem w msconfig:

Windows Defender Apps Control (ale wraca)
Windows Live Control
win.exe

> Sprawdziłem blokadę portów przez WWDC (było wszystko na zielono).

Przeczyściłem CCleaner, ATF, usunąłem Recycle.bin, chciałem wył./zał. przywracanie systemu, ale nie mogę bo jest komunikat: … Żądanie nie jest obsługiwane (0x80070032).

Podaję logi:

Gmer http://wklej.org/id/319984/txt/ (chyba do końca się nie zeskanowało…)

i OTL http://wklej.org/id/319979/txt/.

Proszę o instrukcję co dalej.

deFco247 · 21 Kwiecień 2010 12:44

W GMER zrobiłeś log w niewłaściwy sposób. W nim należy wszystko robić na domyślnych ustawieniach, zaznaczając do skanu tylko partycję systemową.

Przede wszystkim jednak logi robione w nieprawidłowych warunkach:

W tle działa sterownik napędów wirtualnych, który fałszuje obraz systemu.

Usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pobierz Combofix, ale nie uruchamiaj.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

marcos_777 · 21 Kwiecień 2010 19:59

Log ComboFix: http://wklej.org/id/320489/txt/

Log Gmer: (za chwilę podam)

deFco247 · 21 Kwiecień 2010 20:07

Combofix elegancko pousuwał wszystko co potrzebne.

Log GMER jest już zbyteczny.

Ten plik usuń poprzez Shift+Delete :

Otwórz Notatnik i wklej do niego:

Plik zapisz jako typ wszystkie pliki pod nazwą plik.bat -> jako admin uruchom powstały plik.

Wykonaj: Start -> Uruchom… -> Combofix /uninstall

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

marcos_777 · 21 Kwiecień 2010 21:22

Wszystko wykonałem.

Log MBAM - czysty.

Log OTL.Extras: http://wklej.org/id/321548/txt/

Log OTL.txt: http://wklej.org/id/321551/txt/

deFco247 · 23 Kwiecień 2010 18:39

Logów OTL już nie musiałeś podawać, infekcji żadnych w nich nie ma.

Na usunięcie pójdą tylko te bezplikowe, martwe usługi oraz kilka innych śmieci od Gadu-Gadu.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem uruchamiasz OTL ponownie i wywołujesz w nim opcję CleanUp.

Obowiązkowe aktualizacje systemu i aplikacji:

Usuń stare wersje Javy i zaktualizuj ją za pomocą JavaRa.

Audacity 1.3.12 + K-Lite Codec Pack 5.9.0 + MyDefrag 4.2.9 + Real Alternative 2.0.1 + Unlocker 1.8.9 + VLC Media Player 1.0.5 + GIMP 2.6.8

marcos_777 · 23 Kwiecień 2010 19:10

Log z fix OTL:

http://wklej.org/id/321594/txt/

A teraz robię aktualizacje…

Jeszcze jedno,

nie mogę usunąć pliku: E:$RECYCLE.BIN\nic\nic\nic\CAZQ4NNT.

W Total Commanderze go widzę, a jak daję opcję F8 Usuń, to jest komunikat “Nie znaleziono pliku”.

Jak próbuję usunąć poprzez Shift+Delete: to jest komunikat, że “Dostęp do pliku zabroniony”.

Nie radzi sobie: Unlocker, LockHunter, FileASSASSIN. Jest jakaś rada? Komp z Vista Home 32-bit.

deFco247 · 25 Kwiecień 2010 16:21

To jest specyficzny plik z wadą nazwy.

Spróbuj tak: Start -> Uruchom… -> cmd

Wpisujesz w oknie:

Zatwierdzasz Enterem.

marcos_777 · 25 Kwiecień 2010 17:34

Próbuję i taki efekt:

Microsoft Windows [Wersja 6.0.6002]

Copyright (c) 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.


C:\Users\user>del "\\.\E:\$RECYCLE\nic\nic\nic\CAZQ4NNT."

System nie może odnaleźć określonej ścieżki.


C:\Users\user>

deFco247 · 25 Kwiecień 2010 18:32

Nie wpisujesz poprawnej ścieżki.

Ma być:

Oczywiście ten felerny plik naprawdę się znajduje w folderze nic\nic\nic ??

marcos_777 · 25 Kwiecień 2010 22:08

Nazwy folderów w ścieżce oczywiście oryginalnie były inne, ale żeby było łatwo je odnaleźć i usunąć zmieniłem na “nic”.

Znów kicha:

Microsoft Windows [Wersja 6.0.6002]

Copyright (c) 2006 Microsoft Corporation. Wszelkie prawa zastrzeżone.


C:\Users\user>del "\\.\E:\$RECYCLE.BIN\nic\nic\nic\CAZQ4NNT."

Nie można odnaleźć \\.\E:\$RECYCLE.BIN\nic\nic\nic\CAZQ4NNT..


C:\Users\user>

deFco247 · 26 Kwiecień 2010 11:48

Widzę, że tak lekko to nie pójdzie.

Użyj Delete FXP FIles.

marcos_777 · 26 Kwiecień 2010 15:49

Usunąłem od razu składnią podaną przez DawidS28:

http://www.searchengines.pl/index.php?showtopic=137888&st=0#entry598458

Start/Uruchom/cmd/

Innych metod nie zdążyłem wypróbować.

Dziękuję Wszystkim.