Trojan win32 i coś jeszcze...?

Nie miałem ostatnio dostępu do kompa i dopiero dzisiaj zauważyłem pewną rzecz…

Najprawdopodobniej 5 stycznia wdarł mi się trojan win32 i wyłączył antywirusa (avast). Zapewne nałapałem też sporo syfu w między czasie dlatego czekam na pomoc…

Co do objawów to co pewien czas zauważyłem że zwiększa się zużycie procesora i komp zachowuje się czasami jakbym kliknął na “pokaż pulpit”. (zapewne coś jest wysyłane przez neta)

Co mam wywalić?

Usuń kosmetycznie ten wpis:

Zrób skan AVG AntySpyware 7.5 po update :slight_smile:

Wpis usunąłem

Program AVG AntySpyware 7.5 podczas aktualizacji informuje że nie może zapisać guard.exe

Ad-Aware SE personal nic nie wykrywa

Przeskanuj skanerem on-line dostępnym tutaj http://www.ewido.net/en/ i wklej raport.

Przeskanowałem i zobaczyłem coś takiego:

Wykasowałem ów pliki…

Następnie spróbowałem zainstalować avast i wyskoczył błąd zanim plik instalacyjny zaczął się rozpakowywać. Kombinując dalej spróbowałem zainstalować avast w innym folderze niz docelowy i wszystko wyglądało dobrze do momentu gdy nie uruchomiłem antywirusa…

Nagle okazało się że głowny plik został wykasowany (czyli znowu to samo).

Zainstalowałem antyvira jeszcze raz, uruchomiłem ponownie kompa i na chwilę pojawił się avast po czym został zduszony przez trojana i znowu wywalony z dysku.

Pomyślałem że wszystko może rozwiązać tryb awaryjny ale zamiast trybu awaryjnego widzę na czarnym tle jakby krótkie skanowanie i komp uruchamia się ponownie…

Działa tylko normalne uruchamianie

Skończyły mi się pomysły :frowning:

Użyj ATF Cleaner i przeczyść Current User Temp , All Users Temp oraz ewentualnie prywatne dane dotyczące Firefoxa.

Doceniam waszą społęczną pracę :slight_smile:

Ale niestety odkurzacz znalazł tylko trochę bezwartościowych śmieci a ATF Cleaner nie pomógł…

Jak pisałem wczesniej tryb awaryjny nie uruchamia się

Pomyslałem więc że sie doedukuję.

Okazało się, że tak jak myślałem mam trojana, który kasuje główne pliki programów antywirusowych przez co są bezużyteczne. Po kilku godzinach bezsensownej walki uświadomiłem sobie, że ten trojan musi posiadać listę programów które ma kasować przy starcie systemu (dlatego mam na początku 2-minutowy zwis) ale ta lista jest przecież ograniczona…

Szukając cudownego pominiętego programiku czyli po zabawie z cyklu: “w koło macieju” odkryłem że Firewall Comodo jest odporny na tego bydlaka. Grrrr… jak bym dorwał debila któy napisał tego trojana to bym mu … (cenzura)… ale dochodząc do sedna sprawy:

Firewall pokazał mi że pliki:

hldrrr.exe

services.exe

wintems.exe

podszywajac się pod explorera lub svchost próbują dostać sie do netu.

Początkowo próbowałem je blokować ale natężenie prób połączeń sięgało 10 na sekundę i nie mogłem nic robić …

Dlatego odpuściłem i czekam na informację jak ten syf usunąć.

Powtarzam że ów trojan uniemozliwia mi wejście do trybu awaryjnego

Przepraszam za taki wywód ale przeglądałem podobne tematy i niestety nigdzie nie znalazłem lekarstwa na ten problem a chcę aby mnie dobrze zrouzmiano.

Wrzuć nowy log z hijacka oraz dwa logi z

Gmer’a przy takich ustawieniach:

  1. Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta.

Drugi skan z GMERA jest bardzo długi…

Może go wrzucić na jakiś upload?

Złączono Posty : 15.01.2007 (Pon) 23:14

Skoro nie ma mozliwości edytowania postów to:

http://www.sendspace.com/file/84q014

Oto link do zRARowanych skanów…