Trojan win32 Rustock

knudsen15 · 22 Kwiecień 2010 09:36

Witam mój Eset Nod 32 wykrył trojana jwin32 Rustock w pamięci operacyjnej, były też inne plugastwa jednak tylko z Rustockiem sobie nie poradził, jestem nowicjuszem jeśli chodzi o sposoby jego wyleczenia, oczywiście myślałem o formacie jednak w moim przypadku byłby dość bardzo pracochłonny.

Pisząc tą wiadomość starałem się postępować jak w instrukcjach na forum, poniżej zamieszczam link do pliku tekstowego otrzymanego w OTL, za wszystkie porady z góry dziękuje, czekam na odpowiedź.

http://www.wklej.org/id/320668/

Pozdrawiam

Bartek

spandaupol · 22 Kwiecień 2010 12:59

Zabezpiecz się przed infekcją z mediów przenośnych użyj Flash Disinfector lub Perlovga Removal Tool http://www.searchengines.pl/Infekcje-z- … 94761.html

W okno Custom Scans/Fixes w OTL wklej:

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Bartek\SPYBOT~1\SDHelper.dll File not found O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll () O3 - HKLM…\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (BearShare) O3 - HKCU…\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (BearShare) O4 - HKCU…\Run: [bitComet] C:\Program Files\BitComet\BitComet.exe File not found O4 - HKCU…\Run: [sony Ericsson PC Suite] e:\Bartek\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe File not found O4 - HKCU…\Run: [spybotSD TeaTimer] E:\Bartek\Spybot - Search & Destroy\TeaTimer.exe File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Figo\Dane aplikacji\zwog.exe) - C:\Documents and Settings\Figo\Dane aplikacji\zwog.exe File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Figo\Dane aplikacji\zwog.exe) - C:\Documents and Settings\Figo\Dane aplikacji\zwog.exe File not found O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-2875282498-5868786728-153536539-7780\nissan.exe) - C:\RECYCLER\S-1-5-21-2875282498-5868786728-153536539-7780\nissan.exe File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Figo\Dane aplikacji\mnryv.exe) - C:\Documents and Settings\Figo\Dane aplikacji\mnryv.exe File not found :Reg [-HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp] [start explorer] [Reboot]

Klikasz na Run Fix. Jeśli zajdzie taka potrzeba restartujesz komputer. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Run Scan i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

knudsen15 · 22 Kwiecień 2010 19:53

Postąpiłem zgodnie z instrukcjami.

Oto co uzyskałem:

log po RunFix http://www.wklej.org/id/321120/

log po 2 RunScan http://www.wklej.org/id/321116/

Aha nie wiem czy to ma znaczenie, ponieważ zainstalowałem DrWebba jak antywirusa, więc noda musiałem odinstalować. Nie wiem właściwie co lepsze??

Ps dzięki za poprzednią odpowiedź.

spandaupol · 23 Kwiecień 2010 07:21

W okno Custom Scans/Fixes w OTL wklej:

:OTL O20 - HKLM Winlogon: TaskMan - (c:\documents and settings\figo\dane aplikacji\zwog.exe) - c:\documents and settings\figo\dane aplikacji\zwog.exe File not found O20 - HKCU Winlogon: Shell - (c:\documents) - File not found O20 - HKCU Winlogon: Shell - (and) - File not found O20 - HKCU Winlogon: Shell - (settings\figo\dane) - File not found O20 - HKCU Winlogon: Shell - (aplikacji\zwog.exe) - File not found O20 - HKCU Winlogon: Shell - (c:\documents) - File not found O20 - HKCU Winlogon: Shell - (and) - File not found O20 - HKCU Winlogon: Shell - (settings\figo\dane) - File not found O20 - HKCU Winlogon: Shell - (aplikacji\mnryv.exe) - File not found :Files C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET C:\Documents and Settings\Figo\Ustawienia lokalne\Dane aplikacji\ESET C:\Documents and Settings\All Users\Dane aplikacji\ESET :Commands [emptytemp] [start explorer] [Reboot]

Klikasz na Run Fix. Jeśli zajdzie taka potrzeba restartujesz komputer. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Run Scan i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Wykonaj pełne skanowanie DrWebem

knudsen15 · 23 Kwiecień 2010 21:33

Zrobiłem wszystko jak w ostatniej wiadomości oto rezultaty:

runfix2 http://www.wklej.org/id/321299/

runscan3 http://www.wklej.org/id/321302/

Wykonałem także wyłączenie i włączenie przywracania systemu,

Pełny skan dr webbem nie został dokończony prze nagłą awarię prądu, jednak po 11 godzinach skanu (70%) wszystko było w porządku, szybki skan również nie wykazał żadnych infekcji, jedynie wyświetlił sie komunikat: Systemy operacyjne z rodziny Windows używają pliku HOSTS do mapowania nazw hostów na adresy IP. Modyfikacja pliku HOSTS może wskazywać na działanie w systemie szkodliwego oprogramowania. Czy chcesz przywrócić domyślną wersję pliku HOSTS?

NIe wiem za bardzo co z tym komunikatem??

Wygląda na to że wszystko jest w porządku:) szkoda że ten pełny skan nie został dokończony, poza tym aż boję się korzystać z pendriva tym bardziej że korzystałem nim z kompów w akademiku.

Dziękuję bardzo za okazaną pomoc

Pozdrawiam

spandaupol · 24 Kwiecień 2010 06:47

W okno Custom Scans/Fixes w OTL wklej:

Klikasz na Run Fix.

Uruchom OTL klikasz na CleanUp

Przeczyść system oraz rejestr CCleaner

Tak przywróć domyślną wersję pliku inaczej możesz to zrobić tak, edytuj plik hosts i wywal z niego wszystko oprócz tej linii

W pierwszym poście w tym temacie podałem link w którym dokładnie jest opisane jak zabezpieczyć się przed infekcją z mediów przenośnych

Dodatkowo wykonaj pełne skanowanie Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html

knudsen15 · 26 Kwiecień 2010 20:50

Scan Malwarebytes nie wykazał nic szkodliwego, komp chodzi jakby szybciej pomimo że lata świetności ma dawno za sobą. Jeszcze raz wielkie dzięki za pomoc:)