Trojany, dialery, adware, spyware itp - jak się tego pozbyć?


(Stefekxxl) #1

witam! mam na komputerze takie objawy:

  • system uruchamia się i działa wolniej

  • niektóre programy zawieszają się podczas uruchamiania

  • co jakiś czas w przeglądarce otwiera się strona nt. adware, spyware, error albo xxx

  • wyskakują na 100% fałszywe komunikaty IE lub Windows o znalezieniu jakiegoś syfu lub wystąpieniu błędu i zalecenie naciśnięcia OK w celu usunięcia problemu, przeskanowania (najcześciej w języku angielskim)

  • zwielokrotnione procesy (nie wiem czy to jest normalne czy nie) np. svchost.exe jest na liście 5 razy

  • po połączeniu się z internetem (neostrada) avast odzywa sie co najmniej 3 razy wyłapując dialery i trojany (za pierwszym razem jak włączyłem komputer to nie nadążałem z usuwaniem tego co avast wyłapał, było tego mnóstwo). mimo że wybieram "przerwanie połączenia" i usuwam pliki bezpowrotnie to przy każdym uruchomieniu komputera i połączeniu z internetem dzieje się dokładnie to samo (czasem trochę inna nazwa trojana, dialera) i często wskazuje lokalizację C:\Documents and settings\uzytkownik\Temp (lub jakąś podobną) do której wchodziłem, usuwałem wszystkie pliki (w tym wskazane exeki) i nic to nie zmieniło

  • skanowałem komputer programami spybot search & destroy oraz ad-aware - za pierwszym razem znalazły mnóstwo syfu, po każdym następnym uruchomieniu komputera i skanie było tego zdecydowanie mniej. w wynikach często pojawiały się sylaby "win", "trj", "dial" itp.

  • czasem pojawia się okienko dialera z ikoną ust lub atak samootwierających się okienek zawieszających komputer

to narazie tyle co pamiętam, właśnie uruchomilem skaner online mks_vir 2k7, który narazie nic nie wyłapał. na pewno chodzi o trojany, dialery, spyware, adware i tego typu rzeczu na 99% pochodzące z pornsajtów. nie przypominam sobie, żeby avast wyłapał jakiegos wirusa. krótko mówiąc - krajobraz jak po bitwie, a ja po powrocie z urlopu potrzebuje komputera do pracy - już jutro. pierwszy raz mam taką sytuację i nie umiem sobie z nią poradzić, dlatego proszę o jakieś wskazówki, porady jak się tego syfu z komputera pozbyć.

//edit

mks_vir wlasnie cos wykryl

mks1.JPG.xs.jpg

"Wirusa nie da się usunąć" jakie dzialanie podejmowac w takiej sytuacji?


(iwa nike) #2

dać HT do sprawdzenia


(Stefekxxl) #3

HT

Logfile of HijackThis v1.99.1

Scan saved at 16:18:27, on 2007-06-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\illtoqke.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

E:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\mspaint.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\rafal\Pulpit\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\mlvypdje.dll",realset

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - E:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - E:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{530DD327-BA63-4AC2-B6AE-021C0E1E5991}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CCS\Services\Tcpip\..\{87E32737-4BB4-4241-98D0-DBFD58179BBE}: NameServer = 85.255.116.21,85.255.112.230

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.21 85.255.112.230

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: DomainService - - C:\WINDOWS\system32\illtoqke.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

nie wiem co to jest

msconfig.JPG.xs.jpg

nastepne wyniki z mks_vir - avast tego nie wykryl, wskazal inne nazwy trojanow:

mks2.JPG.xs.jpg

mks3.JPG.xs.jpg

mks4.JPG.xs.jpg

mks5.JPG.xs.jpg

mks6.JPG.xs.jpg

Złączono Posta : 24.06.2007 (Nie) 16:43

dowiedzialem sie, ze SAVE to jakies reklamy WHEN U SAVE. w katalogu c:\program files\save znajdowal sie plik txt i html, usunalem wiec katalog, a w msconfig wylaczylem save.exe


(qrczak13) #4

W trybie awaryjnym użyj VundoFix + FixVundo + VirtmundoBeGone

Użyj FixWareOut

Po wykonaniu w/w daj log z ComboFix.


(Stefekxxl) #5

OK, tak zrobię, tylko muszę zapisać to wszystko na dysku, bo w trybie awaryjnym nie mogę połączyć się z internetem.

Mam już nazwę tego syfu, który wykrywa avast podczas łączenia się z siecią. Tak to wygląda:

avast1.JPG.xs.jpg

A tak to usuwam (bezskutecznie):

avast2.JPG.xs.jpg


(adam9870) #6

Dodatkowo pobierz i program ATF Cleaner >>> zaznacz Empty Selected >>> poczekaj chwilkę na pojawienie się pewnej informacji >>> ponownie kliknij Empty Selected >>> uruchom ponownie komputer.

Po wykonaniu wklej log z ComboFix, o który prosił @qrczak13


(Stefekxxl) #7

Odpaliłem w trybie awaryjnym VundoFix. Nie wiem czy to ma znaczenie, ale po uruchomieniu tego programu nie miałem takiej opcji: Run VundoFix as a task. Miałem tylko Scan i Remove. Zrobiłem więc ten skan, pokazała się lista plików, ale nie wszystkie mogły zostać usunięte. Te, z którymi był problem miały zostać usunięte po reboocie. Zrobiłem Click OK to reboot… i komputer uruchomiłem ponownie w trybie awaryjnym, ponownie odpaliłem ten program i na liście były już tylko 3 pliki, dałem więc Remove i znowu 2 z nich nie mogły zostać usunięte. Ponownie reboot… I przy trzecim uruchomieniu komputera, systemu w trybie awaryjnym i VundoFix lista była pusta, więc chyba wszystko OK.

Log wygląda tak:

ten plik pokazywał msconfig:

C:\WINDOWS\system32\mlvypdje.dll

Następnie odpaliłem FixVundo (ten Symantec’a), ale nic nie znalazl.

Log:

Potem VirtumundoBeGone, który zrestartował komputer i wyrzucił loga:

I na końcu F-vmonde (f-secure), który pokazał: No infection found.

Potem z następnej strony ściągnąłem i zainstalowałem FixwareOut. Odpaliłem i po chwili wyskoczył komunikat, żeby zrobić reboot. Program wyrzucił taki kod:

ComboFix - klikalem podczas pracy tego narzedzia, nie wiem czy to mialo jakis wplyw na jego prace.

Log wygląda tak:

i teraz uwaga - po zrobieniu tego wszystkiego i uruchomieniu systemu w normalnym trybie pojawia sie blad: Generic Host Process for Win32 Services (komunikat microsoftu) i po chwili strony przestaja sie ladowac, neostrada niby dziala ale sie nie laczy, przy probie zrestartowania polaczenia wyskakuje blad. avast nic nie pokazuje.


(qrczak13) #8

Pobierz Windows Worms Doors Cleaner, ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Ściągnij The Avenger,

wypakuj > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:

Po wklejeniu > Done > klik na zielone światło > ok i będzie restart. Po restarcie wchodzisz gdzie masz The Avenger wklejasz raport C:\avenger.txt

Po tym nowy log z combofix.


(Stefekxxl) #9

Tego jeszcze nie próbowałem.

Oto błąd, który mi się pojawiał:

win32services.JPG.xs.jpg

blad2.JPG.xs.jpg

blad3.JPG.xs.jpg

Ten błąd pojawiał się po ok. 2 minutach pracy, niezależnie od tego czy się połączyłem z siecią. Padało wszystko - net, dźwięk, ustawienia. Zrobiłem reinstall systemu, instalator usunął zawartość c:\windows i zainstalował tam świeży system. Ale reszta katalogów i plików na tej partycji jest nietknięta.

Złączono Posta : 25.06.2007 (Pon) 2:26

Avast podczas uruchamiania systemu zrobił skan, nic nie wykrył. Pozamykałem porty WWDC.

Złączono Posta : 25.06.2007 (Pon) 5:09

Wygląda na to, że się wszystkiego pozbyłem. Reinstalacja systemu widocznie pomogła. Mam jeszcze takie pytanie - jak zabezpieczyć lepiej swój komputer? Obecnie używam avast! Antivirus (działa cały czas) oraz sporadycznie Spybot SD, Ad-Aware i DialerKiller. Mam włączoną zaporę Windows, aktualizacje automatyczne, porty pozamykane Windows Worms Door Cleaner’em i Firefoksa z AdBlock Plus. Co jeszcze mogę zrobić? Czy da się zablokować skutecznie pornsajty, strony z crackami i tym podobne szkodliwe wirtyny?


(Gutek) #10

Zdałby się jeszcze firewall :slight_smile: Uważaj gdzie wchodzisz :slight_smile:


(Stefekxxl) #11

Ok, dzięki. Zainstalowałem jeszcze Naomi do blokowania pornsajtów, ale niestety nie blokuje stron z crackami.