Trojany, prawdopodobnie coś z svchost


(Lcmilord) #1

Avast ciągle znajduje nowe trojany w system32, które po prostu pojawiają się "znikąd". Gdy próbowałem go usunąć ręcznie, wyskoczyła odmowa dostępu. Używając Unlockera dowiedziałem się, że używa go svchost.

Dodatkowo na starcie systemu wywala mi się lsass.exe z komunikatem, że pamięć pod adresem jakimśtam nie może być "written".

Log z hjt:

http://wklejto.pl/4166


(Leon$) #2

log czysty

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 przeskanuj daj log

:slight_smile:

Pamięć nie może być 'read'/'written' http://forum.centrumxp.pl/default.aspx?g=posts&t=108100


(Lcmilord) #3

Log z ComboFix

http://wklejto.pl/4350

Ponadto... przy ostatnich dwóch włączeniach systemu, lsass już się nie wywalił. Nadal są niepokojące mnie rzeczy:

1) Na starcie włącza się ftp.exe i łączy z jakimś adresem:

http://www.zapisztekst.yoyo.pl/upl/jani ... aaaaaa.PNG (screen z Active Ports)

2) Jeden z svchostów łączy się z innym adresem będącym w sieci tego samego (a zarazem mojego) dostawcy internetu.


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\x

C:\WINDOWS\system32\hqghumea.dll

C:\WINDOWS\system32\wyj.exe

C:\WINDOWS\system32\wdb.exe

C:\adware.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Leon$) #5

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Lcmilord) #6

Oto nowy log:

http://wklejto.pl/4356

Podmieniłem z konsoli odzyskiwania ftp.exe i svchost.exe na oryginalne... Coś jednak nadal uruchamia ftp.exe i tą drogą ściąga trojany i zmodyfikowany svchost - przynajmniej takie są moje przypuszczenia.


(huber2t) #7

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\ntz.exe

C:\WINDOWS\system32\jea.exe

C:\WINDOWS\system32\dhi.exe

C:\WINDOWS\system32\lgn.exe

C:\WINDOWS\system32\sjz.exe

C:\WINDOWS\system32\gptmi.exe

C:\WINDOWS\system32\etvzeh.exe

C:\WINDOWS\system32\jyd.exe

C:\WINDOWS\system32\bxp.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ) Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->02f8f1e3c410a4cc.gifRozpocznie się usuwanie i powstanie log, daj ten log na forum. Logi dajesz na http://wklejto.pl a w poście dajesz tylko link_W dniu_ 30.06.2008 , o godzinie 5:55 został dopisany post przez huber2t Pobierz ComboFix, ale nie uruchamiaj Wklej do notatnika:

File::

C:\WINDOWS\system32\ntz.exe

C:\WINDOWS\system32\jea.exe

C:\WINDOWS\system32\dhi.exe

C:\WINDOWS\system32\lgn.exe

C:\WINDOWS\system32\sjz.exe

C:\WINDOWS\system32\gptmi.exe

C:\WINDOWS\system32\etvzeh.exe

C:\WINDOWS\system32\jyd.exe

C:\WINDOWS\system32\bxp.exe

Plik - zapisz jako - CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu -

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link