Uruchomiłem trojana, nie wiem czy czysto, logi


(Łukasz [Bot]) #1

Witam. Przez godzinę nie miałem aviry, tylko kaspra i uruchomiłem pewien plik ( nie wiedziałem, że to trojan ) . Wszystko ok, kasper milczy. Zainstalowałem avire i ona wykryła w tym pliku trojana. Usunęła plik, zrobiłem skan i w systemie nic nie znalazła, oprócz tego, że nie mogła otworzyć tego pliku

C:\WINDOWS\system32\drivers\sptd.sys

      [WARNING] The file could not be opened!

Oto log z Combo : http://wklej.org/id/c9b514525d Dzięki za pomoc :slight_smile:


(przemek1234) #2

Jedo pytanie. To ustrojstwo (ten toolbar) free-downloads.net instalowałeś sam?


(Łukasz [Bot]) #3

O teraz go zauważyłem. Siedzi w przeglądarce IE, ale widzę, że ma napis alcohol, którego dzisiaj instalowałem, więc jest to niechciany dodatek do alcohola

120 %.


(przemek1234) #4

Na poczatek pisze, żebyś jeszcze nic nie robil bo moge się nie znac. Ten syswinan.vbs dziwnie mi wyglada. Jak wpisuje syswinan.vbs w google wyskakują same strony z crackami. W tym wiel takich, ktore AVG zglasza jako zawirusowane.

EDIT: Ale jeszcze poczekaj na wypowidzi ekspertów od securitu.


(Łukasz [Bot]) #5

Powiem tak. Mam oryginalnego windowsa. Kiedyś nie chciało mi się dzwonić do microsoftu i zcrackowałem windowsa. Ale ten crack i tak nie działa,a mam oryginalną winde, więc nie jestem piratem. Ten syswinan.vbs to chyba pozostałość po tym cracku :oops:


(Szwejas2) #6

Wklej do Notatnika:

File::

C:\WINDOWS\system32\syswinan.vbs 


Folder::

C:\Program Files\free-downloads.net 


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}] 

[-HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 

"{ecdee021-0d17-467f-a1ff-c7a115230949}"=-

Plik-->Zapisz jako... -->CFScript

Przeciągnij plik CFScript.txt na plik ComboFix.exe

02f8f1e3c410a4cc.gif

Podczas usuwanie powstanie log. Wrzuć go na forum.

Po restarcie usuń folder C:\Qoobox****.


(Łukasz [Bot]) #7

Dzięki. Zrobione. Oto nowy log z combo http://wklej.org/id/8b798e757b :slight_smile:


(Szwejas2) #8

Log jest czysty

  1. Usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

  2. Przeczyść komputer Ccleanerem

  3. Wykonaj optymalizację autostartu

  4. Wyłącz przywracanie systemu na wszystkich dyskach

  5. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE), daj raport z niego na forum lub Dr.WEB CureIt!

  6. Włącz przywracanie systemu.

sptd.sys jest od DaemonTools


(Łukasz [Bot]) #9

Zrobiłem to co mówiłeś. Kasper nic nie wykrył. Dzięki za pomoc. :slight_smile:


(huber2t) #10

Przeskanuj system jeszcze dr web


(Łukasz [Bot]) #11

Dr. Web nic nie znalazł, ale avira znalazła :

C:\WINDOWS\Nircmd.exe

      [DETECTION] Contains detection pattern of the application APPL/NirCmd.E.2.B

      [NOTE] The file was moved to '48e3c942.qua'!

Plik dałem do kwarantanny :slight_smile:


(Spandau) #12

To pozostałość po Combofix można usunąć

:slight_smile:


(Łukasz [Bot]) #13

Ok, chyba już czysto. :slight_smile: Dzięki za pomoc :smiley: