Wirus w postaci plikow z rozszerzeniem .t


(system) #1

W folderach z programami utworzyly sie pliki z rozszerzeniem .t i sa wykrywane przez antywirusa jako wirus lecz nie moze ich wyleczyc a te programy przestaja dzialac.


(Joan Sunshine) #2

1.Użyj SmitFraudFix z opcji 2 w trybie awaryjnym.

  1. Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).

  2. W HJT odpalonym w trybie awaryjnym zaznaczasz wpisy i klikasz na dole "Fix checked" , to co na czerwono usuwasz ręcznie z dysku:

4.Wrzucasz nowe logi z HJT i Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle) oraz koniecznie raport ze SmitFraudFix – plik c:\rapport.txt. :slight_smile:


(adam9870) #3

Joan => Jest rootkit więc nie ma co się bawić.

Pobierz Gmer'a.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • W zakładce CMD z zaznaczoną podopcją CMD.EXE wklej:

  • w zakładce Procesy kliknij Zabij wszystko. Teraz proszę się nie przestrasz ponieważ zniknie pulpit itd. i czekaj cierpliwie na zniknięcie.

  • będąc jeszcze w zakładce Procesy kliknij Pliki i skasuj plik

_zsk_zlu_zlope04bxabyt[awa]jvnwj.exe

który znajduje się w c:\windows\system32

  • w zakładce CMD z zaznaczoną opcją CMD.EXE kliknij Uruchom

  • w zakładce Procesy wskaż przez ... (trzy kropki) hijacka i usuń w nim poniższe wpisy (jeśli będą)

Teraz reset i pokaż komplet logów:

  • HijackThis

  • SilentRunners

  • Dwa logi z Gmer'a przy takich ustawieniach:

  • Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy.

  • Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy.


(system) #4

Gdy probowalem w GMER po nacisnieciu ZABIJ WSZYSTKO program zawieszal sie.

A w HJT nie mozna usunac tego wpisu:

gdy go usuwam i po ponownym przeskanowaniu on ponownie wraca,

Nie ma tych 2 plikow na dysku:

Oto logi:

Silent Runners

hijackthis

SmitfraudFix


(Gutek) #5

W Gmerze w zakładke CMD >>> CMD: wklej

I daj uruchom. Komp sie zrestartuje. Daj nowe logi zajmiemy się resztą


(system) #6

LOGI:

HJT

Silent Runners

Gmer


(system) #7

Masz aktywny driver DAEMON Tools (sptd.sys) , więc on wybitnie przeszkadza w tej akcji zrób tak

Pozbędziesz się najpierw usług rootkita

Wystartuj do awaryjnego, przy starcie systemu po logowaniu zapyta sie czy ładowac driver sptd.sys dasz ESC aby anulowac ładowanie.

Następnie wejdziesz do programu gmer i powtórz metodę usuwania którą podał Gutek

Następnie daj nowe logi . Hijackthis, silent runners i gmer

Wpisz w uruchom regedit i ok

i przejdz

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

i usuń wpis


(system) #8

Zrobilem tak jak mowil wiewia, wpis zniknal tylko, ze pliki nadal sa zainfekowane.

LOGI:

HJT:

Silent Runners:

Gmer (tylko ten z uslugami, 2 dodam pozniej)


(Bbieniol) #9

Użyj koniecznie narzędzia -> Rustock.b-fix.

Otwórz notatnik i wklej w nim to:

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.REG

Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa :slight_smile:

Po zabiegach jeszcze raz wszystkie logi + raprot z Rustock.b-fix, czyli C:\rustbfix\ pelog.txt


(system) #10

Wirus nadal jest

Logi:

Silent runners

HJT

Gmer

SmitfraudFix


(Gutek) #11

Już Ok :slight_smile:


(system) #12

Dobrze slyszec, ze chociaz tu ok tylko, ze problem nadal zostal pliki sa zainfekowane a programy nadal nie dzialaja.

Slyszalem od kuzyna ze jest jakis wirus ktory zmienia administratora czy cos takiego i mowil ze to moze byc to...


(Gutek) #13

Gdy jest problem z plikami .exe - Użyj UnHookExec.inf - który odblokuje uruchamianie exe. Po ściągnięciu pliku UnHookExec.inf na dysk należy kliknąć na niego prawym i wybrać opcję Instaluj. Nic się nie pokaże bo to nie jest żadna instalacja. Inny - exefix.reg


(system) #14

Niestety nie pomoglo, w folderach gdzie sa te niedzialajace programy utworzyly sie pliki o rozszerzeniu .t i antywirus nie moze ich wyleczyc a gdy uruchamiam zarazony program pojawia sie komunikat:

Wszystkie pliki sa na swoim miejscu i mam tylko jedno konto uzytkownika.