Złapałem trojany Horse, Dropper, Downloader

Witam uczestników Forum.

To mój pierwszy post. Niestety od razu z problemami.

Proszę o pomoc.

Od trzech dni pracujący w tle Symantec AntiVirus sygnalizuje wykrywanie aż trzech trojanów Horse, Downloader i Dropper. Próbowałem skanowania. Doinstalowałem „Spyware Doctor” i wczoraj jeszcze NOD 32 ale one chyba się wykluczają, bo kiedy uruchomiłem skanowanie Nodem, działający w tle Symantec zaczął sypać komunikatami. Dosłownie setki komunikatów. Noda odinstalowałem. Najczęściej mam komunikaty o „Dropperze”.

Nie jestem biegłym komputerowcem, więc proszę o wyrozumiałość.

Dopisek z 16 07 2007:

W niedzielę uruchamiałem Combofix i skanownie on-line (Ewido) i chyba AVG Anti-Spyware 7,5. Trochę się zmieniło dlatego usuwam piątkowe logi i wklejam dzisiejsze. Dziś rano (w nocy skanowałem on-line ) miałem na ekranie dwa komunikaty od Symanteca o trojanie Backdoor :shock: . Jak narazie jeszcze dziś innych komunikatów nie było.

Podaję logi

I jeszcze Log po Combofix

Niestety cały nie wchodzi

usun wszystko co na czerwono w trybie awaryjnym z dysku a wpisy w hijacku

zobacz Usuwanie PurityScan

Wklej logi z GMERA

  1. Zakładka Rootkit > zaznacz wszystko oprócz Pokaż wszystko > kliknij Szukaj

  2. Zakładka Rootkit > zaznacz tylko Usługi oraz Pokaż wszystko > kliknij Szukaj i w obydwu przypadkach poczekaj cierpliwie, aż skończy pracę :slight_smile:

Przepraszam, że tak długo trwa, ale nie mogę usunąć tego trzeciego pliku.

Pojawia się komunikat Nie można usunąć. Plik jest używany przez inną osobę lub program. Resztę usunąłem.

Co dalej? Gmera jeszcze nie puszczałem.

rób jak napisałam po kolei i daj nowe logi

Udało mi się ten ostatni plik skasować ale za pomocą “KillBox”

Logi z gmera:

Pobierz: ATF-Cleaner i oczyść TEMP

Dokończyć skanerami online - Skanery do wyboru

Witam

Serdecznie dziękuję za pomoc. :smiley:

Od wczoraj nie pojawił się żaden komunikat z Symanteca.

Mam nadzieję, że nic nie zostało. Poczekam ze dwa dni i zobaczymy.

A które ze skanerów byś polecił? Ewido już puszczałem. (długo skanuje :slight_smile: )

Pozdrawiam

Andrzej

Użyj jeszcze Nod32 albo polecam - http://pl.trendmicro-europe.com/consume … launch.php

Puściłem NODA i wyrzuca mi już 10 zainfekowany plik z pytaniem, czy usunąć, czy zostawić.

Pierwszego skasowałem bez zastanowienia pozostałe skasowałem, ale zapisałem w notatniku, jakie to pliki. Zanosi się, że to jeszcze nie koniec.

Mam pytanie czy tego rodzaju pliki pozwolić mu kasować?

Jeśli można proszę kogoś znającego się na tym o odpowiedź jeszcze dziś.

Na razie wstrzymałem się z kasowaniem, bo boję się, że rozwalę Windowsa.

Oto te komunikaty Noda:

Plik C:\Instalki\OVERNET\overnet0.50.1.exe jest zainfekowany - Program Win32/Adware.UCmore.

Plik C:\WINDOWS\Lotr22.exe:ewgro jest zainfekowany - trojan Win32/TrojanDownloader.WinShow.NAK.

Plik C:\WINDOWS\Q330994.exe:menhd jest zainfekowany - trojan Win32/TrojanDownloader.WinShow.NAK.

Plik C:\WINDOWS\Q811630.log:ijula jest zainfekowany - trojan Win32/TrojanDownloader.WinShow.NAK.

Plik C:\WINDOWS{F3E4487D-D3D2-48F9-8C78-5D6BEDB0DEB0}.dat:aadkn jest zainfekowany - trojan Win32/TrojanDownloader.Agent.BQ.

Plik C:\WINDOWS{F3E4487D-D3D2-48F9-8C78-5D6BEDB0DEB0}.dat:aagzy jest zainfekowany - trojan Win32/TrojanDownloader.Agent.BQ.

Plik C:\WINDOWS{F3E4487D-D3D2-48F9-8C78-5D6BEDB0DEB0}.dat:aapge jest zainfekowany - trojan Win32/TrojanDownloader.Agent.BQ.

Plik C:\WINDOWS{F3E4487D-D3D2-48F9-8C78-5D6BEDB0DEB0}.dat:aarel jest zainfekowany - trojan Win32/TrojanDownloader.Agent.BQ.

Plik C:\WINDOWS{F3E4487D-D3D2-48F9-8C78-5D6BEDB0DEB0}.dat:aaylw jest zainfekowany - trojan Win32/TrojanDownloader.Agent.BQ.

Do usunięcia i nowy log z Combofixa

O dziękuję, już przestałem liczyć, że się ktoś odezwie.

Kasuję i kasuję. Pewnie ze stosześćdziesiąt albo i więcej a końca nie widać. Jestem dopiero na literze “e”.

np. “Plik C:\WINDOWS{F3E4487D-D3D2-48F9-8C78-5D6BEDB0DEB0}.dat:egdad jest zainfekowany - trojan Win32/TrojanDownloader.Agent.BQ.”

Jak skończę, to oczywiście Combofixa puszczę.

Złączono Posta : 19.07.2007 (Czw) 7:25

Podczas skanowania Nodem 4157 zainfekowanych plików :shock:

4156 wyleczonych plików

1 liczba aktywnych wirusów

Kiedy ręcznie usuwałem pliki z katalogu w którym Nod wykrył wirusa: “Plik C:\Instalki\OVERNET\overnet0.50.1.exe jest zainfekowany - Program Win32/Adware.UCmore.” pojawiło się to:

wirus1zb8.png

Shot at 2007-07-18

Oto log z combofixa:

Poczytaj o usuwaniu plików z pytajnikiem, a następnie usuń wskazany katalog.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Przeskanuj plik C:\WINDOWS\system32\140A160817.sys na stronie http://virusscan.jotti.org/ bądź http://www.virustotal.com/pl/, a następnie przedstaw tu wyniki skanowania.

Uwaga : przed skanowaniem włącz pokazywanie ukrytych oraz systemowych plików i folderów. W przeciwnym wypadku nie ujrzysz wskazanego pliku poprzez Eksplolator Windows. W tym celu wejdź do Panelu Sterowania -> uruchom aplet Opcje folderów -> przejdź na zakładkę Widok -> zaznacz opcję Pokaż ukryte pliki i foldery oraz odznacz opcję Ukryj chronione pliki systemu operacyjnego (zalecane) -> potwierdź zmiany klikając Zastosuj, a następnie OK.

Przeskanuj system którymś z tych skanerów on-line i usuń wszystko to, co znajdą:

:arrow: http://www.ewido.net/de/onlinescan/

:arrow: http://www.kaspersky.pl/virusscanner.html

Opróżnij Kosz. Dodatkowo będąc w trybie awaryjnym korzystając z wiersza polecenia wydaj polecenie RD /S Q C:\RECYCLER

Po wykonaniu zdaj relacje i wklej nowy log z ComboFix.

Niestety musiałem nieoczekiwanie wyjechać w delegację (taka praca).

Wróciłem dwie godziny temu. Dlatego dopiero teraz się odzywam.

Próbuję, zgodnie z podaną instrukcją za pomocą linii komend wejść w katalog s?curity, ale nie mogę. Kiedy piszę: CD C:\Program Files\Common Files\s?curity\ otrzymuję komunikat: nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna"

Mogę wejść do Common files, ale nie dalej.

Próbowałem wylistować pliki ukryte bez i z rozszerzeniem na katalogi ( /S)

ale katalog s?curity się nie wyświetla.

Próbowałem mimo to zmienić atrybut tego katalogu ale skutek ten sam. Jakby go tam nie było.

Czy jest jakiś inny sposób dotarcia i skasowania tego katalogu?

Daj nowy log z ComboFix

Chwileczkę

Wygląda na to, że tego katalogu i pliku już po prostu nie ma.

Za pomocą HijackThis usunąłem ten wpis:

O4 - HKCU…\Run: [Lyj] “C:\Program Files\Common Files\s?curity\l?ass.exe”

Czy mimo to zrobić ten wpis za pomocą notatnika?

Rezultat skanowania pliku C:\WINDOWS\system32\140A160817.sys

Service load: 0% 100%

File: 140A160817.sys

Status: OK

MD5: ba898b29f0dbf9307f494475a8393f03

Packers detected: -

Bit9 reports: File not found

Scan taken on 20 Jul 2007 06:44:35 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

Polecenie RD /S Q C:\RECYCLER w trybie awaryjnym wokonałem.

Log z Combofix:

No już Ok

Jeszcze raz wielkie podziękowania za udzieloną mi pomoc.

Pozdrawiam :smiley:

Andrzej