Jump to content

троянски кон в explorer.exe

titan76
 Share

Препоръчан пост

titan76 Новобранец

titan76

Публикувано
Публикувано
Здравейте ! Компютърът ми е заразен, и антивирусната неможе да го отстрани. Заразен е процес explorer.exe Платформата е Windows Xp professional Service Pack 3. С НОД32 съм, пуснах сканиране с Panda, тя откри други вируси и ги премахна, след това се върнах към Нода, защото съм с нея по принцип, Pandata не откри зараза в explorer.exe, но нод показва, зараза в оперативната памет - прикачвам снимка от сканирането на Нода, помогнете ...

post-18907-0-14219900-1321026894_thumb.jpg

Link to comment
Сподели другаде
titan76 Новобранец

titan76

Публикувано
  • Author
Публикувано
Имам ги и двете, направих последователно сканиране - първо с mbam, след това и със Super Antispyware, откриха някакви гадинки и ги премахнах но това остана, ..... сега гледам че в task manager имам 8 процеса svchost.exe, а имах само 6, услуги не съм пускал други...

post-18907-0-96600400-1321029100_thumb.jpg

Link to comment
Сподели другаде
titan76 Новобранец

titan76

Публикувано
  • Author
Публикувано

сега направих сканиране под Safe mode sus Syper anti spyware, имам лог файл от mbam, прилагам и двата, но не го откриват, сега ще опитам сканиране с Нода под сейф мод

 

ето дневника от САС

 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 11/11/2011 at 07:06 PM

 

Application Version : 4.50.1002

 

Core Rules Database Version : 7930

Trace Rules Database Version: 5742

 

Scan type : Quick Scan

Total Scan Time : 00:16:39

 

Memory items scanned : 228

Memory threats detected : 0

Registry items scanned : 1412

Registry threats detected : 1

File items scanned : 5585

File threats detected : 13

 

Adware.Tracking Cookie

C:\Documents and Settings\Rosen\Cookies\rosen@ad.yieldmanager[2].txt

.imrworldwide.com [ C:\Documents and Settings\Rosen\Application Data\Mozilla\Firefox\Profiles\4yn9n9qs.default\cookies.sqlite ]

.imrworldwide.com [ C:\Documents and Settings\Rosen\Application Data\Mozilla\Firefox\Profiles\4yn9n9qs.default\cookies.sqlite ]

.smartadserver.com [ C:\Documents and Settings\Rosen\Application Data\Mozilla\Firefox\Profiles\4yn9n9qs.default\cookies.sqlite ]

.smartadserver.com [ C:\Documents and Settings\Rosen\Application Data\Mozilla\Firefox\Profiles\4yn9n9qs.default\cookies.sqlite ]

.smartadserver.com [ C:\Documents and Settings\Rosen\Application Data\Mozilla\Firefox\Profiles\4yn9n9qs.default\cookies.sqlite ]

.smartadserver.com [ C:\Documents and Settings\Rosen\Application Data\Mozilla\Firefox\Profiles\4yn9n9qs.default\cookies.sqlite ]

.smartadserver.com [ C:\Documents and Settings\Rosen\Application Data\Mozilla\Firefox\Profiles\4yn9n9qs.default\cookies.sqlite ]

counter.search.bg [ C:\Documents and Settings\Rosen\Application Data\Mozilla\Firefox\Profiles\4yn9n9qs.default\cookies.sqlite ]

.histats.com [ C:\Documents and Settings\Rosen\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies ]

.histats.com [ C:\Documents and Settings\Rosen\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies ]

.doubleclick.net [ C:\Documents and Settings\Rosen\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies ]

.googleads.g.doubleclick.net [ C:\Documents and Settings\Rosen\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies ]

 

Malware.Trace

HKU\S-1-5-21-789336058-436374069-1060284298-1003\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON#SHELL

 

 

немога да го прикача и го публикувам, поставих засеченото под карантина ..... сега ще пробвам с Нод

mbam-log-2011-11-11 (14-35-32).txt

Link to comment
Сподели другаде
Night_Raven Сътрудник

Night_Raven

Публикувано
Публикувано

Направо не схващам защо потребителите имат алергия към актуален софтуер. Осъзнаваш ли колко стари версии използваш?

 

Както и да е...

 

Ако имаш антивирусна програма инсталирана, я спри, както и всякакви други излишни програми. Изтегли ComboFix (ако случайно вече имаш някаква версия, я замени) и го запази на работния плот.

Стартирай го, кликни I Agree, изчакай да се разархивира и сканира докрай. Не кликай по прозореца на инструмента. Ако бъдеш попитан(а) дали да бъде инсталирана Recovery Console, кликни Yes и потвърди след това с OK и отново Yes (два пъти). Сканирането ще продължи. Ако има нужда от рестарт, компютърът ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато той не се самозатвори. След това постави съдържанието на текстовия файл C:\ComboFix.txt тук или го прикачи към коментара си.

 

Ако не можеш да установиш връзка с интернет след използване на ComboFix, рестартирай системата.

Link to comment
Сподели другаде
titan76 Новобранец

titan76

Публикувано
  • Author
Публикувано

ето резултата от комбо фикс - но ми изчезна смяната на езика .....

 

Благодаря за помоща - сега Нод показва че всичко е наред и няма заразен процес в паметта

ComboFix.txt

Link to comment
Сподели другаде
B-boy/StyLe/ Новобранец

B-boy/StyLe/

Публикувано
Публикувано

Night_Raven е леко уморен, затова засега аз ще продължа.

  • Моля изтеглете Junction.zip и го запазете на вашия десктоп.
  • Разархивирайте архива и копирайте файла junction.exe в C:\Windows.
  • Отворете notepad и въведете следния код:
    @ECHO OFF
    junction -s c:\ > log.txt
    start log.txt
    del %0
  • Запазете файла с иметo - Check.bat и го стартирайте с десен бутон => Run as administrator
  • Изчакайте проверката да завърши и да се появи лог файла.
  • Копирайте съдържанието му в следващия си пост.

Link to comment
Сподели другаде
B-boy/StyLe/ Новобранец

B-boy/StyLe/

Публикувано
Публикувано

Прокси сървърите познати ли са ви ?

 

uInternet Settings,ProxyServer = http=193.124.164.253:80

 

FF - user.js: network.proxy.http - 194.144.146.111

FF - user.js: network.proxy.http_port - 80

 

 

*. Отворете notepad.exe

*. Отидете до Format и махнете отметката пред Word Wrap

 

http://www.spunkyjones.com/wp-content/uploads/2009/05/open-windows-notepad-no-wordwrap.jpg

 

*. С copy/paste въведете следната информация:

 

Folder::

c:\documents and settings\Rosen\Local Settings\Application Data\0b6e3296

Fcopy::

c:\windows\ServicePackFiles\i386\tcpip.sys | c:\windows\system32\drivers\tcpip.sys

 

*. Запазете файла с име CFScript и го провлачете и пуснете в Combofix (както е показано на картинката отдолу).

 

http://img517.imageshack.us/img517/8662/cfscript10uc2.gif

 

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

 

*. Когато Combofix приключи ще създаде лог файла. Моля, публикувайте този файл в следващия си пост.

Link to comment
Сподели другаде
B-boy/StyLe/ Новобранец

B-boy/StyLe/

Публикувано
Публикувано

Имахте Zero.Access рууткит и ще е добре да направим още няколко проверки:

 

 

СТЪПКА 1

 

 

Моля изтеглете последната версия на TDSSKiller и я запазете на вашия декстоп.

  • Стартирайте TDSSKiller.exe за да стартирате приложението.
  • Натиснете бутона Start Scan.
     
    http://img202.imageshack.us/img202/1699/19695967.jpg
  • Ако подозрителен обект бъде засечен, действието по подразбиране ще бъде Skip, кликнете върху Continue.
     
    http://img716.imageshack.us/img716/7638/67776163.jpg
  • Ако зловредни обекти бъдат намерени, тогава от падащото меню ще имате три възможности.Бъдете сигурни, че избраното действие е Cure и натиснете върху Continue > Рестартирайте за да бъде завършена поправката.
     
     
    http://img717.imageshack.us/img717/718/62117367.jpg
    Забележка: Ако Cure бутона не е наличен от възможностите, тогава моля изберете Skip бутона, не избирайте Delete освен ако не сте инструктирани затова.
  • Лог файл ще бъде създаден в свободната директория на дял C: . Потърсете за лог с името "TDSSKiller [Version]_[Date]_[Time]_log.txt" и копирайте съдържанието му в следващия си пост.

 

 

СТЪПКА 2

 

 

Изтеглете GMER и разархивирайте програмата на десктопа.

 

Преди да сканирате компютъра се уверете, че всички останали работещи програми в момента са изключени и антивирусния софтуер няма да предприема никакви действия по време на сканирането на Gmer. Не използвайте компютъра си, докато трае сканирането.

 

Кликнете два пъти пъти върху gmer.exe , за да стартирате програмата.

Тя ще направи начално сканиране за секунди. След като то приключи, натиснете бутона Scan, и след като завърши с бутона Copy/Paste поставете съдържанието на лог файла в следващия си пост.

 

 

ПС: Има ли още проблем със смяната на езика ?

Link to comment
Сподели другаде
titan76 Новобранец

titan76

Публикувано
  • Author
Публикувано

Ето резултата от TSskiller, но селектирах и другите две опций - Verify driver digital signature и Detect TDLFS file system, прилагам снимка на отчета, защото засече подозрителни обекти - от тях да изтривам ли, защото по подразбиране бяха - skip ?

 

Смяната на езика, я поправих от C\Windows\system32\ и намерих ctfmon.exe - стартирах го и се оправи, автоматично се е вписал и в регистъра за стартиращи програми ...

TDSSKiller.2.6.18.0_12.11.2011_08.58.15_log.txt

post-18907-0-63661100-1321081853_thumb.jpg

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
 Share
Иди на предишната тема
×
×
  • Създай ново...