grzegorz9922 Opublikowano 21 Grudnia 2010 Zgłoś Udostępnij Opublikowano 21 Grudnia 2010 Witam. Niedawno zauważyłem że komputer został zainfekowany przez trojana et3ypes.exe. Trojan znajduje się na wszystkich partycjach. Nod32 wykrywa go ale ma problem z usunięciem. Prawdopodobnie infekcja wdarła się z pendrive-a kolegi jakiś czas temu. Przypuszczam że telefon również mam zainfekowany. Nie wiem tylko jakim cudem do tego doszło skoro antywirus cały czas działał. Próbowałem wyleczyć to narzędziem CCleaner oraz smitfraudfix przez tryb awaryjny, niestety bezskutecznie. Próbowałem również tego narzędzia: Flash_Disinfector. Przy każdym skanowaniu zagrożenie widnieje na pierwszym planie. Proszę o pomoc gdyż wydaje mi się że całkowity format to w ostateczności. Wcześniej miałem również coś w rodzaju autorun.inf ale teraz nie wykrywa tego --> przez tryb awaryjny chyba udało mi się to usunąć (instrukcja z internetu - krótkie wpisywane komendy do wiersza poleceń) Mam również wrażenie że komputer zużywa więcej pamięci RAM! Załączam kilka logów z tych programów o które prosicie aby dodać. Były one robione podczas działania antywirusa - nie wiem czy tak ma być... Daemon i alkohol został przedtem odinstalowany. Dodatkowo dołączam zagrożenia wykryte przez noda32: C:\RECYCLER\S-1-5-21-1645522239-562591055-839522115-1004\Dc6.zip » ZIP » eicar.com - Eicar plik testowy C:\RECYCLER\S-1-5-21-1645522239-562591055-839522115-1004\Dc7.zip » ZIP » eicar_com.zip » ZIP » eicar.com - Eicar plik testowy C:\WINDOWS\system32\arking.exe - odmiana wirusa Win32/PSW.OnLineGames.PQA koń trojański C:\WINDOWS\system32\arking0.dll - odmiana wirusa Win32/PSW.OnLineGames.PQA koń trojański C:\WINDOWS\system32\mgking.exe - odmiana wirusa Win32/PSW.OnLineGames.PPR koń trojański C:\WINDOWS\system32\mgking0.dll - odmiana wirusa Win32/PSW.OnLineGames.PPR koń trojański C:\WINDOWS\system32\mgking1.dll - odmiana wirusa Win32/PSW.OnLineGames.PPR koń trojański D:\et3ypes.exe - Win32/PSW.OnLineGames.OUM koń trojański D:\Grzesiek\zapisy do gier\GTA San Andreas User Files\SASpeedo.zip » ZIP » SASpeedo.exe - prawdopodobnie odmiana wirusa Win32/Adware.Vapsup.IHKBXKE aplikacja D:\Grzesiek\zapisy do gier\GTA San Andreas User Files\;-)\SASpeedo.exe - prawdopodobnie odmiana wirusa Win32/Adware.Vapsup.IHKBXKE aplikacja E:\et3ypes.exe - Win32/PSW.OnLineGames.OUM koń trojański Results of screen317's Security Check version 0.99.8 Windows XP Service Pack 3 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! ESET NOD32 Antivirus ``````````````````````````````` Anti-malware/Other Utilities Check: CCleaner Java 6 Update 21 Out of date Java installed! Adobe Flash Player 10.1.102.64 Adobe Reader 9.4.1 Out of date Adobe Reader installed! Mozilla Firefox (3.6.13) ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` Extras.Txt GMER.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 22 Grudnia 2010 Zgłoś Udostępnij Opublikowano 22 Grudnia 2010 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe -- (Norton Internet Security) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX) DRV - File not found [File_System | System | Stopped] -- C:\WINDOWS\System32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010c\WNt500x86\Sandra.sys -- (SANDRA) DRV - File not found [File_System | Unknown | Running] -- -- (pavboot) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ppp\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Running] -- C:\WINDOWS\System32\DRIVERS\a347bus.sys -- (a347bus) FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://radiobar.toolbarhome.com/search.aspx?srch=ku&q=" [2010-03-24 20:12:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\extensions\radiobar@toolbar [2009-12-30 16:02:44 | 000,002,921 | ---- | M] () -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\searchplugins\daemon-search.xml [2010-03-24 20:11:57 | 000,001,589 | ---- | M] () -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\searchplugins\web-search.xml O3 - HKU\S-1-5-21-1645522239-562591055-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. [2010-12-18 12:47:39 | 000,115,712 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll [2010-12-18 11:49:33 | 000,121,344 | RHS- | M] () -- C:\WINDOWS\System32\arking0.dll [2010-12-18 11:17:55 | 000,186,368 | RHS- | M] () -- C:\WINDOWS\System32\arking.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. 3. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Odnośnik do komentarza
grzegorz9922 Opublikowano 22 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 22 Grudnia 2010 Witam. Dzięki za szybką odpowiedź. Zrobiłem tak jak kazałeś. 1. Skrypt wklejony - komputer zrestartowany --> dołączam log 2. Ponowne skanowanie OTL przeprowadzone 3. Skanowanie przy podłączeniu pendrive i trzech telefonów które były podłączane wcześniej podczas trojana - zrobione Czy zapamiętać wszystkie literki z dysków przenośnych i kolejność podłączania??? Na wszelki wypadek zapiszę to. OTL.Txt UsbFix.txt Skrypt - raport po restarcie systemu.txt Odnośnik do komentarza
Landuss Opublikowano 22 Grudnia 2010 Zgłoś Udostępnij Opublikowano 22 Grudnia 2010 Zamontuj kolejny skrypt do OTL: :Files Recycled /alldrives RECYCLER /alldrives K:\i00dvoym.exe I:\i00dvoym.exe E:\et3ypes.exe C:\WINDOWS\System32\mgking1.dll :Commands [emptytemp] Nowy log z OTL do oceny i z USBFix przy podpiętych urządzeniach. Odnośnik do komentarza
grzegorz9922 Opublikowano 22 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 22 Grudnia 2010 Zrobione! Po ponownym uruchomieniu kompa skanuję esetem wszystkie urządzenia przenośne i nic nie wykryło. Zacząłem skanować również partycje i wcześniej od razu wykrywało wirusa a teraz nic Dzięki wielkie! Wstawiam kolejne logi jak kazałeś. Oby nic już nie było do usuwania. I jeszcze jedno pytanie: czy opłaca się włączyć aktualizacje automatyczne? Dotychczas miałem to wyłączone i wszystko ręcznie aktualizowałem co trzeba. Czy to mogło być przyczyną infekcji (brak łatek itd) czy po prostu antywirus nod32 jest za słaby ? 12222010_181501.txt OTL.Txt UsbFix.txt Odnośnik do komentarza
Landuss Opublikowano 22 Grudnia 2010 Zgłoś Udostępnij Opublikowano 22 Grudnia 2010 (edytowane) Wszystko zeszło i nic tu więcej nie ma na usuwanie. Użyj teraz opcji Sprzątanie z OTL. Wyzeruj tez przywracanie systemu: KLIK I jeszcze jedno pytanie: czy opłaca się włączyć aktualizacje automatyczne? Dotychczas miałem to wyłączone i wszystko ręcznie aktualizowałem co trzeba. Czy to mogło być przyczyną infekcji (brak łatek itd) czy po prostu antywirus nod32 jest za słaby ? Aktualizacje automatyczne powinny być włączone bo dobrze jest mieć aktualne łaty. Nod to dobry antywirus, ale nic nie jest doskonałe. Edytowane 17 Października 2011 przez picasso 24.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi