Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Trojan (logi hijacka) - jak usunąć? - proszę o rady

tokaj251 12 Cze 2008 18:02 3441 23
  • #1 12 Cze 2008 18:02
    tokaj251
    Poziom 9  

    Załapałem trojana. Nie ma możliwości zainstalowania antywirusa. Przywracanie systemu niemożliwe - wygląda to że dopadł mnie bagle.
    Przeszukałem fora - ale żaden sposób nie działa ( pewnie nie trafiłem na ten odpowiednie ).
    Prosze o pomoc - a oto log z hijacka.


    Sprawdzałem na stronie hijacka i w 3 przypadkach wyświetliło sie że jest infekcja. Wygląda to że konik siedzi w plikach przywracania systemu , ale sam nie potrafie sobie z tym poradzić .
    Prosze o wskazówki i z góry dzięki.

    0 23
  • #3 12 Cze 2008 18:34
    tokaj251
    Poziom 9  

    Combofix już nie działa :( - a w załączniku też nie moge umieścić bo od razu jak wrzuce plik to wyłącza mi sie przeglądarka :/

    EDIT: Udało sie :)

    0
  • #5 12 Cze 2008 19:00
    tokaj251
    Poziom 9  

    Hmmm - obydwa linki mi nie działają :( - wcześniej sprawdzałem podobne i też nie działały
    Log z dss w załączniku

    Za godzine zrobie z awaryjnego bo musze spadać - jak tylko zrobie wrzuce log z combo

    0
  • #6 12 Cze 2008 19:25
    Kolobos
    Spec od komputerów

    W takim razie sciagnij, rozpakuj i uruchom:
    http://www.searchengines.pl/phpbb203/pliki/picasso/virus/tools/safeboot.zip

    Nastepnie tryb awaryjny z siecia i skanowanie avptool (link dziala).

    Wklej tez do notatnika:
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "POINTER"=-

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad4b9849-e09b-11dc-a7e2-00a1b0004aa4}]

    Zapisz jako fix.reg i uruchom.

    0
  • #10 12 Cze 2008 20:31
    Kolobos
    Spec od komputerów

    Probowales uruchomic tryb awaryjny po uzyciu safeboot?
    Czy w logu z dss dalej widac: "SafeBoot registry key needs repairs. This machine cannot enter Safe Mode." ?

    0
  • #11 12 Cze 2008 20:33
    tokaj251
    Poziom 9  

    Jasne że po tym - za 4 razem zaskoczyło :) - nie wiem co sie dzieje że linki nie działają - ale może jakieś inne padło jeszcze skorzystało że nie mam anty - a oto raport

    aha zrobiłem krok po kroku jak sugerowałeś

    0
  • #12 12 Cze 2008 21:59
    Kolobos
    Spec od komputerów

    Uzyj ATF Clenaer i usun wszystko z Temp, nastepnie sprawdz czy w C:\\DOCUME~1\\kot\\USTAWI~1\\Temp zostaly jakies pliki.

    Uruchom tez regedit, przejdz do:
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] i usun tam wszystkie wpisy tego typu:
    "C:\\DOCUME~1\\kot\\USTAWI~1\\Temp\\winonrphs.exe"="C:\\DOCUME~1\\kot\\USTAWI~1\\Temp\\winonrphs.exe:*:Enabled:ipsec"

    Sprobuj tez zrobic skan tym:
    http://freedrweb.com/cureit/

    Oraz daj log z gmera, po uruchomieniu naciskasz szukaj i to co sie wyswietli kopiujesz do pliku i dajesz log w zalaczniku.

    Skoro tryb awaryjny juz dziala to uzyj combofix tak jak pisalem wczesniej.

    0
  • #13 12 Cze 2008 23:35
    tokaj251
    Poziom 9  

    czyli w trybie awaryjnym co robie? Nie chce nic popierniczycz

    EDIT: Ocvzywiście ATF Clenaer nie działa i link też - reszte robie

    Dodano po 18 [minuty]:

    Zrobiłem jak mówiłeś

    0
  • #14 12 Cze 2008 23:45
    Kolobos
    Spec od komputerów

    Combofix dziala?
    Czy programy probujesz sciagnac w trybie awaryjnym z obsluga sieci?

    0
  • #15 12 Cze 2008 23:59
    tokaj251
    Poziom 9  

    combo narazie nie diała - w trybie awaryjnym z obsługą sieci nie moge wejść w neta :/ - mam prośbe możemy jutro powalczyć popołudniu? - ja rano wstać musze do roboty a po tym jak sędzia wydrukował karnego przeciw nam całkiem opadłem z sił - jeśli jutro podpowiesz coś to super .
    Narazie dzięki i miłych snów

    0
  • #16 13 Cze 2008 08:50
    Kolobos
    Spec od komputerów

    Sciagnij programy na innym komputerze, zmien nazwy plikow i sprobuj je uruchomic u siebie w trybie awaryjnym.

    0
  • #17 13 Cze 2008 19:25
    tokaj251
    Poziom 9  

    Udało mi sie combo uruchomić w awaryjnym - cclenerem też przeczyściłem - ale dziad dalej siedzi. Załatwił mi mozille - przy odpaleniu restart.

    Co robić dalej??

    0
  • #18 13 Cze 2008 20:00
    Kolobos
    Spec od komputerów

    W logu nic ciekawego nie widac, do kasacji tylko:
    C:\WINDOWS\system32\CF0.exe

    Czy udalo Ci sie przeskanowac system przy pomocy AVPTool lub Dr.Web CureIt? Bez tego raczej nic nie da sie zrobic.

    0
  • #19 13 Cze 2008 20:24
    tokaj251
    Poziom 9  

    Nie niestety dalej stronki nie moge załadować. Dr.Web CureIt nie próbowałem - zaraz popróbuje i jak jakiś efekt będzie dam znać. Dziad na bank dalej siedzi bo antywiry niedziałają ( lub od razu restart)

    EDIT: wpisując w przeglądarke Dr.Web CureIt zamyka ją - kurde dobry jest :/

    Dodano po 7 [minuty]:



    Mam takie pytanie - mam drugi dysk - tylko musze system postawić . Załóżmy że tam zarzuce noda32 i te wsdzystkie programy - następnie podepne obydwa tak żeby ten nowy był master - czy jest szansa żeby wtedy wyplewić dziada?

    0
  • #20 18 Cze 2008 21:01
    tokaj251
    Poziom 9  

    A więc udało mi sie uruchomić kasperskiego i oto co wyszło - win32.Sality.y. Zjechałem go w awaryjnym kasperskim - podleczyłem , ale kiedy przechodze w zwykły tryb trojan jest spowrotem.
    Jak z tym sobie poradzić??

    0
  • Pomocny post
    #21 18 Cze 2008 21:39
    Kolobos
    Spec od komputerów

    Nie wiem po co w ogole dales ten log skoro wszystkie pliki sa zainfekowane tym samym, a sam log ma 75MB..
    Masz zainfekowane wszystkie pliki exe, a trojan to tylko dodatek.
    Usun wszystkie pliki exe oraz dll (reszte mozesz zgrac na cd/dvd) ze wszystkich partycji, nastepnie zrob format dyskow i przeinstaluj system.

    0
  • #22 18 Cze 2008 21:43
    tokaj251
    Poziom 9  

    Sorki - robiłem na szybkiego bo z neta też mnie wywala.
    U kumpla było to samo i zrobiliśmy też skan kasperskim tylko w trybie normalnym i udało sie go wyplenić - czemu tam dało rade a tu nie??

    0
  • #23 20 Cze 2008 17:44
    tokaj251
    Poziom 9  

    A więc zrobiłem tak:
    W trybie awaryjnym zainstalowałem avasta ( najnowszą wersje) - następnie przed rozruchem w trybie normalnym zeskanowałem kompa i po koleji zainfekowane pliki usuwałem.
    Restart instalacja SP2 i pobranie aktualizacji do avasta.
    No i udało sie - po 3 kolejnych skanach 2 trojany usunąłem -za 3 razem już było czysto.
    Także reinstalacja dysków nie była potrzebna.

    0
  • #24 20 Cze 2008 18:54
    Kolobos
    Spec od komputerów

    To dobrze, ze sie udalo ale pamietaj, ze wystarczy jeden zainfekowany plik i cala infekcja wroci.

    0