Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.
itemscope itemtype="https://schema.org/QAPage"

Paskudny wirus traffixeng

arch_x 03 Lis 2012 11:40 4446 4
  • Paskudny wirus traffixeng

    #1
    Poziom 20  

    Witam, postanowiłem opisać moje przygody z wirusem traffixeng - być może komuś się przyda, a nie jestem do końca przekonany, czy problem został u mnie całkowicie rozwiązany. Chyba nie, stąd także moja prośba o pomoc.
    Komputer stacjonarny, ze stałym łączem do internetu, XP, przeglądarka IE, SP3, najnowszy pakiet Nortona. Jakiś tydzień temu, komputer zaczął się dziwnie zachowywać. Po uruchomieniu, sam generował ruch wychodzący i przychodzący. Przy statycznej stronie, przykładowo wp.pl, cały czas wymieniał z kimś dane. Ponieważ mam ikonki powiadomień to widać było ruch. Często na 1-2 godzin pracy statycznej to było 200-300 tys pakietów wysłanych i odebranych. Po obejrzeniu historii przeglądanych stron, wychodziła cała masa stron rosyjskich, hazardowych, japońskich, itp, na których nigdy nie byłem i bardzo duża ilość połączeń ze stroną o.traffixeng.com.
    Po skanowaniu pełnym komputera Nortonem Antivirus 2012 Symanteca nic się nie wykryło, następnie poszukałem w internecie i na polskich stronach niczego nie było, trafiłem na stronę Link gdzie jest opis tego wirusa. Wirus instaluje się bez żadego ostrzeżenia i generuje ruch w sieci. Ma to ogromne znaczenie np w przypadku korzystania z limitowanych transferów.
    Jeżeli ktoś nie ma wyprowadzonych na pulpit ikonek powiadomień i nie widzi ruchu to zdziwi się po otrzymaniu rachunku za transfer, strasznie :(
    Po ściągnięciu i zainstalowaniu programu wykonuje on skanowanie i wykrywa tego wirusa, ale usunięcie jest możliwe po aktywacji która jest płatna.
    Następnie trafiłem na stronę Link która mi pomogła. Pierwszy ściągnięty program TDSKiller Kasperskiego - niczego nie wykrył, także ESET Online Scanner po ściągnięciu najnowszych sygnatur także nic nie wykrył. Dopiero scaner aswMBR AVASTa coś wykrył.
    Log z MBRa poniżej, wpis z loga o 21.08 - zainfekowany plik NOD1141.tmp. Po jego usunięciu ruch ustał, ale nie jestem przekonany, że to rozwiązało problem. Być może zasadnicze części jeszcze są a usunieto jakąś ważną część. Dokładny opis tego świństwa na stronie którą zlinkowałem powyżej. Przepraszam za obszerne opisanie problemu w dziale pogotowie, ale wydaje mi się że może pomóc.
    Pozdrawiam.

    0 4
  • Pomocny post
    #2
    Spec od komputerów

    Zrob skan przy pomocy cureit. Daj w zalaczniku oba logi z OTL.

    1
  • #3
    Poziom 20  

    Dziękuję za pomoc :)
    Ściągnąłem i przeskanowałem programem CureIt. Wykrył 1 adware, 1 trojan i jeden nieustalony plik. Wszystkie usunął. Następnie zainstalowałem i przeskanowałem OTL. Skany z CureIt i OTL w załączeniu.
    Problem wygląda na rozwiązany, ponieważ teraz ruch wychodzący i przychodzacy to pojedyncze pakiety, czyli tak jak było przedtem.
    Pozdrawiam.

    0
  • Pomocny post
    #4
    Spec od komputerów

    Odinstaluj:
    SpeedyPC Pro
    SpyHunter Security Suite
    Adobe Reader 9.4.5 - Polish, zmien na Foxit: http://ninite.com/foxit/

    Java do aktualizacji -> www.java.com



    Uzyj AdwCleaner, opcja Delete.

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={EC6009A3-CF69-4643-A17F-77553735D1D1}
    IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2508618
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
    O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
    O4 - HKLM..\Run: [TV IR] C:\Program Files\TV IR\TV IR.exe File not found

    :Commands
    [emptytemp]

    Po wykonaniu wybierz Sprzatanie w OTL i to wszystko.

    1
  • #5
    Poziom 20  

    Zrobione i działa teraz bez zarzutu.
    Dziękuję i zamykam.

    0