Proszę o pomoc w usunięciu trojanów

ersatz [ Centurion ]

1. Ściągnij/zainstaluj/zaktualizuj:
Spybot S&D
DrWeb CureIt.
Gmer
Rootkit Revealer
ComboFix
Resztę oprogramowania wcześniej zainstalowanego odinstaluj.

2. Odłącz komputer od sieci. Użyj Gmer'a i/lub RootkitRevealera w celu poszukiwać rootkita.

Gmer lubi do tego tryb awaryjny. Po prostu podejrzewam, że masz radosne trio - rootkit ukrywa downloadera, który ciągle zaciąga trojana, którego ciągle czyścisz.

3. Ciągle mając odłączoną sieć skanujesz komputer Spybotem i cureit'em. Usuwasz oczywiście wszystko co się znajdzie. Reset, sprawdzenie BEZ PODŁĄCZANIA SIECI.

4. W wypadku bardzo złośliwych śmieci konieczne będzie użycie ciekawszych narzędzi w rodzaju Combofixa. Nadal wszystko bez sieci.

5. Sprawdzenie co i jak. Jeżeli w tym momencie wszystko wygląda cacy, podłączysz sieć i zacznie się od nowa, to znaczy że downloader nadal w systemie siedzi i nadal rootkit go skutecznie ukrywa.
Jak rootkit działa w trybie kernela, to szybszym sposobem jest niestety postawienie systemu od nowa niż walka z nim.

[edit]
Dobrym LiveCD, przydatnym przy tego typu przypadłościach jest Hirens w wersji 9.7 - oferuje on bootowalny mini windows, który pozwala na całkowite ominięcie systemu z dysku twardego przy uruchamianiu kompa.


Darth Adrian <--- jeżeli jedyne, co potrafisz poradzić koledze to Norton albo format, daruj sobie. Prosił o inną pomoc.

Rezor [ broken_thoughts ]

Gwarantuję, że ten program rozwiąże Twój problem. Już paroktornie go wykorzystałem w tym celu na różnych kompach i z różnymi trojanami i jeszcze nigy mnie nie zawiódł:

Trojan Remover:



Jakby to nie pomogło (w co wątpię) to wtedy patrz post powyżej i zacznij zabawe z combofixem czy gmer-em.

Mr_Baggins [ Consigliere ]

Dzięki :)


2. Możesz skorzystać z formatowania...

Jasne, albo na przykład kupić nowy komputer. Też powinno pomóc.

Spróbuję najpierw trojan remover, chociaż nie spodziewam się, że pomoże. Podobno StopZilla, której używam, jest bardzo dobra, jedna z najlepszych.

Po prostu podejrzewam, że masz radosne trio - rootkit ukrywa downloadera, który ciągle zaciąga trojana, którego ciągle czyścisz.

Bardzo możliwe, bo po odłączeniu sieci jest spokój. Z ciekawostek, to procesy im.exe i IEXPLORE.exe nie chcą się zamknąć z managera procesów. Mało tego, nawet im priorytetu nie można zmienić. Plik im.exe gnieździ się ukrytych katalogach, których nie widać nawet po odznaczeniu opcji pokazywania ukrytych katalogów. Żeby było jeszcze śmieszniej, nie daje się go wywalić przy pomocy File Assassin. FA pisze, że plik jest dla niego niewidoczny.

Herr Flick [ Wyjątek Krytyczny ]

A próbowałeś Jacka? ;)


zrób skan, a potem wrzyć loga na stronę


Tam gdzie pojawią się ostrzeżenia - zaznaczyć okienko w programie i FIX!

Nie wiem czy pomoże ale trzeba próbować wszystkiego :)

19.03.2009

10:35

[7]

Darth Adrian [ Elektronika to moje życie ]

Mr_Baggins ---> Coś mi się wydaję, że nie potrafisz formatować dysku. Ale nie jestem tego stuprocentowo pewny :D Jeśli jak mówisz po odłączeniu z siecią jest spokój to można wywnioskować, że tzw "wirus" korzysta z jakiś określonych witryn i stamtąd (najprawdopodobniej) ściąga określone biblioteki potrzebne do wykonywania jakiś nieznośnych zadań. Nie miałeś przypadkiem takiego momentu, w którym przeglądarka wczytywała tajemnicze witryny ?

EDIT: Z tym formatowanie nie bierz tego do serca i się nie załamuj :D

19.03.2009

19:59

[8]

Mr_Baggins [ Consigliere ]

Wygląda na to, że ścierwo usunąłem za pomocą HijackThis i stronki podanej przez Herr Flick. Dla pewności przejadę jeszcze tym Gmer i Rootkit revealer. Jeszcze raz dzięki.

Mr_Baggins [ Consigliere ]

Jeszcze jakieś gówienko musi siedzieć, bo na tę stronę mogę wejść tylko przez proxy... Ciekawe.
Na początku była niezła jazda - syf wyłączył antywirusa, poblokował strony anty-spyware, komp mulił jak cholera, procesów svchost.exe było 12, po zainstalowaniu avast oszalał.

Kordynator [ Pretorianin ]

zainstaluj CombFix

blazerx [ ]

Odlaczyles z sieci? U mnie zawsze dziala Spybot

rogalinho [ Illmatic ]

A nie możesz przezs tryb awaryjny przeskanować?

Mr_Baggins [ Consigliere ]

Spoko, teraz chodzi Dr. Web. Sytuacja wydaje się opanowana, w managerze procesów nie ma już żadnych im.exe ani dodatkowego svchost. Taki jeden svchost.exe siedział w nieprzewidzianym dla niego folderze i trochę namieszał - fikał przy usuwaniu, wywalał komunikat, że system się zamyka i odliczał. Ale nie zamykał (jak sasser) tylko straszył. Ale poszedł już w PiSdu. Jedno, co jeszcze mi się nie podoba, to dwa procesy iexplore.exe w managerze. HijackThis niczego złego już nie pokazuje.

AdixPL [ Konsul ]

ale uruchom combofixa... jak combofix nic nie wykryje to już jest cacy ;) ale dam sobie rękę uciąć, że coś znajdzie ;)

NicK [ Smokus Multikillus ]

Jakby co, to możesz jeszcze spróbować tym:



Należy tylko wybrać odpowiednią wersję i najlepiej odinstalować wcześniej inne programy antywirusowe. Z resztą na tej stronie jest wszystko opisane.

Mr_Baggins [ Consigliere ]

Combofix usunął jeszcze jakieś dwa czy trzy wpisy i strona hijack this działa bez proxy. Chyba koniec. Jeszcze tylko - gdzie można sprawdzić loga z combofixa? O ile hijack this trochę ogarniam, to tego nie bardzo.