Skocz do zawartości

Koń trojański et3ypes.exe


Rekomendowane odpowiedzi

Witam. Niedawno zauważyłem że komputer został zainfekowany przez trojana et3ypes.exe. Trojan znajduje się na wszystkich partycjach. Nod32 wykrywa go ale ma problem z usunięciem. Prawdopodobnie infekcja wdarła się z pendrive-a kolegi jakiś czas temu. Przypuszczam że telefon również mam zainfekowany. Nie wiem tylko jakim cudem do tego doszło skoro antywirus cały czas działał. Próbowałem wyleczyć to narzędziem CCleaner oraz smitfraudfix przez tryb awaryjny, niestety bezskutecznie. Próbowałem również tego narzędzia: Flash_Disinfector. Przy każdym skanowaniu zagrożenie widnieje na pierwszym planie. Proszę o pomoc gdyż wydaje mi się że całkowity format to w ostateczności.

Wcześniej miałem również coś w rodzaju autorun.inf ale teraz nie wykrywa tego --> przez tryb awaryjny chyba udało mi się to usunąć (instrukcja z internetu - krótkie wpisywane komendy do wiersza poleceń)

Mam również wrażenie że komputer zużywa więcej pamięci RAM!

 

Załączam kilka logów z tych programów o które prosicie aby dodać. Były one robione podczas działania antywirusa - nie wiem czy tak ma być... Daemon i alkohol został przedtem odinstalowany.

 

Dodatkowo dołączam zagrożenia wykryte przez noda32:

 

C:\RECYCLER\S-1-5-21-1645522239-562591055-839522115-1004\Dc6.zip » ZIP » eicar.com - Eicar plik testowy

C:\RECYCLER\S-1-5-21-1645522239-562591055-839522115-1004\Dc7.zip » ZIP » eicar_com.zip » ZIP » eicar.com - Eicar plik testowy

C:\WINDOWS\system32\arking.exe - odmiana wirusa Win32/PSW.OnLineGames.PQA koń trojański

C:\WINDOWS\system32\arking0.dll - odmiana wirusa Win32/PSW.OnLineGames.PQA koń trojański

C:\WINDOWS\system32\mgking.exe - odmiana wirusa Win32/PSW.OnLineGames.PPR koń trojański

C:\WINDOWS\system32\mgking0.dll - odmiana wirusa Win32/PSW.OnLineGames.PPR koń trojański

C:\WINDOWS\system32\mgking1.dll - odmiana wirusa Win32/PSW.OnLineGames.PPR koń trojański

D:\et3ypes.exe - Win32/PSW.OnLineGames.OUM koń trojański

D:\Grzesiek\zapisy do gier\GTA San Andreas User Files\SASpeedo.zip » ZIP » SASpeedo.exe - prawdopodobnie odmiana wirusa Win32/Adware.Vapsup.IHKBXKE aplikacja

D:\Grzesiek\zapisy do gier\GTA San Andreas User Files\;-)\SASpeedo.exe - prawdopodobnie odmiana wirusa Win32/Adware.Vapsup.IHKBXKE aplikacja

E:\et3ypes.exe - Win32/PSW.OnLineGames.OUM koń trojański

 

Results of screen317's Security Check version 0.99.8

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

ESET NOD32 Antivirus

```````````````````````````````

Anti-malware/Other Utilities Check:

CCleaner

Java 6 Update 21

Out of date Java installed!

Adobe Flash Player 10.1.102.64

Adobe Reader 9.4.1

Out of date Adobe Reader installed!

Mozilla Firefox (3.6.13)

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

Extras.Txt

GMER.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe -- (Norton Internet Security)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX)
DRV - File not found [File_System | System | Stopped] -- C:\WINDOWS\System32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010c\WNt500x86\Sandra.sys -- (SANDRA)
DRV - File not found [File_System | Unknown | Running] --  -- (pavboot)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ppp\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Disabled | Running] -- C:\WINDOWS\System32\DRIVERS\a347bus.sys -- (a347bus)
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..keyword.URL: "http://radiobar.toolbarhome.com/search.aspx?srch=ku&q="
[2010-03-24 20:12:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\extensions\radiobar@toolbar
[2009-12-30 16:02:44 | 000,002,921 | ---- | M] () -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\searchplugins\daemon-search.xml
[2010-03-24 20:11:57 | 000,001,589 | ---- | M] () -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\searchplugins\web-search.xml
O3 - HKU\S-1-5-21-1645522239-562591055-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2010-12-18 12:47:39 | 000,115,712 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll
[2010-12-18 11:49:33 | 000,121,344 | RHS- | M] () -- C:\WINDOWS\System32\arking0.dll
[2010-12-18 11:17:55 | 000,186,368 | RHS- | M] () -- C:\WINDOWS\System32\arking.exe
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

3. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

 

 

 

Odnośnik do komentarza

Witam. Dzięki za szybką odpowiedź. Zrobiłem tak jak kazałeś.

1. Skrypt wklejony - komputer zrestartowany --> dołączam log

2. Ponowne skanowanie OTL przeprowadzone

3. Skanowanie przy podłączeniu pendrive i trzech telefonów które były podłączane wcześniej podczas trojana - zrobione

 

Czy zapamiętać wszystkie literki z dysków przenośnych i kolejność podłączania??? Na wszelki wypadek zapiszę to.

OTL.Txt

UsbFix.txt

Skrypt - raport po restarcie systemu.txt

Odnośnik do komentarza

Zrobione! Po ponownym uruchomieniu kompa skanuję esetem wszystkie urządzenia przenośne i nic nie wykryło. Zacząłem skanować również partycje i wcześniej od razu wykrywało wirusa a teraz nic :rolleyes: :thumbsup: Dzięki wielkie! Wstawiam kolejne logi jak kazałeś. Oby nic już nie było do usuwania.

 

I jeszcze jedno pytanie: czy opłaca się włączyć aktualizacje automatyczne? Dotychczas miałem to wyłączone i wszystko ręcznie aktualizowałem co trzeba. Czy to mogło być przyczyną infekcji (brak łatek itd) czy po prostu antywirus nod32 jest za słaby ?

12222010_181501.txt

OTL.Txt

UsbFix.txt

Odnośnik do komentarza

Wszystko zeszło i nic tu więcej nie ma na usuwanie. Użyj teraz opcji Sprzątanie z OTL. Wyzeruj tez przywracanie systemu: KLIK

 

I jeszcze jedno pytanie: czy opłaca się włączyć aktualizacje automatyczne? Dotychczas miałem to wyłączone i wszystko ręcznie aktualizowałem co trzeba. Czy to mogło być przyczyną infekcji (brak łatek itd) czy po prostu antywirus nod32 jest za słaby ?

 

Aktualizacje automatyczne powinny być włączone bo dobrze jest mieć aktualne łaty. Nod to dobry antywirus, ale nic nie jest doskonałe.

Edytowane przez picasso
24.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...