Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja - win32/Cryptor, kon trojanski FakeAV.NGI

summer

Przez summer
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

summer

summer

Opublikowano
Opublikowano

Czesc :)

 

Dzis rano pojawil mi sie komunikat z AVG o wykryciu takiego dziada: Win32/Cryptor

Dokladnie taki komunikat:

"Infekcja";"Zidentyfikowany wirus Win32/Cryptor";"d:\System Volume Information\_restore{C54F5047-8EEB-4937-B290-7AFF363857A3}\RP318\A0081129.exe";"";"2011-08-21, 13:40:39

Przy tym pisalo jeszcze, ze to ma zwiazek z c:\windows|system32\svchost.exe

 

Wlasciwie zadnych zmian w dzialaniu systemu nie zauwazylam. W sumie w czasie wykrycia wirusa,trojana czy pieron wie co to jest laptop tez nie byl specjalnie uzytkowany, ot leciala muzyka.

Jak przyszlam do domu wlaczylam skanowanie. Wtedy pojawily sie takie komunikaty o wykryciu wirusow/trojanow: (dalam je do przechowalni, wolalam w nic nie ignerowac)

 

1) "Infekcja";"Koń trojański FakeAV.NGI";"D:\Magazyn\Adobe Photoshop CS5 12,0 EXTENDED PL Upload by Ekspert28\Adobe_CS5_Activator.exe";"";"2011-08-21, 20:58:31"

 

2) "Infekcja";"Zidentyfikowany wirus Win32/Cryptor";"D:\Magazyn\Windows XP Pro Automated Install\SUPPORT\TOOLS\Update.exe";"";"2011-08-21, 21:01:02"

 

Tylko, ze w przypadku pozycji 1 i 2 to ja wiem co to za pliki :confused: one chyba zawsze beda wykrywane jako "zło".

 

Chcialam przeskanowac system mks online, ale wyskakiwal mi jakis blad i dodatkowo komunikat z AVG o Killav (olaboga!).

 

Mialam zamiar sama cos pokombinowac, sciagnelam program Spyware Doctor, zainstalowalam, ale nic nie robilam. Stwierdzilam, ze udam sie do was profesjonalistow, bo zawsze moglam na was liczyc :)

 

Zalaczam wymagane logi. Przyznaje sie bez bicia, ze nie wylaczylam antywira :( Mam nadzieje, ze to nie bedzie mialo wiekszego wplywu na wynik gmera.

 

Z gory dziekuje za pomoc :)

 

Edit:

 

otrzymalam kolejny monit z AVG o wykryciu infekcji w procesie c:\windows\system32\svchost.exe

ID procesu 1560

 

Komunikat ze strony AVG:

"Infekcja";"Koń trojański FakeAV.NGI";"d:\System Volume Information\_restore{C54F5047-8EEB-4937-B290-7AFF363857A3}\RP319\A0081574.exe";"";"2011-08-22, 19:17:06"

 

Przenioslam do przechowalni.

 

Edit2: kolejna niespodzianka, ponoc wykryta przy otwieraniu. ja na pewno nic nie otwieralam. Ot, chodzi poczta w tle "outlook express" i nic wiecej nie robilam, ba, nawet laptopa nie dotykalam ;)

 

"Infekcja";"Zidentyfikowany wirus Win32/Cryptor";"d:\System Volume Information\_restore{C54F5047-8EEB-4937-B290-7AFF363857A3}\RP319\A0081575.exe";"";"2011-08-22, 21:27:14"

Extras.Txt

OTL.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

W logach aktywnej infekcji nie widać. Jeśli chodzi o wykrycia to folder System Volume Information = folder przywracania systemu. Wystarczy je tymczasowo wyłączyć i folder się opróżni: KLIK. Tam często mogą być wykrywane jakieś pozycje niekoniecznie szkodliwe. Nie warto się tym przejmować.

 

1) "Infekcja";"Koń trojański FakeAV.NGI";"D:\Magazyn\Adobe Photoshop CS5 12,0 EXTENDED PL Upload by Ekspert28\Adobe_CS5_Activator.exe";"";"2011-08-21, 20:58:31"

 

2) "Infekcja";"Zidentyfikowany wirus Win32/Cryptor";"D:\Magazyn\Windows XP Pro Automated Install\SUPPORT\TOOLS\Update.exe";"";"2011-08-21, 21:01:02"

 

No tutaj to raczej fałszywy alarm więc w takich sytuacjach warto dodać takie pliki do wyjątków i już nie będą wykrywane.

 

Dla świętego spokoju możesz jeszcze przeskanować się przez Kaspersky TDSSKiller i zaprezentować raport.

 

Odnośnik do komentarza
summer

summer

Opublikowano
  • Autor
Opublikowano

Landuss, czemu nie jestes moim mlodszym bratem :P

 

Ale do rzeczy:

-przywracanie wylaczylam, potem wlaczylam.

-Zrobilam skanowanie TDSSKiller i znalazl jeden obiekt, wlasciwie to sterownik emulacji napedow wirtualnych (matko swieta, co to u licha jest B) , o czym pisala Picasso (kiedy opisywala ten program):

 

Service name: sptd

Service type: kernel driver (0x1)

Service start: boot (0x0)

File: c:\windows\system32\drivers\sptd.sys

MD5: cdddec541bc3c96f91ecb48759673505

Bylo na skip, wiec kliknelam kontynuuj.

 

Czyli hmm....wszystko juz jest ok? :)

Odnośnik do komentarza
summer

summer

Opublikowano
  • Autor
Opublikowano

Wlasnie sciagam :)

 

A tak juz troche offtopujac, bo mi cos muli system, az dziala mi to na nerwy oraz przy uruchamianiu, co tez dlugo trwa, pokazuje mi sie chmurka, ze komputer moze byc zagrozony, zadna zapora nie jest wlaczona (a przeciez nic nie ruszalam). Za minute to znika i wszystko juz jest ok. Znika jak pojawi sie polaczenie sieci bezprzewodowej, ktore nota bene teraz laduje sie na samym, szarym koncu, a zawsze bylo pierwsze. Chmurki z zapora tez nigdy nie mialam, wiec "o so chozi" tym razem :blink:

Nie da sie tego jakos poprawic?

Odnośnik do komentarza
summer

summer

Opublikowano
  • Autor
Opublikowano

Zrobilam defragmentacje, chmurka jednak nadal wystepuje. Wiec wylaczylam wogole zapore, nie wiem czy dobrze czy zle :mellow: chmury juz nie ma. Ale co mnie zastanawia: zawsze polaczenie sieci bezprzewodowej szybko mi sie uruchamialo, wlasciwie jako 2-3 w kolejnosci, a teraz laduje sie jako ostatnie i dlugo to trwa. Hmm.

Nie rozumiem, wczesniej wsjo dobrze dzialalo, a teraz cos sie rypie.

A, czystego rozruchu nie robilam, boje sie ze jeszcze bardziej sobie cos zepsuje :P

 

No nic. To w takim razie, jesli chodzi o glowny moj problem (rzekome trojany) to zostal on rozwiazany :)

 

Pieknie dziekuje i przy okazji gratuluje (i zazdroszcze) fantastycznej wiedzy :)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...