Trojan Adware Trojan Downloader , Logi.

[Conqueror]

Piszę na tym forum bardzo zdesperowany , ponieważ pisałem na wielu innych i nikt nie był w stanie udzielić mi pomocy. Mam windows 7 RC. Po wejściu w jakiś odnośnik z wyszukiwarki internetowej wyskakuje mi okienko , reklama , inna strona bądź też fake antywirus. Potem już zawsze gdy chcę wejść ponownie na tą stronę wyskakuje mi coś zupełnie innego niż zamierzałem. Przeprowadziłem skany anti malwarebytes (3 trojan.agenty), kaspersky 09 (trojan downloader w instalce frapsa), dr. web cureit, miałem sprawdzane logi z sreng , otl , hijackthis. Po podjętych działaniach , wirus zdawał się ustąpić na pewien czas , jednak po 5 minutach odrodził się jak feniks z popiołów, czasami obserwuję zwolnienie internetu. Od tamtych wydarzeń wirus zdaje się być nieuchwytny , może jakieś sugestie ? Mam co prawda logi , ale mają prawo być nieaktualnę , także jeżeli potrzeba czegoś konkretnego to proszę o insturkcję, zrobię nowy.

[ULLISSES]

1. Log z HijackThis na początek.

2. Spybot S&D i skanowanie z usuwaniem.

3. Spybot S&D->Zaawansowane->Narzędzia->BHO i ActiveX -usuń wszystkie bez zielonych znaczków: (V).

4. Sprawdź na Mozilla Firefox.

[Kolobos]

Daj log z OTL.

[Conqueror]

http://www.wklej.org/id/189579/ - HJ

 

OTL - http://wklej.org/id/189585/

 

 

Spybot S&D SS - http://img405.imageshack.us/img405/7696/spybocik.jpg Tak na wszelki wypadek.

[Conqueror]

JAK FENIKS Z POPIOŁÓW 8O 8O :)

 

NIE MA NIE MA , RESET I ZNOWU...

 

 

Skan podczas rozruchu S&D - http://img406.imageshack.us/img406/604/virtumonde.jpg

[Kolobos]

Zrob pelny skan przy pomocy Dr.Web CureIt oraz Malwarebytes Anti-Malware.

 

Uzyj skryptu w OTL:

 

:OTL

O20 - AppInit_DLLs: (C:\Windows\system32\kbdnet.dll) - C:\Windows\System32\kbdnet.dll (Microsoft Corporation)

@Alternate Data Stream - 487 bytes -> C:\ProgramData\TEMP:05EE1EEF

 

:Files

C:\Windows\System32\uses32.dat

C:\Windows\System32\kbdnet.dll

 

:Commands

[emptytemp]

[start explorer]

[Reboot]

 

Po wykonaniu daj log, ktory sie otworzy oraz nowy log z OTL ale zmien opcje File Age na 90.

[Conqueror]

http://www.wklej.org/id/190844/ narazie to jutro reszta

[Kolobos]

Nie prosilem o log z mbam.

[Conqueror]

Spokojnie , po prostu myślałem , że to co usunąłem (znaczy się , program) jest ważne.

 

http://www.wklej.org/id/191407/ OTL

 

OTL2 http://www.wklej.org/id/191414/

[Kolobos]

Co to za katalog: C:\Users\Karol\Documents\łŘ˝Ľ ÇĂ·Ż±× ?

 

Logi wygladaja ok, czy problem nadal wystepuje?

[Conqueror]

Hmm... nie wiem co to za katalog. Pusty jest.

 

Problem nie występował przez dwa dni . jednak dzisiaj włączam komputer i znowu , i tak w koło macieju jakim bym to antywirem nie przeskanował , co bym nie zrobił , czego bym nie usunął to nawet jak się uda ten zasrany wirus się reinkarnuje

[Kolobos]

Daj nowy log z OTL z zaznaczona opcja plikow z 90 dni.

 

To sa pliki tego keyloggera/trojana:

%Templates%\data.tmp

%System%\flags.ini

%System%\kbdnet.dll

%System%\mscert.dll

%System%\uses32.dat

 

Sprawdz czy masz je u siebie i usun.

[Conqueror]

HORROR , PO PROSTU HORROR. 8O

 

Przeglądam sobie internet , nic nie robię , i ot tak od niechcenia wyskakuje mi jakiś popup , okienko , w ogóle wirus jest zintegrowany z każdą wyszukiwarką , nie da się używać internetu.

 

 

 

 

1. nie znalazłem folderu templates.

 

po 2 , te pliki nie są w folderze system ,tylko w system 32.

 

gdy chciałem usunąć kbdnet wyskoczyło , ze program jest otwarty w programie firefox , zamknąłem firefoxa , i się usunął.

 

reszta usunięta.

 

 

OTL

 

http://wklej.org/id/193233/

 

 

btw. Dzięki za fatygę , naprawdę doceniam to , na innych forach po sprawdzeniu pierwszego loga wszyscy się poddawali.

[Kolobos]

Pliku data.tmp szukaj tutaj: C:\Documents and Settings\nazwa_uzytkownika\Szablony

 

Pozostale pliki: flags.ini, kbdnet.dll, mscert.dll, uses32.dat usunales?

 

Uruchom regedit, przejdz do:

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ Session Manager \ i usun: AppCertDlls

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ i usun AppCertDlls

HKEY_CURRENT_USER \ Software \ i usun UpdateGMT

 

Uzyj nowego skryptu z OTL:

 

:OTL

O20 - AppInit_DLLs: (C:\Windows\system32\kbdnet.dll) - C:\Windows\System32\kbdnet.dll File not found

 

:Commands

[emptytemp]

[start explorer]

[Reboot]

 

Po wszystkim zrob reset, uruchom FF oraz IE, zobacz czy pliki ponownie sie utworzyly. Na koniec daj nowy log z OTL.

[ULLISSES]

1. Zainstaluj Spybot S&D, w nim:

Widok->Zaawansowany

Narzędzia: zaznacz BHO, ActiveX

Narzędzia->BHO - wywal wszystkie wpisy nie mające zielonego znaczka obok wpisu

Narzędzia->ActiveX - jak wyżej

 

2. Zainstaluj Autoruns (szukaj w Google), w nim:

Options->Hide Microsoft & Windows entries

potem File-Refresh

a potem File->Save

Zapisany plik wrzuć na Sendspace.com i podaj linka tutaj.

 

3. Wystartuj kompa płyty CD Ubuntu 9.04/9.10. W nim:

górne menu->Places (Miejsca)->SYSTEM*

Potem:

Wciskasz CTRL+F, wpisujesz nazwę pierwszego z plików wymienionego przez mojego przedmówcę i wciskasz [Enter]. Gdy znajdzie, zaznaczasz i usuwasz wszelkie kopie (przycisk DEL na klawiaturze).

Tak postępujesz z każdym plikiem z listy wyżej.

 

Aby wrócić do Windows dajesz w prawym górnym rogu "Test user" (czy jakoś podobnie)->Restart system

 

* - gdzie SYSTEM to etykieta/rozmiar twojej partycji z systemem

[Conqueror]

Chciałem kolejny raz bardzo podziękować za pomoc , temat do zamknięcia , wszystko już jest cacy .