Avira wyrzuciła mi jakiś czas temu trojana TR/Crypt.XPACK.Gen3 i nie mogę się go pozbyć. Dzisiaj odpaliłem nawet ComboFixa i żadnego efektu.
OTL
http://www.wklej.eu/index.php?id=5a86476e4c
Combo
http://www.wklej.eu/index.php?id=dce54fedb8
Proszę o sprawdzenie.
Avira wyrzuciła mi trojana TR/Crypt.XPACK.Gen3 - logi
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
15 posty(ów)
• Strona 1 z 1
Avira wyrzuciła mi trojana TR/Crypt.XPACK.Gen3 - logi
przez xar » 27 Paź 2010, 18:28
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)
- xar
- Forumowicz
- Posty: 8
- Dołączenie: 27 Paź 2010, 17:59
Re: proszę o sprawdzenie Logów
przez mateo8898 » 27 Paź 2010, 19:04
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.11) Gecko/20101012 Firefox/3.6.11
Podaj jeszcze ten drugi log z OTL (OTL.txt). Gdzie dokładnie Avira wykrywa tego trojana???
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: proszę o sprawdzenie Logów
przez xar » 27 Paź 2010, 19:51
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)
Wykazy z drugiego skanu:
OTL.txt
http://www.wklej.eu/index.php?id=b8e80b73ee
Extras.txt
http://www.wklej.eu/index.php?id=c1443e8f48
Avira trojana wykrywa E:\WINDOWS\system32\msvmdoga.dll
Robiłem nią ostatnio skan w awaryjnym, znalazła tu i jeszcze w Documents and Settings, miała od razu kasować. Po normalnym odpaleniu ciągle wyrzuca powyższą lokalizację...
OTL.txt
http://www.wklej.eu/index.php?id=b8e80b73ee
Extras.txt
http://www.wklej.eu/index.php?id=c1443e8f48
Avira trojana wykrywa E:\WINDOWS\system32\msvmdoga.dll
Robiłem nią ostatnio skan w awaryjnym, znalazła tu i jeszcze w Documents and Settings, miała od razu kasować. Po normalnym odpaleniu ciągle wyrzuca powyższą lokalizację...
- xar
- Forumowicz
- Posty: 8
- Dołączenie: 27 Paź 2010, 17:59
Re: proszę o sprawdzenie Logów
przez mateo8898 » 27 Paź 2010, 20:34
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.11) Gecko/20101012 Firefox/3.6.11
Uruchom OTL 
w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
w oknie Własne opcje skanowania/skrypt wklej::OTL
O3 - HKU\S-1-5-21-583907252-1957994488-1202660629-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
:Files
E:\WINDOWS\tasks\WGASetup.job
E:\Documents and Settings\LocalService\Dane aplikacji\kcmdte.dat
E:\WINDOWS\System32\msvmdoga.dll
E:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"nwiz"=-
"NvMediaCenter"=-
"WINDVDPatch"=-
"NeroFilterCheck"=-
"SunJavaUpdateSched"=-
"GrooveMonitor"=-
"QuickTime Task"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: proszę o sprawdzenie Logów
przez xar » 27 Paź 2010, 21:14
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)
Po dwukrotnym restarcie trojan przestał atakować ze wszystkich stron, Avira wykryła ten .dll i go chamsko usunąłem, wcześniej nie mogłem.
Mimo to zrobiłem czyszczenie:
http://www.wklej.eu/index.php?id=2e887e3194
Logi z nowego skanu:
OTL.txt
http://www.wklej.eu/index.php?id=cc8b0bbb3d
Extras.txt
http://www.wklej.eu/index.php?id=4a62926ac1
Proszę o sprawdzenie.
Mimo to zrobiłem czyszczenie:
http://www.wklej.eu/index.php?id=2e887e3194
Logi z nowego skanu:
OTL.txt
http://www.wklej.eu/index.php?id=cc8b0bbb3d
Extras.txt
http://www.wklej.eu/index.php?id=4a62926ac1
Proszę o sprawdzenie.
- xar
- Forumowicz
- Posty: 8
- Dołączenie: 27 Paź 2010, 17:59
Re: proszę o sprawdzenie Logów
przez mateo8898 » 27 Paź 2010, 21:31
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.11) Gecko/20101012 Firefox/3.6.11
To jeszcze nie koniec. Pobierz The Avenger w pole Input script here wklej poniższy tekst:
klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt + nowe logi z OTL.
- Kod: Zaznacz wszystko
Files to delete:
E:\Documents and Settings\NetworkService\Dane aplikacji\kcmdte.dat
E:\Documents and Settings\Paweł\Dane aplikacji\kcmdte.dat
E:\Documents and Settings\Paweł\Dane aplikacji\avdrn.dat
klikasz Execute
Potwierdzasz i zgadzasz się na restart klikając OK.Po wykonaniu wklej raport na forum C:\avenger.txt + nowe logi z OTL.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: proszę o sprawdzenie Logów
przez xar » 27 Paź 2010, 21:53
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)
Raport z avenger'a:
http://www.wklej.eu/index.php?id=b4d1a1af6a
Logi z nowego skanu:
OTL.txt
http://www.wklej.eu/index.php?id=4c58abfe4e
Extras.txt
http://www.wklej.eu/index.php?id=d6207845ee
http://www.wklej.eu/index.php?id=b4d1a1af6a
Logi z nowego skanu:
OTL.txt
http://www.wklej.eu/index.php?id=4c58abfe4e
Extras.txt
http://www.wklej.eu/index.php?id=d6207845ee
- xar
- Forumowicz
- Posty: 8
- Dołączenie: 27 Paź 2010, 17:59
Re: proszę o sprawdzenie Logów
przez mateo8898 » 27 Paź 2010, 22:05
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.11) Gecko/20101012 Firefox/3.6.11
Zamiast raportu z Avengera podałeś log z poprzedniego usuwania OTL, ale to już nie ważne, gdyż nie widać tych plików w nowym logu z OTL, więc Avenger wykonał swoje zadanie.
Poza tym więcej nic nie widać.
W OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html
Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji...)
Poza tym więcej nic nie widać.
W OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
InstrukcjaWykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Zainstaluj SP3
http://www.instalki.pl/programy/downloa ... ack_3.htmlZaktualizuj Firefoksa do najnowszej wersji (Firefox
Pomoc Sprawdź dostępność aktualizacji...)-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: proszę o sprawdzenie Logów
przez xar » 28 Paź 2010, 08:56
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)
Logi po remanencie:
Raport z Anti-Malware'a:
http://www.wklej.eu/index.php?id=28445615e5
Nowe logi OTL:
OTL.txt
http://www.wklej.eu/index.php?id=e0e77df1c1
Extras.txt
http://www.wklej.eu/index.php?id=44f39a00b9
Raport z Anti-Malware'a:
http://www.wklej.eu/index.php?id=28445615e5
Nowe logi OTL:
OTL.txt
http://www.wklej.eu/index.php?id=e0e77df1c1
Extras.txt
http://www.wklej.eu/index.php?id=44f39a00b9
- xar
- Forumowicz
- Posty: 8
- Dołączenie: 27 Paź 2010, 17:59
Re: proszę o sprawdzenie Logów
przez mateo8898 » 28 Paź 2010, 13:46
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.11) Gecko/20101012 Firefox/3.6.11
Ok, możesz jeszcze opróżnić kwarantannę Malwarebytes i odinstalować zbędny McAfee Security Scan.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Avira wyrzuciła mi trojana TR/Crypt.XPACK.Gen3 - logi
przez xar » 28 Paź 2010, 18:16
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)
Wielkie dzięki, sam z tym sobie bym nie poradził...
Mam jeszcze pytanie o zabezpieczenie przenośnych pamięci, odtwarzaczy mp3,mp4, jak najlepiej chronić je przed przełażeniem robali w trakcie połączenia z kompem? Czy najlepszym wyjściem jest wyłączenie w rejestrze autostartu dla takiego sprzętu?
Czy przenoszenie na nie plików w trybie awaryjnym systemu daje jakieś bezpieczeństwo?
Mam jeszcze pytanie o zabezpieczenie przenośnych pamięci, odtwarzaczy mp3,mp4, jak najlepiej chronić je przed przełażeniem robali w trakcie połączenia z kompem? Czy najlepszym wyjściem jest wyłączenie w rejestrze autostartu dla takiego sprzętu?
Czy przenoszenie na nie plików w trybie awaryjnym systemu daje jakieś bezpieczeństwo?
- xar
- Forumowicz
- Posty: 8
- Dołączenie: 27 Paź 2010, 17:59
Re: Avira wyrzuciła mi trojana TR/Crypt.XPACK.Gen3 - logi
przez mateo8898 » 28 Paź 2010, 18:50
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
Najlepiej wyłączyć całkowicie odczyt plików Autorun.inf. Zapoznaj się z narzędziem UsbFix
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Avira wyrzuciła mi trojana TR/Crypt.XPACK.Gen3 - logi
przez xar » 28 Paź 2010, 21:33
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)
Program wygląda naprawdę fajnie, ale czy tworzenie przez niego własnego pliku na podłączonym urządzeniu może w jakiś sposób pokaszanić system graidła (tu konkretnie na myśli mam urządzenia mp4 ze swoim oprogramowaniem, u mnie akurat Sony X1050)?
- xar
- Forumowicz
- Posty: 8
- Dołączenie: 27 Paź 2010, 17:59
Re: Avira wyrzuciła mi trojana TR/Crypt.XPACK.Gen3 - logi
przez mateo8898 » 28 Paź 2010, 21:37
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
Nic się nie stanie.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Avira wyrzuciła mi trojana TR/Crypt.XPACK.Gen3 - logi
przez xar » 28 Paź 2010, 21:41
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)
Wielkie dzięki za całą pomoc 
- xar
- Forumowicz
- Posty: 8
- Dołączenie: 27 Paź 2010, 17:59
15 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]