Forum » Pomoč in nasveti » VX2 - neuničljiv Trojanec
VX2 - neuničljiv Trojanec
kotocom ::
Hi!
Prvič se oglašam, ker res potrebujem pomoč! Problem je pretežek zame, čeprav se dobro spoznam na računalnike. Nekje sem staknil tega trojanca, ki ga nikakor ne morem spraviti z računalnika. Verjetno sem naletel na kakšno internetno stran ali pa sem ga pobral z Overnetom, saj to niti ni važno.
Imam Windows 2000, povezavo ASDL z routerjem, ki ima vgrajen firewall in protivirusnim programom Sophos (zdaj verzija 3.85 z najnovejšimi ide datotekami).
Opazil sem, da se mi je v homepage naložil : www. zestyfind .com in vedno so se ob zagonu naložile še tri nove ikone (Online dating, Free Casino, Travel Specials). Na vsakih nekaj minut pa se začnejo odpirati internetne strani kot je SpyBlocs ... in še ostalih 7 stalnih strani.
Takoj sem preiskusil nekaj novih verzij Sophosa tudi zadnjega 3.85. Tako sem počistil nekaj ostalih trojancev, ki so se nabrali skozi čas, ampak tale je ostal.
Zagnal sem tudi Adaware SE Personal 1.03, ki sicer najde nekaj okuženih datotek in jih celo pobriše - en dll. v winnt/system32 direktoriju pobriše takoj ko v taskmanagerju ubijem proces rundll32, drugače pa pred novim zagonom. Uporabil sem celo nek dodatek za PLVX2CLEANER.EXE, pa ne pomaga.
Ko je zagnan Adaware, Sophos zazna trojanca na C:\Docume~1\user\Locals~1\TEMP\AAWTMP... in ga pobriše.
Ob zagonu vedno naloži nov dll v winnt/system32 direktorij, iste tri ikone, program v AAWTMP poddirektorij, potem pa začnejo prikazovati internetne strani. Čeprav takoj ubijem rundll32, poženem sophos, ga ne najde? Zaenkrat sem le preprečil, da se v homepage nalaga zestyfind .
Ali ima kdo kakšen pravi nasvet, ker počasi po dveh dneh borbe počasi obupujem?
Vse datoteke sem že začel shranjevati na DVD-je (priprava na reinštalacijo Windowsov), odinštaliral sem polovico sumnljivih programov (overnet, kazaa, radlight, ...). Doinštaliral sem spyboot, ki ničesar pametnega ne odkrije.
Matjaž
PS Ne želim nikomur kaj podobnega, ker zgleda neuničljiv, čeprav se je prvič pojavil okrog junija 2004.
Prvič se oglašam, ker res potrebujem pomoč! Problem je pretežek zame, čeprav se dobro spoznam na računalnike. Nekje sem staknil tega trojanca, ki ga nikakor ne morem spraviti z računalnika. Verjetno sem naletel na kakšno internetno stran ali pa sem ga pobral z Overnetom, saj to niti ni važno.
Imam Windows 2000, povezavo ASDL z routerjem, ki ima vgrajen firewall in protivirusnim programom Sophos (zdaj verzija 3.85 z najnovejšimi ide datotekami).
Opazil sem, da se mi je v homepage naložil : www. zestyfind .com in vedno so se ob zagonu naložile še tri nove ikone (Online dating, Free Casino, Travel Specials). Na vsakih nekaj minut pa se začnejo odpirati internetne strani kot je SpyBlocs ... in še ostalih 7 stalnih strani.
Takoj sem preiskusil nekaj novih verzij Sophosa tudi zadnjega 3.85. Tako sem počistil nekaj ostalih trojancev, ki so se nabrali skozi čas, ampak tale je ostal.
Zagnal sem tudi Adaware SE Personal 1.03, ki sicer najde nekaj okuženih datotek in jih celo pobriše - en dll. v winnt/system32 direktoriju pobriše takoj ko v taskmanagerju ubijem proces rundll32, drugače pa pred novim zagonom. Uporabil sem celo nek dodatek za PLVX2CLEANER.EXE, pa ne pomaga.
Ko je zagnan Adaware, Sophos zazna trojanca na C:\Docume~1\user\Locals~1\TEMP\AAWTMP... in ga pobriše.
Ob zagonu vedno naloži nov dll v winnt/system32 direktorij, iste tri ikone, program v AAWTMP poddirektorij, potem pa začnejo prikazovati internetne strani. Čeprav takoj ubijem rundll32, poženem sophos, ga ne najde? Zaenkrat sem le preprečil, da se v homepage nalaga zestyfind .
Ali ima kdo kakšen pravi nasvet, ker počasi po dveh dneh borbe počasi obupujem?
Vse datoteke sem že začel shranjevati na DVD-je (priprava na reinštalacijo Windowsov), odinštaliral sem polovico sumnljivih programov (overnet, kazaa, radlight, ...). Doinštaliral sem spyboot, ki ničesar pametnega ne odkrije.
Matjaž
PS Ne želim nikomur kaj podobnega, ker zgleda neuničljiv, čeprav se je prvič pojavil okrog junija 2004.
matvoz ::
sem imel podobno izkusnjo z enim pcjem.. poglej, ce ti slucajno kak *.reg lezi po disku, tam ko ne bi smel.. pri tistem pcju je imel tako postimano, da je vedno pregledal tisti reg file, tam so bili pa seveda naslovi za dolocene cudne strani..
priporocam CWShredder
vso sreco
priporocam CWShredder
vso sreco
kotocom ::
Hi!
Hvala za napotke, ampak še vedno brez uspeha!
Najbolj mi pomagata Sophos in Adaware.
Poskusil sem že Webroot spy sweeper, Spybot search and destroy in CWShredder, vendar vse brez uspeha.
CWShredder v1.59.1 je pobrisal le Erase_SR.exe v Winnt direktoriju. Drugače je popolnoma neuporaben, saj niti sumljive url-je na začetku ne odkrije.
Spybot mi pa briše Opero, Radlight, ... VX2 pa ne najde.
Pogledal sem večino datotek iz obdobja od maja naprej, vendar ne opažam, kakšne preveč sumljive.
Nekaj malega sem brskal po registry pa nisem ničesar pametnega našel - iskal sem določene ključne besede, pa ni nič.
Kaj se dogaja - bolj natančno.
Minuto do dve po zagonu se pojavijo datoteke - 3 URL-ji (Online dating, Free Casino, Travel Specials).
V C:\Docume~1\user\Locals~1\TEMP\ se naredi direktorij AAWTMP\1522656\ (ali druga sedemmestna številka) z okuženim programom run.exe - sophos javi, da je Troj/Small-GL.
V Winnt\System32 vedno skreira DLL z novim imenom (enkrat adlui.dll drugič kaj drugega - večinoma so na črko a).
Potem se na vsakih nekaj minut odpre internet explorer s stranmi (cca 7 različnih na temo system update, spy blocs, ... ). Tudi ko pobrišem trojanca in dll-je jih še vedno štarta.
Matjaž
PS Prosim še za kakšen nasvet! Mogoče verzije programov niso najnovejše?
Hvala za napotke, ampak še vedno brez uspeha!
Najbolj mi pomagata Sophos in Adaware.
Poskusil sem že Webroot spy sweeper, Spybot search and destroy in CWShredder, vendar vse brez uspeha.
CWShredder v1.59.1 je pobrisal le Erase_SR.exe v Winnt direktoriju. Drugače je popolnoma neuporaben, saj niti sumljive url-je na začetku ne odkrije.
Spybot mi pa briše Opero, Radlight, ... VX2 pa ne najde.
Pogledal sem večino datotek iz obdobja od maja naprej, vendar ne opažam, kakšne preveč sumljive.
Nekaj malega sem brskal po registry pa nisem ničesar pametnega našel - iskal sem določene ključne besede, pa ni nič.
Kaj se dogaja - bolj natančno.
Minuto do dve po zagonu se pojavijo datoteke - 3 URL-ji (Online dating, Free Casino, Travel Specials).
V C:\Docume~1\user\Locals~1\TEMP\ se naredi direktorij AAWTMP\1522656\ (ali druga sedemmestna številka) z okuženim programom run.exe - sophos javi, da je Troj/Small-GL.
V Winnt\System32 vedno skreira DLL z novim imenom (enkrat adlui.dll drugič kaj drugega - večinoma so na črko a).
Potem se na vsakih nekaj minut odpre internet explorer s stranmi (cca 7 različnih na temo system update, spy blocs, ... ). Tudi ko pobrišem trojanca in dll-je jih še vedno štarta.
Matjaž
PS Prosim še za kakšen nasvet! Mogoče verzije programov niso najnovejše?
HairyFotr ::
Ali imaš zravn AdAware-a tut adWatch? Mislm d je samo zravn Pro verzije.
Ta program laufa v ozadju, pa te sprot vpraša za vse sumljive vnose v register, sumlive programe, pa take stvari.
Možn je tut d ga Sophos ne more odstrant, kkšn drug pa lahko. Mene zaenkrat NOD32 še ni pustu na cedilu.
Velik sreče!
Ta program laufa v ozadju, pa te sprot vpraša za vse sumljive vnose v register, sumlive programe, pa take stvari.
Možn je tut d ga Sophos ne more odstrant, kkšn drug pa lahko. Mene zaenkrat NOD32 še ni pustu na cedilu.
Velik sreče!
Highlag ::
1. Na netu poišči kaj tvoj žužek počenja in zdravilo. (Vsaj postopek za odstranitev)
2.: ČE ne najdeš rešitve:
V registru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
in sorodnih lokacijah poglej kaj se zaganja.
Vsekakor imaš na računalniku zagnan še en okužen proces. Ta takoj ko počistiš ustvari nove datoteke. Nekako ga moraš ubiti.
Poišči še Hijackthis programček. Ta zna prikazati ključe registra, ki se zaganjajo ob zagonu računalnika in IE. Lahko vnose zbrišeš, samo moraš točno vedeti kaj.
2.: ČE ne najdeš rešitve:
V registru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
in sorodnih lokacijah poglej kaj se zaganja.
Vsekakor imaš na računalniku zagnan še en okužen proces. Ta takoj ko počistiš ustvari nove datoteke. Nekako ga moraš ubiti.
Poišči še Hijackthis programček. Ta zna prikazati ključe registra, ki se zaganjajo ob zagonu računalnika in IE. Lahko vnose zbrišeš, samo moraš točno vedeti kaj.
Never trust a computer you can't throw out a window
marS ::
če ga že ne moreš obrisat, ga daj v karanteno pa bo blokiran!
men se na enem pcu podobno dogaja z Trojan.Startpage.IS . mam bit defender ki ga zazna pa ga ne zna obrisat, sploh noben antivir program ga ne zbriše, nekateri ga niti ne zaznajo, pa sem ga dal v karanteno. zdej mi da mir. /seveda pa mi je uničil IE, tko da se mi stalno sesuva! /ma mi je vseen ker uporabljam firefox , žal mi je, da ga nisem že prej.....
men se na enem pcu podobno dogaja z Trojan.Startpage.IS . mam bit defender ki ga zazna pa ga ne zna obrisat, sploh noben antivir program ga ne zbriše, nekateri ga niti ne zaznajo, pa sem ga dal v karanteno. zdej mi da mir. /seveda pa mi je uničil IE, tko da se mi stalno sesuva! /ma mi je vseen ker uporabljam firefox , žal mi je, da ga nisem že prej.....
...no more heroes...
https://ilbis.com/
https://ilbis.com/
kotocom ::
Hi!
Sem že obupal . Pač ga Sophos in Adaware ne moreta popolnoma odkriti in odstraniti. Na srečo to ni edini PC, tako da sem ga odklopil iz mreže (karantena računalnika). Lotil se ga bom kasneje, ko zberem dovolj znanja in moči.
Na istem računalniku imam na F: particiji inštaliran Windows 2000 Server (na C pa Windows 2000 Profesional). Problem mora biti na Windows 2000 Profesionalu, ker na Serverju nimam problemov s prikazovanji internetnih strani.
Mogoče sem s tem dal kakšen hint za možno rešitev.
Matjaž
Sem že obupal . Pač ga Sophos in Adaware ne moreta popolnoma odkriti in odstraniti. Na srečo to ni edini PC, tako da sem ga odklopil iz mreže (karantena računalnika). Lotil se ga bom kasneje, ko zberem dovolj znanja in moči.
Na istem računalniku imam na F: particiji inštaliran Windows 2000 Server (na C pa Windows 2000 Profesional). Problem mora biti na Windows 2000 Profesionalu, ker na Serverju nimam problemov s prikazovanji internetnih strani.
Mogoče sem s tem dal kakšen hint za možno rešitev.
Matjaž
TheHijacker ::
Zapomni si kateri DLL je tisti, ki je okužen.
Bootaj v DOS. Uporabi NTFS DOS Pro da boš lahko videl NTFS particije. (Hiren's BootCD 6.0 ).
Pobriši tisti DLL.
Potem pa je en program... Se ne spomnim imena. Šele potem mi je odstranil tega vraga.
Bootaj v DOS. Uporabi NTFS DOS Pro da boš lahko videl NTFS particije. (Hiren's BootCD 6.0 ).
Pobriši tisti DLL.
Potem pa je en program... Se ne spomnim imena. Šele potem mi je odstranil tega vraga.
http://www.google.si
jype ::
Ne morem si kaj, da ne bi pripomnil:
mke2fs -j ali mkreiserfs take reci vsekakor pozdravita.
mke2fs -j ali mkreiserfs take reci vsekakor pozdravita.
kotocom ::
Hi!
Hvala Soon za uporaben link!
Tale trojanec me spravlja ob živce :
http://spyware-cop.com/new-spyware-thre...
Imena datotek .dll prepoznavam, samo pogrešam direktorij aawtmp\....\run.exe, ki ga edinega prepozna sophos.
Mogoče bom s tem seznamom lažje očistil računalnik, samo še nekaj uric časa si moram vzeti za popolno natančno čiščenje .
Matjaž
Hvala Soon za uporaben link!
Tale trojanec me spravlja ob živce :
http://spyware-cop.com/new-spyware-thre...
Imena datotek .dll prepoznavam, samo pogrešam direktorij aawtmp\....\run.exe, ki ga edinega prepozna sophos.
Mogoče bom s tem seznamom lažje očistil računalnik, samo še nekaj uric časa si moram vzeti za popolno natančno čiščenje .
Matjaž
TheHijacker ::
Kaj pa tale plugin za AdAware?
http://www.pc-syndrom.de/Downloads-index-req-getit-lid-207.html
oziroma:
http://www.softpedia.com/public/cat/10/17/10-17-206.shtml
http://www.pc-syndrom.de/Downloads-index-req-getit-lid-207.html
oziroma:
http://www.softpedia.com/public/cat/10/17/10-17-206.shtml
http://www.google.si
Zgodovina sprememb…
- spremenil: TheHijacker ()
kotocom ::
Pozdrav vsem in hvala za nasvete!
Virusa sem se na koncu rešil s formatiranjem particije C. Na srečo ostale particije niso bile okužene. Formatiranje je povzročilo manjše težave, vendar se je na koncu vse lepo izteklo. Zdaj sem takoj inštaliral sophos in varnostne popravke za Windowse 2000, da se kaj podobnega ne bi zgodilo.
Matjaž
Virusa sem se na koncu rešil s formatiranjem particije C. Na srečo ostale particije niso bile okužene. Formatiranje je povzročilo manjše težave, vendar se je na koncu vse lepo izteklo. Zdaj sem takoj inštaliral sophos in varnostne popravke za Windowse 2000, da se kaj podobnega ne bi zgodilo.
Matjaž
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | VarnostOddelek: Informacijska varnost | 23864 (5565) | techfreak :) |
» | kako se znebim trojancaOddelek: Informacijska varnost | 1840 (1652) | jan01 |
» | Kako izbrisati spywareOddelek: Programska oprema | 1264 (1142) | MihaFirst |
» | IE 6 ---> virusOddelek: Pomoč in nasveti | 1391 (1180) | K0K0 |
» | XXX vroče poslediceOddelek: Omrežja in internet | 3466 (1583) | garg |