» »

VX2 - neuničljiv Trojanec

VX2 - neuničljiv Trojanec

kotocom ::

Hi!

Prvič se oglašam, ker res potrebujem pomoč! Problem je pretežek zame, čeprav se dobro spoznam na računalnike. Nekje sem staknil tega trojanca, ki ga nikakor ne morem spraviti z računalnika. Verjetno sem naletel na kakšno internetno stran ali pa sem ga pobral z Overnetom, saj to niti ni važno.

Imam Windows 2000, povezavo ASDL z routerjem, ki ima vgrajen firewall in protivirusnim programom Sophos (zdaj verzija 3.85 z najnovejšimi ide datotekami).
Opazil sem, da se mi je v homepage naložil : www. zestyfind .com in vedno so se ob zagonu naložile še tri nove ikone (Online dating, Free Casino, Travel Specials). Na vsakih nekaj minut pa se začnejo odpirati internetne strani kot je SpyBlocs ... in še ostalih 7 stalnih strani.

Takoj sem preiskusil nekaj novih verzij Sophosa tudi zadnjega 3.85. Tako sem počistil nekaj ostalih trojancev, ki so se nabrali skozi čas, ampak tale je ostal.

Zagnal sem tudi Adaware SE Personal 1.03, ki sicer najde nekaj okuženih datotek in jih celo pobriše - en dll. v winnt/system32 direktoriju pobriše takoj ko v taskmanagerju ubijem proces rundll32, drugače pa pred novim zagonom. Uporabil sem celo nek dodatek za PLVX2CLEANER.EXE, pa ne pomaga.

Ko je zagnan Adaware, Sophos zazna trojanca na C:\Docume~1\user\Locals~1\TEMP\AAWTMP... in ga pobriše.

Ob zagonu vedno naloži nov dll v winnt/system32 direktorij, iste tri ikone, program v AAWTMP poddirektorij, potem pa začnejo prikazovati internetne strani. Čeprav takoj ubijem rundll32, poženem sophos, ga ne najde? Zaenkrat sem le preprečil, da se v homepage nalaga zestyfind .

Ali ima kdo kakšen pravi nasvet, ker počasi po dveh dneh borbe počasi obupujem?

Vse datoteke sem že začel shranjevati na DVD-je (priprava na reinštalacijo Windowsov), odinštaliral sem polovico sumnljivih programov (overnet, kazaa, radlight, ...). Doinštaliral sem spyboot, ki ničesar pametnega ne odkrije.

Matjaž

PS Ne želim nikomur kaj podobnega, ker zgleda neuničljiv, čeprav se je prvič pojavil okrog junija 2004.

Zdravko ::

Probaj še z Webroot Spy Sweeper in Spybot search & destroy.

matvoz ::

sem imel podobno izkusnjo z enim pcjem.. poglej, ce ti slucajno kak *.reg lezi po disku, tam ko ne bi smel.. pri tistem pcju je imel tako postimano, da je vedno pregledal tisti reg file, tam so bili pa seveda naslovi za dolocene cudne strani..

priporocam CWShredder

vso sreco

kotocom ::

Hi!

Hvala za napotke, ampak še vedno brez uspeha!

Najbolj mi pomagata Sophos in Adaware.

Poskusil sem že Webroot spy sweeper, Spybot search and destroy in CWShredder, vendar vse brez uspeha.
CWShredder v1.59.1 je pobrisal le Erase_SR.exe v Winnt direktoriju. Drugače je popolnoma neuporaben, saj niti sumljive url-je na začetku ne odkrije.

Spybot mi pa briše Opero, Radlight, ... VX2 pa ne najde.

Pogledal sem večino datotek iz obdobja od maja naprej, vendar ne opažam, kakšne preveč sumljive.

Nekaj malega sem brskal po registry pa nisem ničesar pametnega našel - iskal sem določene ključne besede, pa ni nič.

Kaj se dogaja - bolj natančno.

Minuto do dve po zagonu se pojavijo datoteke - 3 URL-ji (Online dating, Free Casino, Travel Specials).

V C:\Docume~1\user\Locals~1\TEMP\ se naredi direktorij AAWTMP\1522656\ (ali druga sedemmestna številka) z okuženim programom run.exe - sophos javi, da je Troj/Small-GL.

V Winnt\System32 vedno skreira DLL z novim imenom (enkrat adlui.dll drugič kaj drugega - večinoma so na črko a).

Potem se na vsakih nekaj minut odpre internet explorer s stranmi (cca 7 različnih na temo system update, spy blocs, ... ). Tudi ko pobrišem trojanca in dll-je jih še vedno štarta.

Matjaž

PS Prosim še za kakšen nasvet! Mogoče verzije programov niso najnovejše?

HairyFotr ::

Ali imaš zravn AdAware-a tut adWatch? Mislm d je samo zravn Pro verzije.
Ta program laufa v ozadju, pa te sprot vpraša za vse sumljive vnose v register, sumlive programe, pa take stvari.
Možn je tut d ga Sophos ne more odstrant, kkšn drug pa lahko. Mene zaenkrat NOD32 še ni pustu na cedilu.

Velik sreče!

Highlag ::

1. Na netu poišči kaj tvoj žužek počenja in zdravilo. (Vsaj postopek za odstranitev)

2.: ČE ne najdeš rešitve:
V registru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
in sorodnih lokacijah poglej kaj se zaganja.

Vsekakor imaš na računalniku zagnan še en okužen proces. Ta takoj ko počistiš ustvari nove datoteke. Nekako ga moraš ubiti.

Poišči še Hijackthis programček. Ta zna prikazati ključe registra, ki se zaganjajo ob zagonu računalnika in IE. Lahko vnose zbrišeš, samo moraš točno vedeti kaj.
Never trust a computer you can't throw out a window

marS ::

če ga že ne moreš obrisat, ga daj v karanteno pa bo blokiran!
men se na enem pcu podobno dogaja z Trojan.Startpage.IS . mam bit defender ki ga zazna pa ga ne zna obrisat, sploh noben antivir program ga ne zbriše, nekateri ga niti ne zaznajo, pa sem ga dal v karanteno. zdej mi da mir. /seveda pa mi je uničil IE, tko da se mi stalno sesuva! /ma mi je vseen ker uporabljam firefox:D , žal mi je, da ga nisem že prej.....:\
...no more heroes...
https://ilbis.com/

AndrejS ::

SI ga že probal v safemodu odstranit (z adaware & sophos) ?

kotocom ::

Hi!

Sem že obupal :( . Pač ga Sophos in Adaware ne moreta popolnoma odkriti in odstraniti. Na srečo to ni edini PC, tako da sem ga odklopil iz mreže (karantena računalnika). Lotil se ga bom kasneje, ko zberem dovolj znanja in moči.

Na istem računalniku imam na F: particiji inštaliran Windows 2000 Server (na C pa Windows 2000 Profesional). Problem mora biti na Windows 2000 Profesionalu, ker na Serverju nimam problemov s prikazovanji internetnih strani.

Mogoče sem s tem dal kakšen hint za možno rešitev.

Matjaž

Soon ::

TheHijacker ::

Zapomni si kateri DLL je tisti, ki je okužen.

Bootaj v DOS. Uporabi NTFS DOS Pro da boš lahko videl NTFS particije. (Hiren's BootCD 6.0 ;)).

Pobriši tisti DLL.

Potem pa je en program... Se ne spomnim imena. Šele potem mi je odstranil tega vraga.
http://www.google.si

jype ::

Ne morem si kaj, da ne bi pripomnil:

mke2fs -j ali mkreiserfs take reci vsekakor pozdravita.

kotocom ::

Hi!

Hvala Soon za uporaben link!

Tale trojanec me spravlja ob živce :
http://spyware-cop.com/new-spyware-thre...

Imena datotek .dll prepoznavam, samo pogrešam direktorij aawtmp\....\run.exe, ki ga edinega prepozna sophos.

Mogoče bom s tem seznamom lažje očistil računalnik, samo še nekaj uric časa si moram vzeti za popolno natančno čiščenje :D .

Matjaž

TheHijacker ::

http://www.google.si

Zgodovina sprememb…

Valentin ::

Poskusi še s programom Scan Spyware.

Meni se zdi boljši od Spy Sweeper-ja.

Fukomuko ::

na strani od pande maš web scan. men vedno pomaga;)

kotocom ::

Pozdrav vsem in hvala za nasvete!

Virusa sem se na koncu rešil s formatiranjem particije C. Na srečo ostale particije niso bile okužene. Formatiranje je povzročilo manjše težave, vendar se je na koncu vse lepo izteklo. Zdaj sem takoj inštaliral sophos in varnostne popravke za Windowse 2000, da se kaj podobnega ne bi zgodilo.

Matjaž


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varnost

Oddelek: Informacijska varnost
1123864 (5565) techfreak :)
»

kako se znebim trojanca

Oddelek: Informacijska varnost
61840 (1652) jan01
»

Kako izbrisati spyware

Oddelek: Programska oprema
61264 (1142) MihaFirst
»

IE 6 ---> virus

Oddelek: Pomoč in nasveti
131391 (1180) K0K0
»

XXX vroče posledice

Oddelek: Omrežja in internet
313466 (1583) garg

Več podobnih tem