Forum IDG.pl - miejsce dyskusji o IT: 33r.exe - Forum IDG.pl - miejsce dyskusji o IT

Skocz do zawartości

Close Open
Close Open

Forum "Ekspert AVG odpowiada..." służy wyłącznie do uzyskiwania pomocy dotyczącej systemów antywirusowych firmy AVG, samych wirusów, produktów firmy itp. Prosimy o umieszczanie w tym forum jedynie wątków merytorycznych, szczególnie pytań odnośnie samego programu jak i wszelkiego rodzaju robaków i wirusów. Prosimy NIE odbiegać od tematu w danym wątku. Jeśli istnieje konieczność zmiany tematu prosimy o rozpoczęcie nowego wątku.

Uwaga! Wszelkie prośby o sprawdzenie loga prosimy publikować w dziale: Bezpieczeństwo komputera i sieci. Jeśli zostaną zamieszczone tutaj, to będą usuwane.

Ekspert z AVG będzie odpowiadał na Wasze pytania co tydzień, więc prosimy nie ponaglać i nie złościć jeśli nie otrzymacie odpowiedzi w ciągu kilku dni. Po prostu dajcie szanse ekspertowi na zapoznanie się z Waszym problemem.
Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Ten temat jest zamknięty

33r.exe nieusuwalny wirus Oceń temat: -----

#1 Użytkownik jest niedostępny   derwisz Ikona

  • Adept
  • Pip
  • Grupa: Forumowicze
  • Postów: 6
  • Dołączył: 23-maj 10

Napisany 23 maj 2010 - 12:07

Witam
Mój antywirus wykrył 33r.exe. Umiejscowiony on jest w lokacji c:\33r.exe
Wirus instaluje się w pamięci operacyjnej. Program avast nie potrafi go usunąć. Skaner avasta z poziomu DOS wirusa nie wykrywa, dopiero po zaistalowaniu windows wykrywa go ochrona rezydentna.
Mam windows XP.

Nie wiem czy to wina tego wirusa ale w windows nie da się w tej chwili włączyć podglądu plików ukrytych i systemowych. (włączanie tej opcji w widoku folderów nie działa)

Z poziomu DOS mozna zobaczyć, że plik c:\33r.exe ma atrybuty pliku ukrytego
po usunięciu z poziomu dos plik pojawia się na nowo po restarcie windowsa.

Również w Autostart.ini jest komenda uruchamiajaca ten plik ale takie programi jak jv16 nie pokazują tej komendy w autostarcie i nie da się jej usunąc za ich pomocą.

Jedynie z poziomu DOS mogę w tej chwili podejrzeć plik autostart.ini.

Jak pozbyć się tego wirusa?

#2 Użytkownik jest niedostępny   repylek Ikona

  • Very Lazy Cat
  • PipPipPipPipPipPipPipPip
  • Zobacz galerię
  • Grupa: Forumowicze
  • Postów: 39496
  • Dołączył: 07-styczeń 03
  • Płeć:Mężczyzna

Napisany 23 maj 2010 - 14:04

Odinstaluj Livuto DC
Linkman M-24

#3 Użytkownik jest niedostępny   derwisz Ikona

  • Adept
  • Pip
  • Grupa: Forumowicze
  • Postów: 6
  • Dołączył: 23-maj 10

Napisany 23 maj 2010 - 14:19

Zobacz postrepylek, o 23 maj 2010 - 14:04, powiedział:

Odinstaluj Livuto DC



Nie mam Livuto zainstalowanego.
Avast cały czas generuje mi komunikat że pliki 33r.exe na wszystkich dyskach są nosnikami Win32:Trojan-gen

#4 Użytkownik jest niedostępny   repylek Ikona

  • Very Lazy Cat
  • PipPipPipPipPipPipPipPip
  • Zobacz galerię
  • Grupa: Forumowicze
  • Postów: 39496
  • Dołączył: 07-styczeń 03
  • Płeć:Mężczyzna

Napisany 23 maj 2010 - 14:26

Pokaż log OTL
Wykaz plików i wpisów Rejestru do usunięcia
Linkman M-24

#5 Użytkownik jest niedostępny   derwisz Ikona

  • Adept
  • Pip
  • Grupa: Forumowicze
  • Postów: 6
  • Dołączył: 23-maj 10

Napisany 23 maj 2010 - 16:34

[quote name='repylek' date='23 maj 2010 - 14:26 ' timestamp='1274621192' post='1573517']
[url=http://forum.idg.pl/narzedzia-t190195.html][u]Pokaż log OT[/u]L[/url]
[url=http://www.pcthreat.com/parasitebyid-5792en.html][u]Wykaz plików i wpisów Rejestru do usunięcia[/u][/url]
[/quote]


Logi już się robią.
Odnośnie plików i wpisów rejestru do usunięcia czy wszystko to będę musiał usunac ręcznie?

[quote name='derwisz' date='23 maj 2010 - 15:39 ' timestamp='1274625584' post='1573520']
[quote name='repylek' date='23 maj 2010 - 14:26 ' timestamp='1274621192' post='1573517']
[url=http://forum.idg.pl/narzedzia-t190195.html][u]Pokaż log OT[/u]L[/url]
[url=http://www.pcthreat.com/parasitebyid-5792en.html][u]Wykaz plików i wpisów Rejestru do usunięcia[/u][/url]
[/quote]


[url]http://www.wklejto.pl/67960[/url] OTL.TXT

[url]http://www.wklejto.pl/67962[/url] EXTRAS.TXT

Załączone pliki


#6 Użytkownik jest niedostępny   gajedan Ikona

  • Entuzjasta
  • PipPipPipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 3717
  • Dołączył: 27-wrzesień 09
  • Płeć:Mężczyzna

Napisany 23 maj 2010 - 19:59

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Cytuj

:OTL
MOD - [2010-05-23 16:15:53 | 000,073,728 | RHS- | M] () -- C:\Documents and Settings\Dark\Ustawienia lokalne\Temp\dsoqq0.dll
O3 - HKLM\..\Toolbar: (no name) - {4064EA35-578D-4073-A834-C96D82CBCF40} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKU\S-1-5-21-507921405-920026266-1202660629-1003..\Run: [dso32] C:\DOCUME~1\Dark\USTAWI~1\Temp\dsoqq.exe File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Reg Error: Value error. File not found
O32 - AutoRun File - [2010-05-23 16:50:38 | 000,000,053 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-05-23 16:50:38 | 000,000,053 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-05-23 16:50:38 | 000,000,053 | RHS- | M] () - F:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{546cac30-5e1b-11dd-ad0a-000e2ecce287}\Shell\AutoRun\command - "" = H:\33r.exe -- File not found
O33 - MountPoints2\{546cac30-5e1b-11dd-ad0a-000e2ecce287}\Shell\open\Command - "" = H:\33r.exe -- File not found

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[resethosts]
[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

#7 Użytkownik jest niedostępny   derwisz Ikona

  • Adept
  • Pip
  • Grupa: Forumowicze
  • Postów: 6
  • Dołączył: 23-maj 10

Napisany 25 maj 2010 - 03:31

raport z usuwania.

Cytuj

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{4064EA35-578D-4073-A834-C96D82CBCF40} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4064EA35-578D-4073-A834-C96D82CBCF40}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.
Registry value HKEY_USERS\S-1-5-21-507921405-920026266-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Run\\dso32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
C:\autorun.inf moved successfully.
D:\autorun.inf moved successfully.
F:\autorun.inf moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{546cac30-5e1b-11dd-ad0a-000e2ecce287}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{546cac30-5e1b-11dd-ad0a-000e2ecce287}\ not found.
File H:\33r.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{546cac30-5e1b-11dd-ad0a-000e2ecce287}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{546cac30-5e1b-11dd-ad0a-000e2ecce287}\ not found.
File H:\33r.exe not found.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"SuperHidden"|dword:00000001 /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"Hidden"|dword:00000001 /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"ShowSuperHidden"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\\"CheckedValue"|dword:00000001 /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\ deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\\@|"" /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Dark
->Temp folder emptied: 3416965 bytes
->Temporary Internet Files folder emptied: 19511679 bytes
->Java cache emptied: 56241342 bytes
->FireFox cache emptied: 38380447 bytes
->Opera cache emptied: 68874424 bytes
->Flash cache emptied: 6726 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4304185 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114584 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 49152 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 184,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.5.0 log created on 05252010_034331

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_470.dat moved successfully.

Registry entries deleted on Reboot...



Wygląda na to, ze coś się poprawiło. I juz po kłopocie.

Mogę wreszcie normalnie eksplorować (daje się włączyć podglad ukrytych i sytemowych plików w ekplorerze) a Avast nie wykrywa juz trojana w pamięci operacyjnej.

Zauważyłem ze OTL przeniósł w inne miejsce pliki autorun.ini
Były w nich następujące komendy:

Cytuj

[AutoRun]
open=33r.exe
shell\open\Command=33r.exe


Czyli był wywoływany ten plik 33r.exe który był zarażony trojanem.

Czy ten plik jest do czegoś jeszcze potrzebny ???

Załączone pliki

  • Załączony plik  OTL.Txt (39,79K)
    Ilość pobrań: 2

#8 Użytkownik jest niedostępny   gajedan Ikona

  • Entuzjasta
  • PipPipPipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 3717
  • Dołączył: 27-wrzesień 09
  • Płeć:Mężczyzna

Napisany 25 maj 2010 - 11:35

Cytuj

OTL przeniósł w inne miejsce pliki autorun.ini

Chyba chodziło Ci o plik "autorun.inf"?
To plik infekcji, i OTL pewno przeniósł go do swojej Kwarantanny C:\_OTL.

W logu nic więcej szkodliwego nie widzę.
Użyj szczepionki >Flash Disinfector

W OTL kliknij na przycisk "CleanUp" - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

Cytuj

>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.
(W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.)
Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

.

#9 Użytkownik jest niedostępny   derwisz Ikona

  • Adept
  • Pip
  • Grupa: Forumowicze
  • Postów: 6
  • Dołączył: 23-maj 10

Napisany 25 maj 2010 - 13:45

Tak chodziło o autorun.inf

Temat do zamknięcia.
Dzięki.

Prześlij ten temat:


Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Ten temat jest zamknięty

Podobne tematy Collapse

  Temat Forum Rozpoczęty przez Statystyki Ostatni post
Nowe odpowiedzi Ikona nieusuwalny wirus Antywirusy: Ekspert NOD32 odpowiada... Mateusz_n Ikona
  • 5 Odpowiedzi
  • 4406 Wyświetleń
Nowe odpowiedzi Ikona Nieusuwalny wirus? Antywirusy: Ekspert AVG odpowiada... Miszczyk Ikona
  • 2 Odpowiedzi
  • 3705 Wyświetleń
Zamknięty temat Ikona Wirus który gada? Ogólne - oprogramowanie mysior63 Ikona
  • 11 Odpowiedzi
  • 7201 Wyświetleń
Nowe odpowiedzi Ikona co to za wirus adware/WUpd Antywirusy: Ekspert MKS odpowiada... wrzaskun Ikona
  • 3 Odpowiedzi
  • 7833 Wyświetleń
Nowe odpowiedzi Ikona Wirus nadgorliwego administratora Antywirusy: Ekspert MKS odpowiada... butek123 Ikona
  • 1 Odpowiedz
  • 5298 Wyświetleń

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych użytkowników

Reklama