Problem z wirusem HEUR:Trojan.Win32.Generic

AnorienNinquelote · #1 (**permalink**) 30.08.2009, 17:13

Witam!
Mam problem z usunięciem wirusa. Co chwila wywala mi błąd w gg i firefoxie.
Przeskanowałam Kaspersky'm 2009. To raporty z ostatnich czterech skanów:

Kod:

Szybkie skanowanie: zakończono 2009-08-29 22:23:22   (zdarzeń: 2, obiektów: 3941, czas: 00:08:20)	
2009-08-29 22:15:02	Zadanie zostało uruchomione			
2009-08-29 22:23:23	Zadanie zostało zakończone	
		
Pełne skanowanie: zakończono 2009-08-30 01:27:34   (zdarzeń: 8, obiektów: 728970, czas: 02:54:28)	
	
2009-08-29 22:27:59	Zadanie zostało uruchomione			
2009-08-29 22:29:10	Zadanie zostało zatrzymane			
2009-08-29 22:33:06	Zadanie zostało uruchomione			
2009-08-30 01:25:32	Zagrożenie: HEUR:Trojan.Win32.Generic	D:\Torrents\Romopolis\Romopolis.exe/data0000.cab/GMproj.exe		
2009-08-30 01:25:42	Nieprzetworzony: HEUR:Trojan.Win32.Generic	D:\Torrents\Romopolis\Romopolis.exe/data0000.cab/GMproj.exe	Odroczony	
2009-08-30 01:25:44	Błąd przetwarzania: HEUR:Trojan.Win32.Generic	D:\Torrents\Romopolis\Romopolis.exe		
2009-08-30 01:26:38	Zagrożenie: HEUR:Trojan.Win32.Generic	D:\torrents\romopolis\romopolis.exe/data0000.cab/GMproj.exe		
2009-08-30 01:27:35	Zadanie zostało zakończone			

Szybkie skanowanie: zakończono 2009-08-30 14:52:22   (zdarzeń: 4, obiektów: 7059, czas: 00:09:10)	
	
2009-08-30 14:43:12	Zadanie zostało uruchomione			
2009-08-30 14:46:03	Zagrożenie: HEUR:Trojan.Win32.Generic	C:\Windows\system32\perfcic.exe		
2009-08-30 14:46:04	Nieprzetworzony: HEUR:Trojan.Win32.Generic	C:\Windows\system32\perfcic.exe	Odroczony	
2009-08-30 14:52:24	Zadanie zostało zakończone			

Szybkie skanowanie: zakończono 2009-08-30 15:32:06   (zdarzeń: 2, obiektów: 7093, czas: 00:07:27)	
	
2009-08-30 15:24:37	Zadanie zostało uruchomione			
2009-08-30 15:32:07	Zadanie zostało zakończone

Kaspersky nie może nic zrobić z tym wirusem. Plik perfcic.exe teoretycznie udało mi się wrzucić do kwarantanny.
Mimo tego że w ostatnim skanie nic nie wykryło problem nadal jest.
Ktoś wie jak pozbyć się tego świństwa?

Win32:Sality · #2 (**permalink**) 30.08.2009, 17:25

Nie wiem czy wiem, ale wiem, że nie umiem czytać z samych raportów Kasperskiego tudzież innych programów antywirusowych.

Logi OTL + Gmer - instrukcja obslugi w przyklejonym.

AnorienNinquelote · #3 (**permalink**) 30.08.2009, 21:12

Cytat:

Napisał Win32:Sality

Nie wiem czy wiem, ale wiem, że nie umiem czytać z samych raportów Kasperskiego tudzież innych programów antywirusowych.

Logi OTL + Gmer - instrukcja obslugi w przyklejonym.

OTL stworzył 2 pliki:
OTL.txt
i extras.txt

Po włączeniu Gmer wywala mi niebieski ekran...

Win32:Sality · #4 (**permalink**) 31.08.2009, 02:33

Ok, odpuść Gmera. W logu widzę prawdopodobnie rootkita, a na pewno bardzo dziwne sterowniki systemowe, więc najlepiej będzie jeśli użyjesz ComboFixa, instrukcja obsługi Combofixa tutaj, i potem zaprezentujesz tutaj do oceny loga z niego.

P.S. Popraw raport z Kaspra w pierwszym poście - weź w tagi.

AnorienNinquelote · #5 (**permalink**) 01.09.2009, 14:24

Log z ComboFix-a:
link

Win32:Sality · #6 (**permalink**) 01.09.2009, 14:35

To co w ramce

Cytat:

c:\windows\system32\AF71492BC9.sys
c:\windows\System32\56B536B024.sys
c:\windows\system32\perfcic.exe

Zeskanować na www.virustotal.com i pokazać wyniki.

W logu widzę Kasperskyego i pozostałości od Pandy. Czemu?

Skanowanie heurystyczne to jest przypuszczenie wirusa (na podstawie analizy porównawczej), nie świadczy o tym, że jest to wirus. Aczkolwiek... niektóre wersje viruta czy sality są na przykład tak rozpoznawane.

Nie ma co gdybać: okażesz skany z virustotal - ciąg dalszy gadania. Nie martwmy się na zapas

AnorienNinquelote · #7 (**permalink**) 01.09.2009, 23:24

Ile mniej więcej trwa to skanowanie?
Pierwszy plik skanuje już 3,5h...

Win32:Sality · #8 (**permalink**) 02.09.2009, 08:43

Może minutę, dwie. Przeładuj stronę.

AnorienNinquelote · #9 (**permalink**) 02.09.2009, 17:49

Oto wyniki:
c:\windows\system32\AF71492BC9.sys
c:\windows\System32\56B536B024.sys
c:\windows\system32\perfcic.exe

W skrócie: pierwsze dwa ok. a trzeci ma jakieś świństwo...

Win32:Sality · #10 (**permalink**) 02.09.2009, 18:00

No to jazda

Pobierz narzędzie The Avenger i uruchom. W okienku wklej taki skrypt:

Cytat:

Files to delete:

c:\windows\system32\perfcic.exe

Klikasz execute, komputer zresetuje. Wracasz z raportem kasacji z Avengera i logiem z RSIT.

- - - - - - - - -
I jeszcze jedno, bo jakoś wcześniej mi umknęło. To, co ściągnąłeś z torrentów, a co krzyczy AV, wywalić. To normalne - w torrentach siedzą badziewia.

Szybka odpowiedź
Po Twoich działaniach wystąpiły następujące błędy

OK
Weryfikacja obrazka Wiadomość: Kliknij jedną z ikon szybkiej odpowiedzi w postach powyżej w celu aktywacji tego okna. Opcje Zacytować wiadomość podczas odpowiedzi? Dodawanie szybkiej odpowiedzi - Proszę czekać!

Narzędzia wątku	Przeszukaj ten temat
Wersja do druku Wyślij na email	Przeszukaj ten temat: Zaawansowane wyszukiwanie
Wygląd
Wygląd liniowy Wygląd mieszany Wygląd wątkowy

Podobne wątki
Temat	Autor wątku	Forum	Odpowiedzi	Ostatni post/autor
Problem z Trojan.Win32.Vapsup.fxy i dwa AdWare.Win32.Virtumonde.vya	StaryH	Logi do sprawdzenia	6	22.06.2009 02:23
HEUR:Trojan.Win32.Invader	paluszekpuszek	bezpieczeństwo i anonimowość	6	10.02.2009 11:02
Virus Heur.Trojan.Generic	bartfall	Logi do sprawdzenia	11	30.01.2009 23:21
Problem z Generic Host Process for Win32??	Papkin37pesfik	windows	7	26.09.2008 22:41
dwa trojany: heur generic plus win32.monderb.elg	kirek28	Logi do sprawdzenia	4	10.08.2008 02:12