Trojan :(

[daniel0313]

Niestety mojego kompa zaatakowała wirus, zauważyłem to, bo komp dziwnie się zaczął zachowywać (włączające się samoczynnie strony www, sprzęt muli się...) przeskanowałem go AVG Internet Security 8.5. i m.in. znalazł go w pliku :

1. "C:\Documents and Settings\Daniel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Cache\f_000931";"Koń trojański BackDoor.Ircbot.IEB"

Gdy zakończy się scan klikam USUŃ WYBRANE INFEKCJE pojawia się: przenoszony obiekt jest większy niż dopuszczalna wielkość archiwum. i mam wybr IDŹ DO PLIKU i IGNORUJ. Czy jak ręcznie wyrzucę ten plik to pozbędę się wirusa? Czy może powinienem coś innego z tym zrobić? Czekam na poradę...dzięki

Dodatkowo za radą przeskanowałem komputer programem CoomboFix lecz nie wiem jaki był tego efekt...plik ze skanowania możecie znaleźć pod http://www.wklejto.pl/35755 może ktoś coś z tego zrozumie...

[Converse]

I przeskanuj komputer czymś lepszym niż AVG tak na przyszłość: Avira albo GData. Dwa najlepsze programy antywirusowe obecnie.

[Converse]

Kaspersky wypada w testach przeciętnie, co nie znaczy, że jest złym antywirusem ale jest wiele lepszych od niego jak np. dwa wymienione przeze mnie.

[Sevard]

Testy mają to do siebie, że są syntetyczne i przeważnie niewiele mówią, także ja specjalnie w nie nie wierzę. Jeśli chodzi o moje zdanie, to AVG nie jest wcale zły. Pozostałe wymienione antywirusy również są niezłe, podobnie jeszcze parę innych antywirusów. Problem w tym, że nawet najlepszy antywirus na nic się nie zda, gdy użytkownik nie uważa co robi.Jeśli użytkownik nie będzie uważał co i skąd ściąga, co instaluje, na jakie strony wchodzi, czy też nie będzie przeprowadzał regularnych aktualizacji i skanów, to i tak wcześniej czy później dojdzie do poważnej infekcji.

Co do problemu, to w logu z Combofixa brakuje ukośników, przez co głupio się go czyta, a więc dobrze by było, gdybyś wkleił go jeszcze raz. Możesz też przeskanować kompa darmowym skanerem Dr.Web CureIt!, być może poradzi sobie ze wszystkim, tylko przed skanowaniem wyłącz przywracanie systemu.

[Eart]

--------------------- Pliki DLL ?adowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'explorer.exe'(2560)

c:windowsBricoPacksVista Inspirat 2RocketDockRocketDock.dll

c:windowsBricoPacksVista Inspirat 2YzShadowYzShadow.dll

c:windowssystem32ntshrui.dll

c:program filesGadu-Gaduggwhook.dll

c:windowssystem32NETSHELL.dll

c:windowssystem32credui.dll

.

Czas uko?czenia: 2009-06-11 23:59

ComboFix-quarantined-files.txt  2009-06-11 21:59


Przed: 66?527?031?296 bajt?w wolnych

Po: 66?596?384?768 bajt?w wolnych


261     --- E O F ---   2009-06-11 12:46

z tego co tu wyczytałem rozumiem że podczas włącania np. GG albo jakiegoś komponentu z gg urochamia się inny proces który zostaje przepuszczony przez firewalla antywirusa i bog wie co jeszcze. Nie znam sie za bardzo na tym ale to musi być dość duży wirus, nie ściągałeś pornosów ostatnio?

[Sevard]

Niezupełnie, ggwhook.dll (bo jak rozumiem o ten plik chodzi) jest częścią komunikatora GG i jest czymś w stylu keylogera, tzn. rejestruje zdarzenia myszki, a nie klawiatury, nie wiem natomiast po co ta biblioteka tak naprawdę jest. Taki już urok korzystania z oryginalnego klienta gadu-gadu (i zresztą nie tylko), że uruchamiają się z nim programy, które naruszają naszą prywatność.

[daniel0313]

nie ściągałeś pornosów ostatnio?

No niestety muszę Cie rozczarować, że niestety nie ściągałem... nie wiem czy to ma znaczenie ale jak GG włączam to się WinAmp włącza a poza tym to AVG wykrył go w pliku cache przeglądarki...odziwo wywaliłem ten plik zainstalowałem jeszcze raz Chrome, przeskanowałem i wirusa nie ma (na razie) nie wiem czy to skuteczny sposob pozbycia się go...

[Eart]

winamp się włącza pewnie do gadu radia. A ta bibloteka dll ciekawi mnie. W jakim sęsie narusza prywatność? Rejestrując tez zdarzenia myszki? Zasadniczo co to jest?

[Sevard]

Poszukaj w necie, na różnych forach jest sporo wątków o tej bibliotece, pamiętam, że w paru miejscach czytałem niepochlebne opinie na temat tej dll-ki. Tak w skrócie z tego co się zorientowałem, to przechwytuje ona zdarzenia myszy (kliknięcia i ruch) i jest wykorzystywana np. przy zmianie statusu, ale pytanie, czy tylko do tego. Biorąc pod uwagę, że część skanerów heurystycznych oraz programów antyszpiegowskich uważa, że z tym plikiem jest coś nie tak, to przypuszczam, że jednak nie tylko do tego. W paru innych miejscach wyczytałem, że biblioteka ta reaguje również, gdy uruchamiane są jakieś programy, więc możliwe, że rejestruje jakie programy są uruchamiane.

Nie widziałem natomiast, żeby gg w jakikolwiek sposób przesyłało na serwer rzeczy inne niż te potrzebne do komunikacji między użytkownikami (protokół gg jest nieszyfrowany, więc nietrudno to obserwować), tak więc ja jestem całkiem skołowany i profilaktycznie nie używam natywnego komunikatora gg.

[Converse]

Ten plik .dll nic nie przechwytuje, nic nie zczytuje z klawiatury i za pomocą ruchów myszy. Przynajmniej przy moim zabezpieczeniu taka czynność graniczy z cudem -> zainfekowanie komputera przez wirusa/trojana, zainstalowanie keyloggera.

P.S.

Nie używam antywirusa gdyż jest to zbędna rzecz, dla mniej zaawansowanych użytkowników oczywiście przydatna. Jest dużo programów o wiele lepszych od rozwiązań opartych na zastosowanych w przestarzałych technologicznie antywirusach.

[Gość Frashoot]

Oczywiście też miałem trojana (kto nie miał...) i wyjątkowo pomógł mi Trojan Remover. Szybko, sprawnie i dokładnie usunął trojanka który podszywał się pod programem

WIN PC Defender. Po skanie już go nie było. POLECAM !

Aha, i wie może ktoś co to jest za program ten PC Defender ?

[GeneralMateusz]

Ten Win PC "Defender" to pewnie sam tylko wirus, a nie program ochronny...

[Gość Frashoot]

Ten Win PC "Defender" to pewnie sam tylko wirus, a nie program ochronny...

Tylko jedno mnie dziwi... Wirus dostał się drogą pobierania. Przeglądałem zegary na Windows (wiem... burżuj ze mnie ), a tu nachalnie wyskoczyła reklama "Jesteś 999,999 odwiedzającym tę stronę! Gratulacje!" Z ciekawości kliknąłem, a tu ni z gruchy, ni z pietruchy wyskoczyło pobieranie. Nie zdążyłem anulować. Plikiem który Mozilla pobierała okazał się... nie wiem czy mogę powiedzieć. Chciałem usunąć, ale się nie dało. Komputer zainstalował i uruchomił skanowanie PC Defender. W akcie desperacji wklepałem w google : anty trojan. Pobrałem program "Trojan Remover" i ... ZBAWIENIE!! Wszelkie trojany zniknęły jeszcze szybciej niż się pojawiły. Naprawdę gorąco polecam

TrojanRemover-a! Jedyny minus: wersja dostępna w internecie jest tylko na 30 dni, pełna wersja trochę dużo kosztuje (z naciskiem na dużo:))

Tak więc daniel0313 : pobierz go koniecznie.