Perfidna infekcja trojanem Win32: cutwail-V

[szeryf84]

Witajcie.

Liczę tu na Waszą pomoc, bardziej doświadczonych i obeznanych kolegów, bo cóż... tylko to mi pozostało.

Otóż chciałbym na wstępie przedstawić swoją sytuację, jakieś dobre 2 tygodnie temu zaraziłem się tym nikczemnym trojanem przeglądajac jedną ze stron społecznościowych, dosyć ostatnio popularna... Mowa o win32: cutwail-V.

Mój avast w tej samej chwili go wykrył ale w tym przypadku nie potrafił usunąć tylko wysłał na kwarantannę. Do pewnego momentu pozostawał w uśpieniu, choć zdawałem sobie sprawę z problemu. Po pewnym czasie dał znać o sobie multiplikując się u mnie i tworząc inne win32: geny, które avast tym razem na bieżąco usuwał.

Czytałem wiele wątków i for na ten temat, ściagnąłem masę dostępnych programów przeciw trojanom:
-MalwaresBytes AntiMalware
-CCleaner
-Anti Trojan Elite
-Trojan Remover
Niektóre nic nie widziały, niektóre wykrywały parę infekcji, likwidując je, ale nie docierały do źródła problemu czyli trojana-matki.

A złośliwiec dalej robi swoje, obecnie przy otwieraniu plików video przez realplayer wyskakuje komunikat DEP o zapobieganiu wykonywaniu danych i raport o błędach... Domyślam się że ciągle to jego sprawka.

Nie namyślając się wiele włączyłem ostatnio combofixa oraz FixIEDef i oto daje Wam ich logi. Ten drugi nic nie wykrył...

Combofix:
Dostępne tylko dla zarejestrowanych użytkowników [wklej.org]

FixIEDef:
Dostępne tylko dla zarejestrowanych użytkowników [wklej.org]

Bardzo proszę o sprawdzenie logów i jakieś rozsądne rozwiązania, nie interesuje mnie usuwanie trojanów na bieżąco bo to w tym przypadku niewiele daje.

Pozdrawiam.

P.S.

Przeskanowałem system skanerem ESET, ktoś mi go szczególnie polecał, rzeczywiscie wykryl 4 infekcje typu win32 na dyskach. Oto wyniki:

ESET:
Dostępne tylko dla zarejestrowanych użytkowników [wklej.org]

ale na niewiele to się zdało, ciągle mój komputer wyprawia cyrki, teraz szczególnie kiedy próbuję otwierać programy realplayer, wyskakuje DEP i masa błędów do raportowania. Jedna wielka zwiecha.

Zrobiłem ostatni log combofixem, z wczoraj

Combofix:
Dostępne tylko dla zarejestrowanych użytkowników [wklej.org]

Proszę o sprawdzenie i dalszą pomoc...

[XMan]

Bardzo ładnie i dokładnie opisałeś swój problem.
Poczekaj za sprawdzeniem logów przez eksperta forum @djarta.

CCleaner jest dobry ale tylko do czyszczenia komputera a nie do wirusów.
U góry po lewej ,,Cleaner" na dole Analiza - Uruchom Cleaner
póżniej ,,Rejestr" Skanuj by znależć problemy - Napraw zaznaczone problemy.

[djarta]

@szeryf84 - Regulamin działu się kłania.
Daj logi takie, jak piszę w tym temacie.


========
K.

[szeryf84]

Przepraszam Was moi mili heeh, za ten caly pospiech i nie zapoznanie sie z regulaminem, ale zrozumcie czlowiek w stanie desperacji nie mysli juz o takich rzeczach

Ten caly trojan, sparalizowal na dobre moje dzialania i ogolnie przyjemnosc z korzystania ze swojego kompa... Wiem ze combofix to tak naprawde ostatecznosc, ale po coraz to nowych chorych objawach nie mialem juz cierpliwosci.]

Oto prezentuje swoje logi z programow zaproponowanych przez Was w regulaminie:

DDS:
Dostępne tylko dla zarejestrowanych użytkowników

Attach do DDS:
Dostępne tylko dla zarejestrowanych użytkowników

OTL:
Dostępne tylko dla zarejestrowanych użytkowników

GMER:
Dostępne tylko dla zarejestrowanych użytkowników

GMER cz.2:
Dostępne tylko dla zarejestrowanych użytkowników

Bardzo prosze o sprawdzenie tych logow i jakas porade co mam dalej z tym robic. Z gory dziekuje

-- Dzisiaj, 23:03 --

Ostatnio kiedy wlaczam realplayera, pojawia sie taki komunikat. Zamieszczam go, bo moze to sie okazac istotne.

Dostępne tylko dla zarejestrowanych użytkowników

Co mam z tym ew. zrobic? Z gory dziekuje

[djarta]

1. Skanujesz programem Malwarebytes Ant-Malware (Pełne skanowanie, wszystkich partycji - pokaż nam raport).

2. Skanujesz programem ---> Dostępne tylko dla zarejestrowanych użytkowników.
Ściągasz>>>Odpalasz>>>Klikasz Start>>>Po szybkim Skanowaniu wybierasz "Pełne">>>No i taki trójkącik...
Czekaj, aż skończy i daj nam raport. Usuwaj/lecz wszystko co znajdzie.


==========
K.

[szeryf84]

Witajcie ponownie

Wykonalem pelne skanowanie programem MalwaresBytes Anti-Malware, znalazl mi 3 infekcje o czym powiadamial mnie tez w tym momencie avast...

Oto log z tego:
Dostępne tylko dla zarejestrowanych użytkowników

Chcialbym zauwazyc jedna ciekawa rzecz dla mnie, przed restartem w logu mialem zapisane przy zarazonych plikach ze zostaly pomyslnie usuniete i dodane do kwarantanny, teraz po wlaczeniu tego samego pliku txt, jest napisana uwaga - no action taken... hmm...

Wykryl je co prawda ale chyba to wszystko to win32 geny tak? Wiec mozna sie spodziewac tego swinstwa pewnie co chwile ehh.

I jeszcze jedna prosba, co mam zrobic z tym realplayerem? Prosze o pomoc zaden plik normalnie mi sie nie chce otworzyc, pojawia sie komunikat DEP przerwanie akcji i raportowanie bledow.

Probowalem reinstalacji reala ale to nic mi nie dalo.

-- Dzisiaj, 23:36 --

Co do DrWeba wykonalem szybki skan niczego tam nie wykryl.

[djarta]

Co do DrWeba wykonalem szybki skan niczego tam nie wykryl.

Pełne Skanowanie zrób.

W logach nic nie ma, żadnej infekcji, poprostu komputer jest czysty.
Co do tych wirusów z System Volume Information to:

Z folderu "System Volume Information" usuniesz kopie "wirusów" poprzez chwilowe wyłączenie "Przywracania Systemu":

>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.
Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

=========
K.

[szeryf84]

Juz doszedlem, dlaczego w podanym przeze mnie logu jest napisane, ze MalwareBytes nie podjal akcji W tym samym czasie kiedy on robil pelny skan i wykrywal pojedyncze infekcje, uruchamial sie alert Avasta o pojawieniu sie tam konia trojanskiego, zaznaczalem polecenie usun i ot co cala filozofia

Jedyne co mnie tak naprawde martwi i irytuje to brak mozliwosci wlaczenia plikow realplayera, caly czas ten sam komunikat o zapobieganiu wykonywania danych DEP ze strony windowsa i bledy do raportowania w tym blad np. w aplikacji explorer.exe, duza niestabilnosc systemu podczas akurat tego procesu...

Nie moge tak tego zostawic. Jak mam rozwiazac ten problem ?

Zreszta zobaczcie sami:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Zrób Pełne Skanowanie "Doktorkiem".!


=======
K.

[szeryf84]

Zrobilem pelen scan DrWebem, po czym jeszcze raz dzisiaj zrobilem kompleksowy scan MalwareBytes...

Diagnozy sa zawsze te same w przypadku takich dokladniejszych skanow wykrywa mi z reguly 1, 2 infekcje i sa to infekcje plikow wykonywalnych .exe w roznorodnych aplikacjach.

Wniosek wydaje sie byc prosty trojan w inteligentny sposob caly czas sie mulitplikuje i namnaza, ukrywajac tym samym swoje zrodlo do ktorego nie mozna dotrzec... Jak widac zreszta takie usuwanie tych infekcji na nic sie zdaje bo objawy pozostaja.

Sprawdzalem otwieranie tych plikow pod programem Windows Media Player - skutek - ten samo co z realplayerem, zapobieganie wykonywaniu danych i masa bledow. System zauwazam ze zaczyna mi powoli wolniej chodzic...

Oto ostatni log z MalwareBytes Anti-Malware:
Dostępne tylko dla zarejestrowanych użytkowników

Oto plik z pelnego loga DrWebem:
Dostępne tylko dla zarejestrowanych użytkowników