Avast wykrywa wirusa Win32:Small-JMH [Trj]
michalm84 - 27 Lut 2008 23:23
Gdy komputer jest połączony z siecią program Avast wykrywa wirusa Win32:Small-JMH [Trj], który siedzi w dwóch plikach, jednak nie moge się go pozbyć. Usuwam go a on wraca z powrotem.Natomiast gdy komp jet odłączony od sieci problem nie istnieje. Prosze o jakieś rady jak się go pozbyć.
oleq_30 - 27 Lut 2008 23:44
Spróbuj w trybie awaryjnym
michalm84 - 27 Lut 2008 23:52
Niestety też to nic nie daje. Zaraz po ponownym podłączeniu kompa do sieci Avast znowu odnajduje wirusa.
jankolo - 28 Lut 2008 02:45
http://www.elektroda.pl/rtvforum/topic925089.html
Proszę przeczytać, zastosować się i dać w załącznikach logi z hijackthis oraz z ComboFix.
oleq_30 - 28 Lut 2008 16:46
Zacznij od uaktualnienia systemu do Serwice Pack 2
Kolobos - 28 Lut 2008 16:53
Dlaczego logi nie sa w zalaczniku? Tylko nie pisz, ze nie umiesz bo w watku do ktorego link dostales masz dokladnie wytlumaczone jak zamiescic pliki w zalaczniku. Uzyj przycisku zmien i popraw swoj post.
Zamknij porty przy pomocy wwdc.exe
W hijackthis usun:
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\clmcs.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Utworz na pulpicie plik CFSCript.txt i wklej do niego:
Driver::
CLMCs
TTLMS
File::
C:\WINDOWS\System32\ttlms.exe
C:\WINDOWS\clmcs.exe
C:\WINDOWS\mrofinu1148.exe.tmp
C:\WINDOWS\java\Packages\J7DVBFBJ.ZIP
C:\WINDOWS\java\Packages\C5VF13VF.ZIP
Plik zapisz i przeciagnij na ikone combofix, po uzyciu daj nowy log z combofix.
Do tego daj jeszcze log z SDFix zrobiony w trybie awaryjnym.
michalm84 - 28 Lut 2008 17:34
Dołączone logi
Kolobos - 28 Lut 2008 19:18
Juz wyglada ok.
michalm84 - 28 Lut 2008 19:52
Antywirus jednak dalej wykrywa mi ten wirus:(
Kolobos - 28 Lut 2008 19:55
Podaj nazwy zainfekowanych plikow oraz ich lokalizacje na dysku.
michalm84 - 29 Lut 2008 00:46
Nazwa pasożyta: Win32:Small-JMH [Trj]
Lokalizacja
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\KFIJGFWH\wr-1-1148[1].jpeg\[UPX]
C:\g4m9e5l1l5x5.exe\[UPX]
kiss39 - 29 Lut 2008 01:27
witam
Avest pamieciozerny i malo szybki hahah moze zamien jak wyczyscisz z trojana na NOD32 "myka scan twardziela jak szalony
polecam ...
oleq_30 - 01 Mar 2008 00:15
kiss39 --- różnica pomiedzy Avastem 4.7Home edition a NOD32 jest taka że Avast do użytku domowego jest darmowy , za NOD32 trzeba płacić , poza tym używam Avasta od jakiś 4 lat i nie zauważyłem żeby był pamięciożerny.
Kolobos - 01 Mar 2008 00:21
michalm84
Uzyj ATF Clenaer i usun wszystko z temp itd.
michalm84 - 01 Mar 2008 00:45
Użyłem ATF Cleanera zaznaczyłem w nim wszystkie ptaszki i usunąłem, po ponownym uruchomieniu kompa Avast dalej wykrywa tego wirusa.
Kolobos - 01 Mar 2008 00:58
Usunales C:\g4m9e5l1l5x5.exe ?
Daj nowy log z combofix oraz sdfix.
michalm84 - 01 Mar 2008 01:22
tak plik usunąłem a to nowe logi:
Kolobos - 01 Mar 2008 01:39
Zrob skan przy pomocy:
http://dnl-eu10.kaspersky-labs.com/devbuilds/AVPTool/
Po uzyciu daj w zalaczniku to co Ci sie wyswietli w zakladce Detected.
Utworz taki CFScript.txt:
File::
C:\WINDOWS\schedhlp.exe
C:\WINDOWS\system32\plms.exe
C:\WINDOWS\clmcs.exe
C:\WINDOWS\system32\ttlms.exe
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe
Po uzyciu daj log z combofix + nowy z sdfix.
michalm84 - 01 Mar 2008 18:17
Skan z podanego w linku programu:
Nowe logi z combofix + sdfix
Kolobos - 01 Mar 2008 21:15
Usun wszystko z C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\
Bedziesz musial podmienic plik C:\WINDOWS\system32\sfc_os.dll na czysty, jezeli masz plyte instalacyjna z SP1 (Bo chyba taki sp masz?) to wtedy mozesz wypakowac plik z plyty i podmienic np. przy pomocy replacer'a lub gmera albo konsoli odzyskiwania. Jezeli nie masz plyty instalacyjnej z SP1 to bedziesz musial zgrac od kogos kto ma SP1 plik sfc_os.dll.
Jak juz go podmienisz to daj nowy log z combofix.
Wypakuj tez z plyty instalacyjnej pliki:
ftp.exe oraz tftp.exe.
michalm84 - 03 Mar 2008 03:26
Zrobiłem tak jak napisałeś i Avat dalej wykrywał wirusa. Wkur.... się i zrobiłem formata, i tak się go pozbyłem.