PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

Jak odstranit trojana (vira) Torpig

https://pc-help.cnews.cz/viewtopic.php?f=47&t=13059

Stránka 1 z 1

Jak odstranit trojana (vira) Torpig

Napsal: 13 bře 2007 10:19
od frantafranta
Spybot mi opakovaně nachází Torpig ve složce C:\Windows\Temp. Odstranění se podaří až v nouzovém režimu. Adaware, Spyware Terminator ani Nod nic nenašly. Po nějaké době se tam ten Torpig vždy objeví. Co s tím? Díky

Napsal: 13 bře 2007 10:54
od fredik
Dej sem pro začátek log z programu HijackThis

Napsal: 13 bře 2007 11:06
od frantafranta
Logfile of HijackThis v1.99.1
Scan saved at 10:21:05, on 13.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: :-)mojelogo SMS ToolBar - {CFBC2741-0C1F-11D6-9224-004F490BED09} - C:\Program Files\Mojelogo\SMS ToolBar\smsbar.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1029
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stáhnout pomocí BitSpiritu - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B39E478-6473-449B-AABF-ABAF59C38FDD}: NameServer = 212.96.162.2,212.96.161.2
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Napsal: 13 bře 2007 11:09
od frantafranta
tak je to divný,ale v průběhu scanu MWAV se mi z ničehonic vypnul počítač,nic jiného jsem spuštěného neměl.

Napsal: 13 bře 2007 11:42
od fredik
Log vypadá v pořádku:

Můžeš fixnout tyto drobnosti:
Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0\bin\jusched.exe
po zaškrtnutí klikni na tlačítko Fix Checked

Projeď to tím Mwav znovu.

Zkus ten soubor až se ti tam znovu objeví otestovat na VirusTotall pak se dá podle detekce dohledat jak ho odstranit.

Napsal: 13 bře 2007 14:26
od Damned
Toho Torpiga by měl odstranit Spybot.

Na virustotalu si zkontroluj i soubor wisptis.exe, který máš ve složce C:\WINDOWS\system32\WISPTIS.EXE, je to sice Windowsáckej soubor, jeho napadnutelnost je ale 72%, ale spoň podle zahraničních serverů.
Buď ti ukáže test všude "not found" nebo ti napíše červeně jeho možné nakažení.

Pokud umíš anglicky,tak něco o Torpigovy je i tady: http://www.sophos.com/virusinfo/analyse ... rpiga.html

Napsal: 13 bře 2007 17:24
od fredik
Je problém v názvech virů. Sice je pěkné že Spybot označí soubor jako nákazu Torpig ale jiné firmy vydávající bezpečnostní produkty si daný vzorek pojmenují jinak a pak se v důsledku nemusí jednat o stejnou nákazu. Tedy chtěl jsem tím říct že Torpig podle Spybot nemusí být nutně Torpig podle Sophose. Proto jsem chtěl až se mu daná potvora objeví v systému aby ji otestoval.
+ Když k tomu připočteš ještě různé mutace tak se v tom za chvíli ztratíš :D
viz třeba: http://www.sophos.com/security/analyses ... pigbh.html
s těch mutací je např: K, S, U, BL atd.

Napsal: 13 bře 2007 17:37
od Damned
Pravda,záleží taky na klonu :crazy: :idea:

torpig

Napsal: 20 bře 2007 23:37
od jk747
Podivejte se zda vam nahodou nebezi sluzba s nazvem gb. Pokud ano, tak ji okamzite odstrante. V pripade, ze vam bezi se totiz jedna o velmi nebezpecny malware.
Časové pásmo: UTC+02:00
Stránka 1 z 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/