Agent-LRU[Rtk], Agent-KDT[Trj] - jak się tego pozbyć?


(Shimano2) #1

Witam serdecznie

Jestem tu nowy i wybaczcie mi jak coś bardzo pokręce. Mam taki problem.

Po (w końcowej fazie wczytywania) uruchomieniu systemu avast podaje komunikat

Znaleziono pasożyta

C:\WINDOWS\r-k.exe[uPX]

Nazwa: Win32:Agent-LRU[Rtk]

Typ: rootkit

... klikam usunąć ... usuwa ... kolejny komunikat

Znaleziono konia trojańskiego

C:\WINDOWS\system32\DefLib.sys

Nazwa: Win32: Agent-KDT[Trj]

Typ: koń trojański

... klikam usunąć ... usuwa ... i wydaje się, że ok

ale, gdy nie mam włączonej neostrady co jakiś czas wyskakuje mi okienko czy chcę się połączyć.....

w przypadku gdzy jestem połączony to wyskakują mi ostrzeżenia o wirusie (zbyt dużo identycznych wiadomości w wyznaczonym czasie). Jeżeli klikam "Nie wysyłaj" to ciągle się pojawiają nowe. Jeżeli nie reaguję to wyskakuje ich max 20 w czasie ok 1 min. i są ciągle na wierzchu (tak jak w trakcie pisania tej wiadomości).

Trochę poczytałem na tym forum i ściągnąłem sobie SDFix'a i ComboFix'a, ale różnie w różnych tematach napisana jest kolejność czynności jakie trzeba wykonać.

Dodam jeszcze, że niedawno w pracy zobaczyłem na swoim pendrive plik ukryty ufo.exe

Chciałem sprawdzić czy w domu też go zobaczę, ale jak w opcjach folderów ustawiam pokaż ukryte, to nic się nie dzieje. Wchodzę ponownie w opcje, a tam jak bym nic nie zmieniał czyli "Nie pokazuj ..."

Jak ktoś mógłby mi pomóc i pokierować od czego powinienem zacząć to byłbym bardzo wdzięczny.

(normalnie to formatowałem C, ale teraz mam tam parę giga ważnych dla mnie rzeczy i ta opcja nie wchodzi w grę)

Pozdrawiam

post-77539-13856533778419_thumb.jpg

post-77539-13856533778761_thumb.jpg

post-77539-13856533779231_thumb.jpg


(jessica) #2

Jeśli uważasz, że na tym Forum opis uruchomienia jest dla Ciebie zbyt niejasny, to spróbuj wykonać wg -->ComboFix oraz SDFix. (niżej na stronie linku).

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi


(Shimano2) #3

Przede wszystkim dzięki za szybką odpowiedź.

Chodziło mi o to, że w jednym temacie napisane jest ... zainstalować SDFix ... uruchomić komputer w trybie awaryjnym ... uruchomić SDFix ... przeskanować ... uruchomić ponownie komputer (normalnie) ... jeszcze raz przeskanowa SDFix ... potem przeskanowa ComboFix'em ... wkleić log

W innym miejscu czytam ... uruchomić komputer w trybie awaryjnym ... zainstalować SDFix ... uruchomić SDFix ... przeskanować ... uruchomić ponownie komputer (normalnie) ... jeszcze raz przeskanowa SDFix ... wkleić log

Czasami jest, żeby skanować SDFix'em i ComboFix'em a czasami tylko SDFix'em. Nie wiem czy to jest jakaś różnica, a nie chcę popełnić jakiegoś błędu i przypadkowo wprowadzić was w błąd.

postąpię według instrukcji jak w linku

pozdrawiam


(jessica) #4

Aha, to źle zrozumiałam.

Możesz użyć najpierw SDFix ((w Trybie Awaryjnym), a potem ComboFix.

Choć dla mnie kolejność jest obojętna, bo widać będzie godzinę użycia.

jessi


(Shimano2) #5

http://wklej.org/id/ac5cdb0ff2


(jessica) #6

Pendrive zainfekowany!

Wklej do Notatnika :

File::

C:\WINDOWS\system32\fsmgmt.dll

C:\m1t8ta.com

C:\3wcxx91.cmd

D:\3wcxx91.cmd

I:\h.cmd


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"=-

"NWEReboot"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fsmgmt] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d0e0d54-6506-11dc-b48b-000b6ac3b979}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{438cd24a-2a6e-11dc-a8e6-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{438cd24b-2a6e-11dc-a8e6-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78d3734c-a9d0-11dc-b51c-000b6ac3b979}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to:

Po restarcie usuń ręcznie folder C: **** Qoobox.

jessi


(Shimano2) #7

http://wklej.org/id/f4d04f58e2

Mam problem z internetem

Działa tylko minutę lub dwie

post-77539-13856533779686_thumb.jpg

post-77539-13856533780004_thumb.jpg

post-77539-13856533780462_thumb.jpg


(jessica) #8

Log jest czysty.

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Jeśli nie zdążysz ściągnąć, to spróbuj w Trybie Awaryjnym z dostępem do sieci.

jessi


(Shimano2) #9

(chyba nie wyszło dokładnie tak jak miało być, ale wydaje się, że internet działa dłużej.)

Ale po restarcie jest ok.

internet narazie się nie wiesza, a co zrobić z pendrivami


(Dmirecki) #10

Do pendrive możesz użyć http://www.softpedia.com/get/Security/S ... Tool.shtml lub http://www.techsupportforum.com/sectool ... fector.exe