HackTool.RootKit i W32.Gammingma


(Elsolek) #1

Witam!

Mam pewien problem. Noton Antyvirus 2007 znalazł i blokuje mi jako zagrożenie bezpieczeństwa HackTool.RootKit, lecz nie potrafi mi tego usunąć :confused: Do tego cały czas znajduje mi różne trojany z serii W32. Najczęsciej W32.Gammingma. Najbardziej wkurzające jest to, że przez to mój Windows XP SP2 zachowuje się dziwnie :confused: tzn. nie mogę odkryć ukytych plików i na odwrót, czyli nie moge ukryć plików. Pokazują mi się rozszerzenia znanych plików, a tego nie chcę. Tak jakby Windows nie zapamiętywał moich ustawień. Do tego gdy otworzę Mój komputer i chcę wejść na jakiś dysk, to albo otwiera mi się on po dłuuugim czasie w nowym oknie (nie w tym samym co Mój komputer), albo wyświetla się okienko z prośbą o wybór programu jakiego windows ma użyć do otwarcia dysku (takie samo okienko wyświetla się przy uruchamianiu pliku z rozszerzeniem, którego nie zna Windows). Z tego co dowiedziałem się z netu, problem powinien rozwiązać program ComboFix, ale gdy go uruchamiam wyświetla mi się komunikat: "You cannot rename Combofix as Combofix". Próbowałem zmienić nazwę pliku i nic nie działa.

Proszę o pomoc i potrzebne informacje. Jeśli problem rozwiąże inny program proszę o podanie jego nazwy.

Z góry dzięki i pozdrawiam!


(Dmirecki) #2

Jak nie działa ComboFix, to daj log z Deckard's System Scanner


(Elsolek) #3

Witam!

No zrobiłem testy tym dss: wyświtliło mi dwa logi. Pierwszy z nich:

http://wklej.org/id/2fd012f9d4

Drugi:

http://wklej.org/id/3ca8dc1dca

To tyle.


(Gutek) #4

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\amvo1.dll

C:\i.cmd

C:\DOCUME~1\Slk\USTAWI~1\Temp\nya.exe

i naciskasz X czerwony. Program poprosi o reset kompa ... czyli resetujesz.

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"amva"=-


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.


(Elsolek) #5

Pytanie techniczne: jak wkleić do "Full path of file to delete" ścieżki czterech plików? Czy może mam to robić po kolei?

Dzięki za odpowiedź! (mam nadzieję, że jeszcze nie śpicie :] )


(Ciupa Michal) #6

wszystkie 4 razem wklejasz i naciskasz czerwony X, poźniej program poprosi o reset kompa , więc resetujesz


(Elsolek) #7

Z całym szacunkiem, no ale właśnie z tym mam problem! Spróbuj samemu jak mi nie wierzysz.....! Gdy kopiuję 4 pliki z postu wyżej i wklejam je do "full path of file to delete" to wkleja mi link tylko do pierwszego pliku, a nie do wszystkich czterech!

Może mam te ścieżki po przecinku średniku wipsać ?!

Z góry dzięki za odpowiedź.

A może ktoś zna inne rozwiązanie mojego problemu?!

Dodam, że tak właściwie to nie jest tylko mój problem. Mieszkam w akademiku i jesteśmy w nim połączeni w sieć. Większość kompów w sieci jest zainfekowana tym syfem :confused: Do tego wszystkie pendrive'y :confused: Nawet jak sie płyty nagrywa, to na nie też wchodzi to świństwo. Dlatego bardzo spodobało mi sie motto które tu widziałem: "Walka do końca, nie format" , bo jest sesja i nikt w jej trakcie nie chce tracić materiałów poprzez format dysków. Dodoam jeszcze, że qmpel próbował się pozbyć tego syfu robiąc format wszystkich partycji, apotem, żeby nie stracić danych, włączył przywracanie danych jakimś programem z netu. Oczywiście prywróciło mu też HackTool.RootKit :confused: Jedyne co mi przychodzi na myśl, to format z zerowaniem dysków, ale to już ostatecznośc. POMOCY!


(Mirfi2) #8

Jak używać KillBox-a -> http://www.bezpieczenstwosystemow.pl/in ... &topic=2.0


(Gutek) #9

Nowy log zobaczymy co zrobiłeś


(Monczkin) #10

elsolek , zapoznaj się z regulaminem i zasadami pisania na forum. Następnym razem za pisanie posta pod postem i niewłaściwe tytułowanie tematu zostaną wyciągnięte konsekwencje.