Jak usunąć trojana Rootkit.AgentODG?

To co mam zrobić?

W tamte okienko w GMER wklej ten tekst:

Dzięki. Zrobiłem tak. Niestety zawiesił się, kursor zniknął. Czy zrobić dalej tak jak napisał jessi czy powtórzyć to jeszcze raz? Dobra, wejdę później bo zasypiam. Dzięki za pomoc idę się wreszcie przespać. :sleeping:

Dodane 16.10.2009 (Pt) 19:37

OK już jestem. Ale dziadowsko chodzi net.

Bez względu na to, co zrobisz, to potem daj log z GMERa (ten “usługowy”)oraz z OTL.

jessi

Najprostszym wyjściem byłoby jednak użycie ComboFix’a. Od kliku dni usuwa już tą wersję rootkita całkowicie. Jeśli rzeczywiście ComboFix odpada to podobne rezultaty daje Dr.WEB CureIt

Jeśli u siebie, ze względu na prędkość połączenia nie możesz ich pobrać, to pobierz gdzie indziej.

Witam ponownie. Najpierw Gmer usługi, po tym pierwszym zadaniu:

http://www.wklej.eu/index.php?id=b47b184428

Teraz OTL:

http://www.wklej.eu/index.php?id=0d9a100d54

Właśnie ściągnąłem DrWebCurel. Czy przeskanować kompa?

Tak.

Wykonaj pełne skanowanie.

To są raporty tylko po szybkim skanowaniu DrWebC.

Najpierw DrWebC raport (szybki scan-zaraz zrobię pełne):

http://www.wklej.eu/index.php?id=45056c037e

Teraz Gmer usługi (pierwszy raz się nie zaciął mogłem zaznaczyć pozostałe dyski-poprzedni tylko C):

http://www.wklej.eu/index.php?id=7ccea659d3

i OTL:

http://www.wklej.eu/index.php?id=9187b74d6e

Wklejaj logi na wklej.org, bo na wklej.eu wychodzą takie “rozwalone”.

Dr.Web już usunął grupę tych backdoor’ów, ale przy okazji wyszło coś dziwnego…

Wykonaj jeszcze ten pełny skan, bo nie wszystkie widoczne w logach zagrożenia zostały usunięte.

Po pełnym skanie DrWeBC(chciałem go zamknąć i zapytał czy ma usunąć czy leczyć?- “nie podjąłeś żadnych działań” -więc na razie nie zamknąłem:

http://wklej.org/hash/16c3228848/

Gmer po włączeniu (Tak jak pisałem przedtem się zawieszał-Nie wiem czy wykonać pełny skan Gmer-em?):

http://wklej.org/id/177643/

Gmer usługi:

http://wklej.org/hash/d3c7ba86f6/

i OTL:

http://wklej.org/hash/903914e17b/

Na wklej.org. mam zaznaczć “v” prywatna wiadomość czy nie potrzeba?

A więc “Dw.Web.CureIt” tego nie potrafi dostrzec, podobnie, jak inne narzędzia.

Próbowałeś zrobić to, co napisałam w swoim poprzednim poście oraz to z Avengerem?

Tak.

Na “wklej.org” nie musisz zaznaczać"prywatne".

jessi

Otworzyłem Gmera > CMD>REGEDIT.EXE i zapytało czy na pewno chcę wprowadzić informacje do rejestru w C\Doc.a.Sityng\Win\MojDok\pobieranie\cb74.reg. do rejestru(w skrócie)> nacisnąłem OK> i otrzymałem komunikat, że został pomyślnie wprowadzony i nic się nie działo ani nie rozwijało. Pewnie coś nie tak zrobiłem

Już chyba wiem , to się robi na pierwszej stronie. Próbuję.

Co Ty kombinujesz?

Albo:

Znów Gmer >>> tym razem zakładka CMD i zaznaczyć w niej opcję REGEDIT a do górnego okna wkleić:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\WINDOWS\system32\userinit.exe,"

Kliknąć na Uruchom. albo:

albo: Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\WINDOWS\system32\userinit.exe,"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

jessi

Strasznie długo to trwało ale co chwilę mi się resetował albo internet się “rozgrzewał”. Potem wystąpił komunikat o b. poważnym błędzie systemu i że system “powrócił”.

Usunąłem to w Gmer jak chciałeś, później w Avenger wkleiłem tamto z poprzedniego i linki"

Avenger:

http://wklej.org/id/177815/

Teraz Gmer pełny skan (pierwszy raz):

http://wklej.org/id/177848/

teraz Gmer usługi:

http://wklej.org/id/177850/

i OTL: http://wklej.org/id/177862/

Strasznie długo to trwało, wolniej pracuje i najpierw na biało się wszystko otwiera , po chwili jest normalnie.Ciekaw jestem jak to teraz wygląda?

Dodane 17.10.2009 (So) 20:27

Teraz dopiero przeczytałem Twój nowy post. Nie denerwuj się ja jestem laikiem w tych sprawach i nie znam tych programów a chwilę potrwa zanim się skapuje o co chodzi. To co dla Ciebie jest normalne dla mnie stanowi wyzwanie. Zrobiłem tym sposobem w Gmer >uruchom >Reg>…usunąłem końcówkę. Dalej zeskanowałem po kolei.

Źle to wygląda: wprawdzie GMER już nie widzi Rootkita, ale za to OTL widzi jego pliki.

Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\gasfkylog.dat

C:\WINDOWS\System32\gasfky.dat

C:\WINDOWS\System32\gasfkywsp8.dll

C:\WINDOWS\System32\gasfkyupmvknvk.dat

C:\WINDOWS\System32\gasfkypyfwxwoq.dat

C:\WINDOWS\System32\gasfkydupogixb.dll

C:\WINDOWS\System32\gasfkywutewmrq.dll

C:\WINDOWS\system32\drivers\gasfkyduyulrmt.sys


Drivers to delete:

gasfkyxsaqojtq

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Popraw jeszcze tym:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Z GMERa, ten usługowy , też by się przydał.

jessi

Strasznie wolno załapuje internet i dalej mam problem z restartem. Na razie link z Avengera:

http://wklej.org/id/177895/

Teraz zrobię tą drugą część i skany. Pewnie trochę to potrwa.

Dodane 17.10.2009 (So) 21:21

Na początku jak zawsze opornie OTL po usuwaniu :

http://wklej.org/id/177912/

OTL scan:

http://wklej.org/id/177924/

Gmer usługi:

http://wklej.org/id/177926/

Nawet zaczyna mi się podobać to zajęcie tylko kark sztywnieje.

Dodane 17.10.2009 (So) 21:26

Na dysku C w Avenger znalazłem takie pliki systemowe(?) :

gasfkywutewmrq.dll

gasfkywsp8.dll

gasfkydupogixb.dll

Kiedy to się skończy - uparty ten Rootkit.

Avenger>

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\gasfkymynpgkwl.dll

C:\WINDOWS\System32\gasfkytdqfnbne.dll


Folders to delete:

C:\WINDOWS\System32\lowsec

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Popraw tym:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

To co znalazłeś w Avenger, to pewnie w jego Kwarantannie.

jessi

Jak masz dosyć to powiedz. I tak jestem pełen uznania i podziwu dla Ciebie.

Oto linki:

Avenger: http://wklej.org/id/177959/

OTL Fixxes: http://wklej.org/id/177965/

OTL scan: http://wklej.org/id/177981/

I Gmer usługi: http://wklej.org/id/177984/

No, nareszcie logi są czyste!

Mnie tu nikt na siłę nie trzyma - odchodzę, kiedy chcę. :smiley:

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

Powodzenia

jessi