Nod32 pokazuje trojany, nie potrafi ich usunąć, sprawdz. log

agizek · 20 Marzec 2008 15:34

Witam!

Od pewnego czasu NOD32 pokazuje mi alarm o trojanach, ale nie potrafi go usunąć.

Alarm włącza się ZAWSZE, kiedy podpinam pendrive, wykrywa go na nim w pliku setup.exe, nawet po formatowaniu pendrive przez dosa. Czasami włącza się również podczas różnych czynności, np. słuchania muzyki. Alarm włączał się kilka razy podczas działania combofixa. Proszę o wskazówki, bo za wszelką cenę chcę uniknąć formata. Oto log z combofixa:

http://wklej.org/id/9de1130e30

z góry bardzo dziękuję

pozdrawiam, wesołych świąt

jessica · 20 Marzec 2008 16:01

Ten zaznaczony plik sprawdź go na --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

Wg >>http://www.bleepingcomputer.com/startups/USB2_04-21671.html to jest “variant of the Rootkit.Win32.Agent.tj rootkit.”

Ja daję to do usuwania, ale jeśli JOTTI/VIRUSTOTAL tego nie potwierdzi, to Script trzeba będzie zmienić.

Wklej do Notatnika :

File::

C:\WINDOWS.0\system32\drivers\nkv2.sys

C:\WINDOWS.0\system32\drivers\Swa37.sys

C:\WINDOWS.0\system32\WLCtrl32.dl_ 

C:\WINDOWS.0\system32\WLCtrl32.dll 

C:\WINDOWS.0\system32\WLCtrl32.dll(2).VIR


Driver::

Swa37

USB2_04


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania. (na wklej.org)

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

jessi

agizek · 20 Marzec 2008 16:21

dziękuję!

zrobiłem tak jak napisałaś, te strony potwierdziły złe wieści o tym pliku

oto nowy log:

http://wklej.org/id/e81ac4fec1

podczas skanowania, jak i po ponownym uruchomeniu kompa pokazał się alarm w NOD32,

dokładnie w pliku C:\WINDOWS.0\system32\drivers\ip6fw.sys

wirus: Win32/Rootkit.Agent.DP trojan

dziękuję za pomoc i proszę o dalsze wskazówki

edit: po podpięciu pendrive dalej pokazuje się alarm, plik I:\setup.exe

Pendrive jest pusty, ale tworzy się na nim ukryty plik, właśnie ten setup.exe

Dysk “I” to pendrive oczywiście

baldys16 · 20 Marzec 2008 17:02

wrzuć loga z hijackthisa

agizek · 20 Marzec 2008 17:17

http://wklej.org/id/0407c5e735

prosze o to log z hijackthis

jessica · 20 Marzec 2008 17:18

To jest prawidłowa usługa XP SP2, składnik pakietu Advanced Networking Pack (pakiet ten jest wbudowany do XP SP2).

Trojany mogą dokładnie to samo imitować - akurat przypadek rootkita Runtime, który ComboFix usuwał w Twoim pierwszym logu.

Nazwa usługi i nazwa pliku oraz jego ścieżka identyczne w obu przypadkach.

Tak więc nie da się tego w prosty sposób rozróżnić.

Nawet sprawdzanie na JOTTI lub VIRUSTOTAL jest w tym wypadku bezsilne, bo często plik ten jest uznawany za szkodliwy, a dopiero po zbadaniu przez expertów w lanoratorium okazywało się, że to dobry plik.

Tak więc bez względu, co zrobisz to i tak będzie źle, bo jeśli usuniesz, a okaże się prawidłowy - będzie źle: jeśli zostawisz, a okaże się zły - też będzie źle.

Przynajmniej sprawdź, czy data jego zainstalowania jest taka sama, jak data zainstalowania ServicePack 2. (najedź myszką na ikonkę i zobacz).

Log z ComboFixa jest czysty.

Wywal tego NODa, jeśli wykrywa nieistniejący plik, bo w logu ComboFixa wcale nie widzę tego “Setup.exe”, zresztą nawet gdyby był, to jest to prawidłowy plik.,

EDIT:

Log z Hijacka też czysty.

jessi