Problem z trojanami Backdoor:W32/SdBot.CNG i W32/Agent.DKD

glonek · 13 Grudzień 2008 16:33

witam od dwóch dni mecze sie z trojanami W32/SdBot.CNG i W32/Agent.DKD. Antywirus F-Secure ciagle melduje o ich atakach. Prosze o pomoc.

oto log z HiJack This:

http://wklejto.pl/18495

spandaupol · 13 Grudzień 2008 17:38

Log HJT wygląda na czysty

Pobierz Combofix przeskanuj system i daj log na forum.

glonek · 13 Grudzień 2008 18:20

oto log z Cobofix zrobiony w trybie awaryjnym Windows:

http://wklejto.pl/18505

huber2t · 13 Grudzień 2008 18:53

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\f-bot.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

glonek · 13 Grudzień 2008 20:12

hubert zrobiłem tak jak napisałeś

oto log:

http://wklejto.pl/18518

huber2t · 13 Grudzień 2008 20:15

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

glonek · 13 Grudzień 2008 23:42

wszystko było dobrze przez pare godzin, ale wirus znowu zaatakował. Czy moze to być spowodowane brakiem jakichs łatek na windows?? zoptymalizowałem autostart, wyczysciłem dysk ccleanerem i przesaknowałem Dr.WEB CureIt!. nic niewykrył poza narzędziem do usuwania złośliwego oprogramowania SDfix.

huber2t · 14 Grudzień 2008 05:49

Przeskanowałeś Kasperskim?

glonek · 14 Grudzień 2008 11:23

wczoraj skanowałem tylko Dr.WEB CureIt!. dziś zrobiłem skan Kasperskim oto raport:

http://wklejto.pl/18563

Gutek · 14 Grudzień 2008 11:25

Pokazuje zainfekowany plik przeskanuj go jeszcze na http://scanner.virus.org/

glonek · 14 Grudzień 2008 15:26

niestety usunołem ten plik po skanowaniu Kasperskim:(

glonek · 14 Grudzień 2008 15:52

co mam teraz robić?

oto najnowsze logi:

HijackThis v2.0.2:

http://wklejto.pl/18585

ComboFix:

http://wklejto.pl/18587

Gutek · 14 Grudzień 2008 16:16

Na koniec

Optymalizacja XP: viewtopic.php?t=76580

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

glonek · 14 Grudzień 2008 16:59

Gutek jak to na koniec? Wirus dalej jest w moim komputerze. Optymalizacja i czyszczenie rejestru raczej go nie usuną. chyba że sie myle?

Gutek · 14 Grudzień 2008 17:16

Nic w logu nie widać, napsiałeś, że skanery nic nie znalazły. Podaj dokładną lokalizację syfu co wskazuje F-Secure

glonek · 14 Grudzień 2008 17:45

Kasperski znalazł tego wirusa. Nie mam pojęcia czemu nie zaznaczył tego w raporcie.

oto lokalizacja z F-Secure

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\USTAWIENIA LOKALNE\TEMPORARY INTERNET FILES\CONTENT.IE5\O3CLY5Q3\X[1].TXT

spandaupol · 15 Grudzień 2008 08:07

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

glonek · 15 Grudzień 2008 12:02

Zrobiłem tak ja napisałeś.

oto raport:

http://wklejto.pl/18681

spandaupol · 15 Grudzień 2008 12:03

Plik usunięty Powinno być OK

glonek · 15 Grudzień 2008 12:06

w tej lokalizacji został plik:

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\O3CLY5Q3\p[1].TXT

usunąć go w ten sam sposób?