Rookit Worm Bagle jak usunąć?

Dla specjalistów Bezpieczeństwo
#1

Witam,mam zainfekowany system Rookitem Bagle proszę o pomoc w oczyszczeniu systemu.Dodam,że wyłączył mi avasta i skaner on-line też wywala błąd.Nie mogę zrobić loga z HijacThis,Combofix też nie działa.Udało mi się zrobić loga z Malwarebytes i z Gmera.Awaryjny też nie działa.Z góry dziękuje za pomoc.

http://wklej.org/id/113005/ malwarebytes

http://wklej.org/id/113013/ gmer

#2

Tam pisze no action taken - jeszcze się wahasz?

Tutaj musowo trzeba zastosować ComboFix. Pobierz go jeszcze raz i już w momencie pobierania zmień nazwę na losową, koniecznie zmień też rozszerzenie na com nie exe i dopiero wtedy spróbuj uruchomić.

Awaryjny nie działa bo Bagle ciachnął cały klucz od awaryjnego.

#3

Ok udało mi się uruchomić Combofix pod inną nazwą i zrobić loga proszę zaznaczyć co usunąć :slight_smile: :slight_smile:

http://www.wklej.org/id/113037/

#4

Właściwie to nie ma co poprawiać. Zdaje się, że teraz ComboFix też naprawia awaryjny - sprawdź czy działa.

Do wyrzucenia martwe sterowniki, start => uruchom => cmd, wpisz, po każdej linijce enter

sc delete aswSP

sc delete PCMDRV

sc delete LMIRfsClientNP

Wpisz w Start => Uruchom Combofix /u lub ręcznie usuń folder C:\Qoobox i instalkę Combofix z dysku.

Wyłącz na chwilę przywracanie systemu.

http://support.microsoft.com/kb/310405/pll

Wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& … lware+1.37

Przeczyść rejestr CCleaner’em

http://dobreprogramy.pl/index.php?dz=2& … +v2.19.901

Ręcznie usuń folder

Programy które sprawiają kłopoty - do przeinstalowania.

#5

Zapisujesz w notatniku :

Plik :arrow: Zapisz :arrow: Wszystkie pliki :arrow: Nazwa plik.reg :arrow: Zapisz :arrow: Uruchamiasz dwulikiem i restartujesz komputer

:arrow: Pobierz The Avenger

Skopiuj do niego :

:arrow: Wciskasz Execute :arrow: potwierdzasz restart . Dajesz raport z usuwania(C:\avenger.txt) na forum . Na koniec kasujesz ręcznie plik C:\Avenger\backup.zip

#6

To od narzędzia Sophosa na rootkity, jeśli nie potrzebne to można wywalić. Folder found oczywiście do wywalenia.

#7

http://www.prevx.com/filenames/X1589305 … 3.TMP.html

#8

http://www.bleepingcomputer.com/startup … 22472.html

No i co teraz ?? :stuck_out_tongue:

#9

http://www.greatis.com/appdata/d/m/memsweep2.sys.htm

#10

z loga wynika że do usunięcia

:slight_smile:

#11

Przecierz już to zrobiłem .

#12

Ty dałeś do usunięcia, ale nie wiadomo, czy bobek1313 wykonał twoje zalecenia.

W każdym razie usługa bezpieczna, tylko całkowicie zbędna, gdy nie skanujemy Sophos Anti-Rootkit.

#13

Trochę to trwało (scany) w logu z malwarebytes jest czysto czy mam usuwać to co jasio96 napisał

#14

Usuń wszystko co znalazł Malwarebytes’

Pokaż raport z usuwania.

Nie ma potrzeby, bo i tak przy każdym skanie Sophos’em będzie wracał.

#15

Zrobiłem zalecenia jasio96 i daje loga z The Avenger

http://www.wklej.org/id/113073/

Dodane 27.06.2009 (So) 21:27

Oto log z Malwarebytes

http://wklej.org/id/113075/

#16

I tak jakoś ta usługa wcześniej “zeszła”, więc nic się nie usunęło.

Malwarebytes’ nic nie znalazł, ale lepiej wykonaj pełny skan , by się upewnić.

#17

Panowie co dalej bo się trochę pogubiłem.Zrobiony był pełny skan :slight_smile:

#18

To powinno wszystko powinno być :spoko:

#19

Dziękuje serdecznie za pomoc.Pozdrawiam =D>