[rootkit Bagle] uniemożliwia uruchomienie Avastl, ComboFix

A79 · 30 Październik 2008 10:17

ściągnąłem grę, przed wypakowaniem przeskanowałem zawartość Avastlem, nic nie wykrył. po kliknięciu pliku instalacyjnego, zareagował Avastl, ale zdążyłem tylko zobaczyć fragment komunikatu "… klucze rejestru…"i tyle widziałem mój komp.

sytuacja wygląda tak, że Menedżer zadań Windows pokazuje mi 100% użycia procesora, ale to nawet nie jest problem. spróbowałem od razu odpalić skanowanie Avastl. nic z tego - wyskoczył komunikat “C:\Program Files\Alwil\Avast4\Avast.exe nie jest prawidłową aplikacją systemu Win32.”. spróbowałem od razu uruchomić więc CCleaner - nic z tego, po dwukliku pokazuje się na moment ikonka klepsydry przy strzałce kursora (jak to przy uruchamianiu programów), ale zaraz znika; program nie uruchamia się.

postanowiłem więc poprosić tutaj o pomoc, pierwszym krokiem było zrobienie loga. ale niestety, Combofix i Hijack udało mi się nawet zainstalować, tylko że przy próbie uruchomienia jest ten sam komunikat “C:\Program Files\Nazwa folderu\nazwa_programu.exe nie jest prawidłową aplikacją systemu Win32.”.

jedyny programik jaki udało mi się uruchomić to SmitfraudFix, ale podczas etapu drugiego (2. Clean (safe mode recommended)" przy Registry Cleaning - za pierwszym razem program się zawiesił, w ogóle nie reagował na wpisywaną literę “y”, która się nie wyświetlała; za drugim razem, nawet udało mi się wpisać “y” i enter, ale niestety nie uruchomiło się czyszczenie rejestru - przez ponad półgodziny wciąz tylko migał kursor pod linią “Do you want to clean the registry? (y/n) y”.

jak widać, internet chodzi, więc spróbowałem przez skaner Kasperskyego online, ale tu po uruchomienia okna skanera zawieszał się firefox.

zatem: ratunku!

Marcus007 · 30 Październik 2008 10:34

Nie znam się za bardzo na tym, ale miałem dość podobny problem.

Poniżej link do wątku

viewtopic.php?f=16&t=282314

dongregorio · 30 Październik 2008 11:18

Jeśli EXE’ki Ci się nie uruchamiają a chcesz Hijackthis to tu masz link do wersji Hijackthis.com

A79 · 30 Październik 2008 11:50

uruchomiłem FxBeagle, przeskanował cały komp, usunął dwa klucze rejestru, ale “W32.Beagle, Trojan.Tooso have not been found on your computer.” :?

prawie… uruchamia się, zaczyna robić loga… i wyłącza po chwili. psiakość!

boger · 30 Październik 2008 12:06

A79 ,

wlacz FxBeagle a pozniej sciagnij Combofixa, zapisz jako 123.exe (nie moze sie nazywac Combofix) i przeskauj kompa, po tym Kaspersky Removal Tool

mozesz tez hijacka sciagnac jak podal dongregorio , tylko wybierz “zapisz jako”: 321.com

daj zac czy pomoglo

A79 · 30 Październik 2008 12:13

jak wspomniałem, zrobiłem już czyszczenie FxBeagle. nie znalazł nic. ściągnąłem od nowa Combo i Hijacka, pozmieniałem nazwy, ale niestety, nadal jest to samo: “123.exe nie jest prawidłową … Win32”, a 321.com uruchamia się tak samo i wyłacza w trakcie robienia loga już przy jakiejś 1/4 paska postępu :?

boger · 30 Październik 2008 12:48

A79 , nie mozesz sciagnac i pozmieniac, bo wtedy za pozno, musisz wejsc na strone i dac zapisz jako z okna przegladarki…

A79 · 30 Październik 2008 12:59

tak zrobiłem z hijack.com - zrobiłem “zapisz element docelowy jako…” i zmieniłem nazwę.

w przypadku Combo - ściaga się instalator, jako installer.exe - gdzie tu zmienić nazwę?

Kaspersky Virus Removal - też klapa. najpierw komunikat “aplikacja nie została właściwie zainicjowana” (tzn. po zakończeniu pracy instalatora). kiedy kliknę .exe z folderu Kapsersky Lab Tool jest długi komunikat “Uruchomienie aplikacji nie powiodło się, ponieważ nie znaleziono prremote.dll. Ponowne zainstalowanie aplikacji może naprawić ten problem”. Nie może, odinstalowałem, zainstalowałem ponownie… i to samo “aplikacja nie została właściwie…” + “nie znaleziono .dll”.

co to za cholerstwo? blokuje wszystkie .exe związane z pracami naprawczymi. firefox chodzi, VirtualDub, Gimp też.

boger · 30 Październik 2008 13:12

http://www.searchengines.pl/Narzedzia-D … 86306.html

tu masz linki do 3 stron z combofixem

poczytaj:

http://www.searchengines.pl/Usuwanie-ro … 06680.html

jak to nie zadziala to napisz do mnie po 18 na gg to wysle spybota ze zmieniona nazwa, mala szansa ze usunie vira, ale jaks tam jest

jak nie to pobawie sie przez teamviewera

A79 · 30 Październik 2008 15:11

ha. jak na początek wszystko mi mówi, że to to:

- TAK: Padają programy ochronne typu antywirusy / firewalle / szczepionki / narzędzia logów (Gmer, HijackThis, ComboFix…). Większość aplikacji tej kategorii nie uruchamia się zwracając błąd “nie jest prawidłową aplikacją win32” / “not a valid win32 application”. Co więcej: nie da się ich przeinstalować lub zainstalować innych programów o tej funkcjonalności = ten sam błąd. - [?. po odpaleniu komputera, F8, wybieram wersję i uruchamia się]Nie działa tryb awaryjny, przy próbie wejścia jest natychmiastowy reset komputera lub krytyczny Blue Screen (Bagle kasuje cały klucz trybu awaryjnego SafeBoot) - NIE: Po starcie komputera może się zgłaszać sfałszowane okno dialogowe otwierania plików “Select a file to crack”. Niezależnie od tego jaki plik wskaże się w tym oknie = zawsze jest zwracana odpowiedź “Incorrect file version!”. - TAK: System i internet pracują bardzo wolno - TAK: W Menedżerze zadań ewentualnie można zaobserwować pracujące w tle procesy o losowych nazwach numerycznych np. 827156.exe. - TAK: Niewidoczny folder sterowników Windows C:\WINDOWS\system32\drivers

ale

teraz tak. próbując wszystko zrobić wg instrukcji ściągnąłem Combofix z podanej lokalizacji, oczywiście “zapisz element docelowy jako” 321.exe. uruchomiłem i… zawiesił się: na pasku zadań pojawił się pusty guzik z ikonką Combo, pojawiło się okienko Combo z paskiem postępu, na którym po 20 minutowym oczekiwaniu nic nie drgnęło. i ja też nie wiem co robić…

edit: OK, przeczytałem uważnie, że tak chyba może być - tzn. trwa to “latami”. odpalę jeszcze raz i poczekam, choćby godzinę.

edit 2: OK, wytrzymałem godzinę i nic. Combofix nie ruszył ani na milimetr. kurcze, no.

spandaupol · 30 Październik 2008 16:31

Spróbuj pobrać i uruchomić Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwareb … lware.html przeskanuj system i daj log na forum

Leon1 · 30 Październik 2008 17:02

Obawiam się że moży być problem z uaktualnienie programu Malware gdyby nic z tego nie wyszło

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

A79 · 30 Październik 2008 17:19

dziękuję. ściągnąłem program i przeskanowałem. oniemiałem wrażenia, wszystkie pliki opisane w linku powyżej są na miejscu, ale ich “nie widać”, dopiero jak z ręki wpiszę do eksplorera adres “C:\WINDOWS\system32\drivers\downld”, czy “C:\Documents and Settings\Arek\Dane aplikacji\m” widzę zawartość tych folderów.

log.

Malwarebytes' Anti-Malware 1.30

Wersja bazy definicji: 1306

Windows 5.1.2600 Dodatek Service Pack 2


2008-10-30 18:15:33

mbam-log-2008-10-30 (18-15-26).txt


Typ skanowania: Pełne skanowanie (C:\|D:\|)

Przeskanowane obiekty: 80103

Upłynęło: 27 minute(s), 27 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 1

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 2

Zainfekowane pliki: 152


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)


Zainfekowane wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.


Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)


Zainfekowane foldery:

C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m (Trojan.Agent) -> No action taken.


Zainfekowane pliki:

C:\WINDOWS\system32\drivers\downld\103578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\104734.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\106171.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\107015.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\107765.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\108250.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\108734.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\111578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\112640.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\116343.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\118875.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\121609.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\121812.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\122500.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\125906.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\127203.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\128437.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\131906.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\131921.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\133296.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\135562.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\137015.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\140359.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\140390.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\141156.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\145406.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\146234.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\150000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\153968.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\154656.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\155015.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\156281.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\160187.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\163218.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\163890.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\164890.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\166609.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\167828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\173562.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\175531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\176843.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\178703.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\180312.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\182593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\182765.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\187156.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\188687.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\190921.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\191859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\192531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\192765.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\193875.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\194234.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\195312.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\196468.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\199484.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\200000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\200875.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\201203.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\203828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\206000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\208000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\209625.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\213484.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\219375.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\223078.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\224421.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\228046.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\229093.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\231671.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\235984.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\236031.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\239421.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\245781.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\246531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\248718.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\248921.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\251531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\255250.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\256593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\259031.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\260593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\260656.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\264828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\266656.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\266859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\271468.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\274859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\277187.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\278140.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\279343.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\283187.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\283609.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\287093.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\292609.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\294578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\295937.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\300578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\304984.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3078812.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3110687.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\311359.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3114812.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3147531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3156046.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3161546.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3166578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3171578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3226859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\324484.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\325359.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\328093.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3291828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3313140.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\337859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\356968.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\373734.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\381468.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\390000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\456328.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\472937.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52809750.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52813562.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52829281.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52833593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52852250.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52875984.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52881140.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52886062.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52937515.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52988093.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52996687.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\76531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\76593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\79140.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\84828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\86718.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\86828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\86906.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\88375.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\89843.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\95875.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\96671.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\96859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\99296.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m\data.oct (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m\list.oct (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m\srvlist.oct (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.

C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m\flec006.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.

Leon1 · 30 Październik 2008 17:24

to co znalazł zaznacz >> usuń zaznaczone >>OK

potem nowy skan Malware

A79 · 30 Październik 2008 17:50

tak zrobiłem oczywiście po wznowieniu od razu wznowiłem skan Malware, tym razem już tylko cztery, ale nadal są.

no to jeszcze raz wyłączam i ponawiam Malware

Przeskanowane obiekty: 80207

Upłynęło: 22 minute(s), 24 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 3

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 1


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa (Rootkit.Bagle) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa (Rootkit.Bagle) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.


Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)


Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)


Zainfekowane foldery:

(Nie wykryto groźnych plików)


Zainfekowane pliki:

C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.

Leon1 · 30 Październik 2008 17:54

widać że zostało usunięte

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport stronę uruchomić przez IE

A79 · 30 Październik 2008 19:04

hmm… niebardzo…

po tym jak miałem dwa zainfekowane pliki, wznowiłem oczywiście, sprawdziłem przez “Menadżera”, że obciążenie procesora spadło do 10%, chciałem uruchomić CCleanera… i pudło. mignął tylko i od razu się wyłączył. natychmiast robal się odtworzył. uruchomiłem Malware, znalazł znów 150parę zainfekowanych, wywaliłem, wznowiłem, znów Malware, znów tylko 1 plik, znów wznawiam żeby dokończyć… i znów CCleaner tylko miga i się wyłącza…

sam ten “C:\WINDOWS\system32\drivers\srosa.sys” jest nieusuwalny. nawet znając dokładną lokalizację nie można go wywalić? po wejściu w C:\WINDOWS\system32\drivers\ nie widzę tego pliku “naocznie”.

edit: zrobiłem optymalizację wg wskazówek z tamtego forum, wyłączyłem i włączyłem przywracanie systemu, ale Kaspersky jak pisałem wpierwszym poście wykonuje mi piękną zwiechę (tak, na IE też) :?

Leon1 · 30 Październik 2008 19:13

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

zastosuj Kaspersky Virus Removal Tool http://www.searchengines.pl/index.php?s … ntry354381 i wywal co znajdzie potem log Combofixa

A79 · 30 Październik 2008 19:28

aha, “… avenger.exe nie jest prawidłową aplikacją systemu Win32.”

edit. spróbuję jeszcze raz Malware. jak znajdzie znowu 150 wznowię, znajdzie 2, potem wznowię i może się uda uruchomic wtedy Avenger jako 123.exe

Leon1 · 30 Październik 2008 19:43

zastosuj to co jest w tym opisie Usuwanie rootkita Bagle http://www.searchengines.pl/Usuwanie-rootkita-Bagle-wariant-srosasys-t106680.html