[rootkit Bagle] uniemożliwia uruchomienie Avastl, ComboFix


(A Bilecki) #1

ściągnąłem grę, przed wypakowaniem przeskanowałem zawartość Avastlem, nic nie wykrył. po kliknięciu pliku instalacyjnego, zareagował Avastl, ale zdążyłem tylko zobaczyć fragment komunikatu "... klucze rejestru..."i tyle widziałem mój komp.

sytuacja wygląda tak, że Menedżer zadań Windows pokazuje mi 100% użycia procesora, ale to nawet nie jest problem. spróbowałem od razu odpalić skanowanie Avastl. nic z tego - wyskoczył komunikat "C:\Program Files\Alwil\Avast4\Avast.exe nie jest prawidłową aplikacją systemu Win32.". spróbowałem od razu uruchomić więc CCleaner - nic z tego, po dwukliku pokazuje się na moment ikonka klepsydry przy strzałce kursora (jak to przy uruchamianiu programów), ale zaraz znika; program nie uruchamia się.

postanowiłem więc poprosić tutaj o pomoc, pierwszym krokiem było zrobienie loga. ale niestety, Combofix i Hijack udało mi się nawet zainstalować, tylko że przy próbie uruchomienia jest ten sam komunikat "C:\Program Files\Nazwa folderu\nazwa_programu.exe nie jest prawidłową aplikacją systemu Win32.".

jedyny programik jaki udało mi się uruchomić to SmitfraudFix, ale podczas etapu drugiego (2. Clean (safe mode recommended)" przy Registry Cleaning - za pierwszym razem program się zawiesił, w ogóle nie reagował na wpisywaną literę "y", która się nie wyświetlała; za drugim razem, nawet udało mi się wpisać "y" i enter, ale niestety nie uruchomiło się czyszczenie rejestru - przez ponad półgodziny wciąz tylko migał kursor pod linią "Do you want to clean the registry? (y/n) y".

jak widać, internet chodzi, więc spróbowałem przez skaner Kasperskyego online, ale tu po uruchomienia okna skanera zawieszał się firefox.

zatem: ratunku!


(Jan Marcinkowsky) #2

Nie znam się za bardzo na tym, ale miałem dość podobny problem.

Poniżej link do wątku :arrow:

viewtopic.php?f=16&t=282314


(Dongregorio) #3

Jeśli EXE'ki Ci się nie uruchamiają a chcesz Hijackthis to tu masz link do wersji Hijackthis.com


(A Bilecki) #4

uruchomiłem FxBeagle, przeskanował cały komp, usunął dwa klucze rejestru, ale "W32.Beagle, Trojan.Tooso have not been found on your computer." :?

prawie... uruchamia się, zaczyna robić loga... i wyłącza po chwili. psiakość!


(boger) #5

A79 ,

wlacz FxBeagle a pozniej sciagnij Combofixa, zapisz jako 123.exe (nie moze sie nazywac Combofix) i przeskauj kompa, po tym Kaspersky Removal Tool

mozesz tez hijacka sciagnac jak podal dongregorio , tylko wybierz "zapisz jako": 321.com

daj zac czy pomoglo


(A Bilecki) #6

jak wspomniałem, zrobiłem już czyszczenie FxBeagle. nie znalazł nic. ściągnąłem od nowa Combo i Hijacka, pozmieniałem nazwy, ale niestety, nadal jest to samo: "123.exe nie jest prawidłową ... Win32", a 321.com uruchamia się tak samo i wyłacza w trakcie robienia loga już przy jakiejś 1/4 paska postępu :?


(boger) #7

A79 , nie mozesz sciagnac i pozmieniac, bo wtedy za pozno, musisz wejsc na strone i dac zapisz jako z okna przegladarki...


(A Bilecki) #8

tak zrobiłem z hijack.com - zrobiłem "zapisz element docelowy jako..." i zmieniłem nazwę.

w przypadku Combo - ściaga się instalator, jako installer.exe - gdzie tu zmienić nazwę?

Kaspersky Virus Removal - też klapa. najpierw komunikat "aplikacja nie została właściwie zainicjowana" (tzn. po zakończeniu pracy instalatora). kiedy kliknę .exe z folderu Kapsersky Lab Tool jest długi komunikat "Uruchomienie aplikacji nie powiodło się, ponieważ nie znaleziono prremote.dll. Ponowne zainstalowanie aplikacji może naprawić ten problem". Nie może, odinstalowałem, zainstalowałem ponownie... i to samo "aplikacja nie została właściwie..." + "nie znaleziono .dll".

co to za cholerstwo? blokuje wszystkie .exe związane z pracami naprawczymi. firefox chodzi, VirtualDub, Gimp też.


(boger) #9

http://www.searchengines.pl/Narzedzia-D ... 86306.html

tu masz linki do 3 stron z combofixem

poczytaj:

http://www.searchengines.pl/Usuwanie-ro ... 06680.html

jak to nie zadziala to napisz do mnie po 18 na gg to wysle spybota ze zmieniona nazwa, mala szansa ze usunie vira, ale jaks tam jest

jak nie to pobawie sie przez teamviewera


(A Bilecki) #10

ha. jak na początek wszystko mi mówi, że to to:

ale

teraz tak. próbując wszystko zrobić wg instrukcji ściągnąłem Combofix z podanej lokalizacji, oczywiście "zapisz element docelowy jako" 321.exe. uruchomiłem i... zawiesił się: na pasku zadań pojawił się pusty guzik z ikonką Combo, pojawiło się okienko Combo z paskiem postępu, na którym po 20 minutowym oczekiwaniu nic nie drgnęło. i ja też nie wiem co robić...

edit: OK, przeczytałem uważnie, że tak chyba może być - tzn. trwa to "latami". odpalę jeszcze raz i poczekam, choćby godzinę.

edit 2: OK, wytrzymałem godzinę i nic. Combofix nie ruszył ani na milimetr. kurcze, no.


(Spandau) #11

Spróbuj pobrać i uruchomić Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwareb ... lware.html przeskanuj system i daj log na forum


(Leon$) #12

Obawiam się że moży być problem z uaktualnienie programu Malware gdyby nic z tego nie wyszło

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

:slight_smile:


(A Bilecki) #13

dziękuję. ściągnąłem program i przeskanowałem. oniemiałem wrażenia, wszystkie pliki opisane w linku powyżej są na miejscu, ale ich "nie widać", dopiero jak z ręki wpiszę do eksplorera adres "C:\WINDOWS\system32\drivers\downld", czy "C:\Documents and Settings\Arek\Dane aplikacji\m" widzę zawartość tych folderów.

log.

Malwarebytes' Anti-Malware 1.30

Wersja bazy definicji: 1306

Windows 5.1.2600 Dodatek Service Pack 2


2008-10-30 18:15:33

mbam-log-2008-10-30 (18-15-26).txt


Typ skanowania: Pełne skanowanie (C:\|D:\|)

Przeskanowane obiekty: 80103

Upłynęło: 27 minute(s), 27 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 1

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 2

Zainfekowane pliki: 152


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)


Zainfekowane wartości rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.


Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)


Zainfekowane foldery:

C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m (Trojan.Agent) -> No action taken.


Zainfekowane pliki:

C:\WINDOWS\system32\drivers\downld\103578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\104734.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\106171.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\107015.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\107765.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\108250.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\108734.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\111578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\112640.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\116343.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\118875.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\121609.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\121812.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\122500.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\125906.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\127203.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\128437.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\131906.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\131921.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\133296.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\135562.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\137015.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\140359.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\140390.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\141156.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\145406.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\146234.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\150000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\153968.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\154656.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\155015.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\156281.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\160187.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\163218.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\163890.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\164890.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\166609.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\167828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\173562.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\175531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\176843.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\178703.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\180312.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\182593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\182765.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\187156.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\188687.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\190921.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\191859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\192531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\192765.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\193875.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\194234.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\195312.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\196468.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\199484.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\200000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\200875.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\201203.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\203828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\206000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\208000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\209625.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\213484.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\219375.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\223078.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\224421.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\228046.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\229093.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\231671.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\235984.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\236031.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\239421.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\245781.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\246531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\248718.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\248921.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\251531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\255250.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\256593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\259031.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\260593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\260656.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\264828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\266656.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\266859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\271468.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\274859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\277187.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\278140.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\279343.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\283187.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\283609.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\287093.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\292609.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\294578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\295937.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\300578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\304984.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3078812.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3110687.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\311359.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3114812.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3147531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3156046.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3161546.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3166578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3171578.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3226859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\324484.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\325359.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\328093.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3291828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\3313140.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\337859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\356968.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\373734.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\381468.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\390000.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\456328.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\472937.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52809750.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52813562.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52829281.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52833593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52852250.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52875984.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52881140.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52886062.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52937515.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52988093.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\52996687.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\76531.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\76593.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\79140.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\84828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\86718.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\86828.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\86906.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\88375.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\89843.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\95875.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\96671.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\96859.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\downld\99296.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m\data.oct (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m\list.oct (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m\srvlist.oct (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.

C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.

C:\Documents and Settings\Arek\Dane aplikacji\m\flec006.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.

(Leon$) #14

to co znalazł zaznacz >> usuń zaznaczone >>OK

potem nowy skan Malware

:slight_smile:


(A Bilecki) #15

tak zrobiłem oczywiście :slight_smile: po wznowieniu od razu wznowiłem skan Malware, tym razem już tylko cztery, ale nadal są.

no to jeszcze raz wyłączam i ponawiam Malware

Przeskanowane obiekty: 80207

Upłynęło: 22 minute(s), 24 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 3

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 1


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa (Rootkit.Bagle) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa (Rootkit.Bagle) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.


Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)


Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)


Zainfekowane foldery:

(Nie wykryto groźnych plików)


Zainfekowane pliki:

C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.

(Leon$) #16

widać że zostało usunięte

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport stronę uruchomić przez IE

:slight_smile:


(A Bilecki) #17

hmm... niebardzo....

po tym jak miałem dwa zainfekowane pliki, wznowiłem oczywiście, sprawdziłem przez "Menadżera", że obciążenie procesora spadło do 10%, chciałem uruchomić CCleanera... i pudło. mignął tylko i od razu się wyłączył. natychmiast robal się odtworzył. uruchomiłem Malware, znalazł znów 150parę zainfekowanych, wywaliłem, wznowiłem, znów Malware, znów tylko 1 plik, znów wznawiam żeby dokończyć... i znów CCleaner tylko miga i się wyłącza...

sam ten "C:\WINDOWS\system32\drivers\srosa.sys" jest nieusuwalny. nawet znając dokładną lokalizację nie można go wywalić? po wejściu w C:\WINDOWS\system32\drivers\ nie widzę tego pliku "naocznie".

edit: zrobiłem optymalizację wg wskazówek z tamtego forum, wyłączyłem i włączyłem przywracanie systemu, ale Kaspersky jak pisałem wpierwszym poście wykonuje mi piękną zwiechę (tak, na IE też) :?


(Leon$) #18

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

zastosuj Kaspersky Virus Removal Tool http://www.searchengines.pl/index.php?s ... ntry354381 i wywal co znajdzie potem log Combofixa

:slight_smile:


(A Bilecki) #19

aha, "... avenger.exe nie jest prawidłową aplikacją systemu Win32." :confused:

edit. spróbuję jeszcze raz Malware. jak znajdzie znowu 150 wznowię, znajdzie 2, potem wznowię i może się uda uruchomic wtedy Avenger jako 123.exe


(Leon$) #20

zastosuj to co jest w tym opisie Usuwanie rootkita Bagle http://www.searchengines.pl/Usuwanie-rootkita-Bagle-wariant-srosasys-t106680.html

:slight_smile: