Rootkit Bagle


(Alien279) #1

Czytałem na forum jak usunąć tego Roottkit'a i problem w tym że nie uruchomiają sie mi aplikacje antywirusowe (to wiadome), ale też gmer, HijackThis i ComboFix (przy nim dziwnie mruga ta ikona programu jak by sie odświeżała) co na to poradzić? nie mogę dać logów :frowning: bo pokazuje sie komunikat że np gmer nie jest prawidłową aplikacją systemu Win32..

edit: nawet już zainstalować nie mogę od nowa HijackThis

Jedynie SmitFraudFix v2.123 http://wklej.org/id/c8b4262eb2


(system) #2
  1. Wyłącz Przywracanie systemu

  2. Wejdź w tryb awaryjny z obsługą sieci (jeżeli tryb awaryjny nie działa to użyj narzędzia SafeBootKeyRepair.exe)

  3. Pobierz ComboFix (ale zapisz go pod zmienioną nazwą np. asdfg - prawy klik -> zapisz jako...). Uruchom.

  4. Po resecie komputera zamontuj Kaspersky Removal Tool i wykonaj nim dokładne skanowanie.


(Alien279) #3

Tryb awaryjny nie działa nawet po użyciu narzędzia SafeBootKeyRepair.exe wyskakuje błąd 0x007B Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest nieprawidłowa.


(system) #4

Spróbuj użyć kilkakrotnie narzędzia SafeBootKeyRepair, nie zawsze pierwsza próba kończy się sukcesem.


(Alien279) #5

Nie pomaga.. :frowning:


(arapo) #6

Nie jestem specem od wirusów, ale mogę ci podpowiedzieć jak uporać się z twoim problemem. Na początek poczytaj TO http://www.searchengines.pl/Narzedzia-D ... ntry395642

później TO http://www.searchengines.pl/Narzedzia-D ... ntry395642

I jeszcze TO http://www.searchengines.pl/Kolekcja-na ... ntry369153

Gdy uzyskasz już dostęp do Trybu Awar. zrób logi z ComboFix i zapodaj na forum.

Problemem w uruchamianiu się aplikacji jest jest zaraz po otwarciu zamykanie się. W tedy należy przypuszczać że

  • System jest zainfekowany Rootkitem Haxdoor

  • Zmieniona została nazwa pliku combofix.exe

  • Występuje blokada skryptów VBS (np: przez Nortona) W tedy należy wpisać w Start=>Uruchom to

Kod:

regsvr32 vbscript.dll

W dniu 13.05.2008 , o godzinie 0:10 został dopisany post przez arapo

daj znać jak uda się coś uruchomić.


(Alien279) #7

Także:

-DSS włącza sie na parę sekund

-Combofix ma nadal ten błąd o którym psiałem wcześniej z Win32

-nie włącza się RogueRemover

-zauważyłem że plik winthems.exe (chyba od rootkita) podaje się za inne procesy (widzę to w programie Odkurzacz - Force Delte)

-nie mam Nortona

W dniu 13.05.2008 , o godzinie 1:22 został dopisany post przez alien279

Oto pierwszy log:

http://wklej.org/id/bc4ef772cf :lol:

Już procesor nie pracuje na 100%, gnębiłem wirusowe pliki Odkurzaczem - Force Delte aż trafiłem na moment kiedy usunęło nie usuwalne :stuck_out_tongue:

Jak mi sie uda dam jeszcze inne logi i sprawdzicie czy jest ok


(huber2t) #8

fix w hijackthis

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\wintems.exe

C:\Documents and Settings\Karol\Dane aplikacji\m\flec006.exe

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\mdelk.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Jeśli bedą błędy w Avengerze to usuń te pliki Odkurzaczem - Force Delte

Spróbuj po tym dać loga z combofix ale podczas pobierania zapisz nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Jeśli się to nie uda daj loga z deckard


(Alien279) #9

Log z Avengera gdzieś mi znikną po restarcie ale jak patrzyłem nic nie wykazał, bo wcześniej w nocy usunąłem Kasperskim trochę wirusowych plików., za to mam z Combofixa: http://wklej.org/id/2716638aac.


(huber2t) #10

W logu nic nie widać

Usuń instalkę Combofix, dss z dysku

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu.


(Leon$) #11

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

to oprócz tego co hubert zalecił

:slight_smile:


(Alien279) #12

http://wklej.org/id/533b6def7f Log z Kaspersky'ego


(huber2t) #13

Komputer nie ma wirusów

:slight_smile:


(Leon$) #14

przeskanuj obszar Mój komputer Kasperskim

:slight_smile: