Witam, mam problem z usunięciem wirusa “odmiana Win32/RootKit.Vanti.NBJ trojan”. Wirusa wykrywa mi NOD32, ale nie potrafi go usunąć. NOD przy każdym wejsciu na dysk wywala mi komunikat “Plik: C:\DOCUME~1\Trok\USTAWI~1\Temp\vj.sys Uwagi: Zdarzenie miało miejsce podczas próby tworzenia nowego pliku przez program: D:\h1dwg20.exe. Plik został przeniesiony do kwarantanny.” Dodam, że zawsze zmienia się nazwa wykrytego pliku. Próbowałem to usunąć już na wiele sposobów różnymi programami, googlowałem i nic konkretnego na temat usuwania tego wirusa nie znalazłem. Prosze o szybką pomoc.
Pokaż log z ComboFix i HijackThis
HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 12:22, on 2008-03-29
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Anty-Spyware\aawservice.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\RTHDCPL.EXE
D:\WINAMP1\Winamp\winampa.exe
D:\Gadu-Gadu\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\Borland Delphi Enterprise 7\bin\ibguard.exe
c:\usr\MYSQL\bin\mysqld.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
D:\Borland Delphi Enterprise 7\bin\ibserver.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
D:\hit\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Diagnostic] C:\Windows\system32\diagnostic.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\WINAMP1\Winamp\winampa.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray
O17 - HKLM\System\CCS\Services\Tcpip\..\{64569763-4B74-472D-9170-C3692E37F3DE}: NameServer = 213.241.79.38,213.241.79.37
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anty-Spyware\aawservice.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - D:\Borland Delphi Enterprise 7\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - D:\Borland Delphi Enterprise 7\bin\ibserver.exe
O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Spyware Doctor\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Spyware Doctor\Spyware Doctor\pctsSvc.exe
FIX:
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\Windows\system32\diagnostic.exe
Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**
ComboFix
Dodam, że usunął się już ten Rootkit, za co wielkie dzieki addmir.
ComboFix 08-03-27.4 - Trok 2008-03-29 12:44:10.2 - NTFSx86
Wklej do notatnika:
File::
C:\h1dwg20.exe
C:\WINDOWS\system32\sys34.exe
C:\WINDOWS\svchost\svchost.exe
C:\WINDOWS\services.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Diagnostic"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\orcToByloLatwe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchost]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysCtrl]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**
Użyj SDFix i pokaż z niego log
Logi dajesz na http://www.wklej.org
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Pozdrawiam Gutek2222
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350