[RootKit] Pomoc w usuwaniu


(Trok92) #1

Witam, mam problem z usunięciem wirusa "odmiana Win32/RootKit.Vanti.NBJ trojan". Wirusa wykrywa mi NOD32, ale nie potrafi go usunąć. NOD przy każdym wejsciu na dysk wywala mi komunikat "Plik: C:\DOCUME~1\Trok\USTAWI~1\Temp\vj.sys Uwagi: Zdarzenie miało miejsce podczas próby tworzenia nowego pliku przez program: D:\h1dwg20.exe. Plik został przeniesiony do kwarantanny." Dodam, że zawsze zmienia się nazwa wykrytego pliku. Próbowałem to usunąć już na wiele sposobów różnymi programami, googlowałem i nic konkretnego na temat usuwania tego wirusa nie znalazłem. Prosze o szybką pomoc.


(Dmirecki) #2

Pokaż log z ComboFix i HijackThis


(Trok92) #3

HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 12:22, on 2008-03-29

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

D:\Anty-Spyware\aawservice.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\RTHDCPL.EXE

D:\WINAMP1\Winamp\winampa.exe

D:\Gadu-Gadu\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

D:\Borland Delphi Enterprise 7\bin\ibguard.exe

c:\usr\MYSQL\bin\mysqld.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

D:\Borland Delphi Enterprise 7\bin\ibserver.exe

C:\Program Files\Opera\Opera.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

D:\hit\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Diagnostic] C:\Windows\system32\diagnostic.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [WinampAgent] D:\WINAMP1\Winamp\winampa.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O17 - HKLM\System\CCS\Services\Tcpip\..\{64569763-4B74-472D-9170-C3692E37F3DE}: NameServer = 213.241.79.38,213.241.79.37

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anty-Spyware\aawservice.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - D:\Borland Delphi Enterprise 7\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - D:\Borland Delphi Enterprise 7\bin\ibserver.exe

O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Spyware Doctor\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Spyware Doctor\Spyware Doctor\pctsSvc.exe

(Dmirecki) #4

FIX:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Windows\system32\diagnostic.exe

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

88953CFScript-createdbyMiekiemoes.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: **** Qoobox


(Trok92) #5

ComboFix

Dodam, że usunął się już ten Rootkit, za co wielkie dzieki addmir.

ComboFix 08-03-27.4 - Trok 2008-03-29 12:44:10.2 - NTFSx86

(Dmirecki) #6

Wklej do notatnika:

File::

C:\h1dwg20.exe

C:\WINDOWS\system32\sys34.exe

C:\WINDOWS\svchost\svchost.exe

C:\WINDOWS\services.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Diagnostic"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\orcToByloLatwe]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchost]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysCtrl]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

88953CFScript-createdbyMiekiemoes.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: **** Qoobox

Użyj SDFix i pokaż z niego log

Logi dajesz na http://www.wklej.org

:slight_smile:


(Gutek) #7

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350