Rootkit, trojan Totour i inne - infekcja systemu


(Kasian135) #1

Witam. pojawiła mi się dziś informacja o trojanie "totour" i nie moge pomimo kilkukrotnego skanowania go usunąc. Bardzo prosze o sprawdzenia loga i jakieś wskazówki w pozbyciu się problemu. Dziękuje z góry.

Mój log:


(adam9870) #2

Co Wy piszecie? :evil:

kateczka18 zrób tak:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

c:\windows\system32\uvnx.exe

C:\WINDOWS\System32\rpcc.dll

Po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Usuń wpisy HJT.

Poczytaj:

http://www.searchengines.pl/phpbb203/in ... opic=87534

i spróbuj wykonać.

Po wykonaniu pokaż nowy log z HJT, ComboFix plus dwa logi z Gmer'a wykonane przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.


(Kasian135) #3

a wystarczy Ci log z HJT?? nie mam już nerwów na uczenie sie obsługi reszty... po 'świetnych' instruckjach przez godzine komputera nie mogłam właczyc...


(adam9870) #4

Nie, sam log z HJT nie wystarczy. Masz rootkita, a HJT prawie w ogóle nie pokazuje rootkitów, a nawet źle radzi sobie z nieco bardziej poważnymi trojanami (np. trojanem Vundo). Poczytaj materiały, do których zlinkowałem i pokaż komplet logów, o które prosiłem.


(JNJN) #5

Lost World

Proszę ucz się gdzie indziej,tutaj jak coś piszesz to rób to dokładnie, albo wcale,następnym razem dostaniesz nagrodę.JNJN


(Kasian135) #6

Adamie mam już problem przy Kilboxie. nie moge skonczyć operacji, bo wyskakuje: "PendingFileRenomeOperations Registry Data has been Removed by External process!"

teraz logi:

HJT:

Cambo:


(adam9870) #7

Przeskanuj plik C:\WINDOWS\msmgr32.dll na stronie http://virusscan.jotti.org/ lub http://www.virustotal.com/ a jeśli okaże się szkodliwy - ścieżkę do niego również wklej w killboxie.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\ua2.dll

C:\WINDOWS\System32\rpcc.dll

Po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart. Jeśli po wklejeniu którejś ze ścieżek pojawi się jakiś bład, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Poszukaj na dysku plików videosd32.exe, securitychk.exe, samx.exe, winmon.exe, rpcxConfig.exe, voltio.exe i usuń je jeśli będą. Powinny być one w katalogu C:\windows lub c:\windows\system32

Usuń wpis HJT jeśli będzie.

Po wykonaniu wklej nowy log z HJT, dwa logi z Gmer'a (patrz moje wcześniejsze posty) plus log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.


(Kasian135) #8

już się biore do roboty.. a Gmer skanuje:)


(Mirfi2) #9

Ja program Prevx1 używam , jest co prawda trochę męczący ale

on-line usuwa i zabezpiecz przed szkodnikami jednocześnie

weryfikuje wielkość plików systemowych.

Informacje tutaj

http://cybertrash.netarteria.pl/cyber/i ... 649.0.html


(Kasian135) #10

logi:

HJT:

Cambo:


w Gmerze nadal skanuje....

Złączono Posta : 07.04.2007 (Sob) 23:08

Gmer pierwszy:


(squeet) #11

Niepewne informacje - kosz.

Proszę nie robić bałaganu.

kateczka18 proszę o lekturę poniższych tematów:

:arrow: http://forum.dobreprogramy.pl/viewtopic.php?t=36654

:arrow: http://forum.dobreprogramy.pl/viewtopic.php?t=66889

Logi wstawiamy w tagach quote. Powyższe już sformatowałem, następne wklejaj już poprawnie.


(adam9870) #12

Nadaj sobie uprawnienia do kasowania kluczy typu LEGACY:

http://www.searchengines.pl/phpbb203/in ... topic=6745

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

W zakładce Procesy wybierz Gmer awaryjny >>> komputer się zrestartuje i zostanie samo okienko Gmer'a >>> w zakładce Procesy przez ... (trzy kropki) wskaż plik FIX.BAT >>> po chwilce mignie ekran i reset.

Sprawdź wielkość pliku ndis.sys według tego opisu:

http://www.searchengines.pl/phpbb203/in ... opic=87534

Po wykonaniu wklej dwa nowe logi z Gmer'a plus log z ComboFix, a nie jak dotychczas - ComboScan oraz wynik szukania na windev-3dbb-507a w narzędziu Registry Search Tool.