RUBotted - komunikat "Bot found"


(Laura 91) #1

Mój problem dotyczy programu RUBotted,który wyświetla mi komunikat jak w temacie.Zaznaczam opcję "Clean with HouseCall" i tu zaczynają się schodki.Na wszystkich przeglądarkach mam Java-based HouseCall kernel ale nie jestem w stanie nic przeskanować a na Internet Explorer mam jeszcze "Browser plug-in" installing and using the HouseCall kernel i tutaj nic nie mogę zrobić bo wyskakuje błąd i pomaga tylko ctrl+alt+delete.

To może być infekcja "HTML_SHELLCOD.WT".

Proszę o pomoc. Może jakiś alternatywny program?


(Henio Mazurek) #2

Nie znam programu. Co dokładnie robi/wykrywa? Posiada coś w rodzaju podglądu logu? Jeśli tak - wklej go.

Wklej logi z wymienionych niżej narzędzi:

OTL, uruchom program i pod Custom Scans/Fixes wklej

Następnie przestaw Processes i Modules na All, kliknij Run Scan , wklej log który powstanie ( OTL.txt ) + log Extras.txt który powstanie jako drugi.

GMER, zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz.

System Repair Engineer, instrukcja w linku.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.


(Laura 91) #3

W wielkim skrócie,program sprawdza czy komputer nie jest zombie.

Log jest tylko taki: "2009-11-23 19:02:47 Detected DNS query of malicious domain "

-- Dodane 23.11.2009 (Pn) 22:26 --

Najpierw OTL. Te foldery autorun.inf są od Flash Disinfector,także uprzedzam.Znalazłam nawet folder od HouseCall :smiley:

Extras.txt nie było.Miłego sprawdzania.

OTL:http://wklejto.pl/48161

-- Dodane 23.11.2009 (Pn) 22:37 --

Źle wkleiłam link,tu jest OTL: http://wklejto.pl/48161 GMER: http://wklejto.pl/48164 SREng: http://wklejto.pl/48165


(Henio Mazurek) #4

Osoba która nie potrafi odróżnić w tych logach pliku od folderu nie powinna się brać za ich sprawdzanie.

Pobierz SystemLook, wklej do niego

Zastosuj ComboFix

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.


(Laura 91) #5

Masz rację.Napisałam,bo miałam już taki przypadek.

Udało mi się usunąć infekcję tym programem RUBotted i podaję logi.

SystemLook: http://wklejto.pl/48211 ComboFix: http://wklejto.pl/48212


(Henio Mazurek) #6

Niepokoi mnie jeden plik, przeskanuj na VirusTotal plik

Pokaż raport (jeśli pojawi się informacja, że plik już został przeskanowany, kliknij na Przeskanuj ponownie teraz )

Znasz plik c:\documents and settings\Karolina\Dane aplikacji\netstat.bat?

W SystemLook wklej

Kliknij Look i pokaż log.

Wklej do notatnika

Powtarzasz operację z CFScript i dajesz log.


(Laura 91) #7

VirusTotal: http://www.virustotal.com/pl/analisis/d ... 1259063810

Nie znam tego pliku!

SystemLook:

SystemLook v1.0 by jpshortstuff (29.08.09)

Log created at 13:03 on 24/11/2009 by Karolina (Administrator - Elevation successful)

========== contents ==========

c:\documents and settings\Karolina\Dane aplikacji\netstat.bat - Opened succesfully.

"C:\WINDOWS\system32\netstat.exe" -a -o -n > "C:\Documents and Settings\Karolina\Dane aplikacji\netstat.txt"

-=End Of File=-

-- Dodane 24.11.2009 (Wt) 13:14 --

ComboFix: http://wklejto.pl/48220


(Henio Mazurek) #8

Zmyliły mnie te sumy kontrolne, ale u mnie jest tak samo więc raczej wszystko jest w porządku.

Kroki końcowe.

Start => Uruchom => wpisz Combofix /uninstall.

Zastosuj OTC

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner'em.


(krzysiekx) #9

Polecam użyć po skanowaniu mbam.exe program ESET Online Scanner

Mbam.exe nie znajduje wszystkiego, po skanowaniu nim ESET może jeszcze coś znaleść.


(Laura 91) #10

Wielkie dzięki,Ciemnowidz! To nie było nic poważnego? Malwarebytes na razie skanuje i jeśli coś znajdzie,wkleję log.

Do rad się zastosuję :wink:


(Henio Mazurek) #11

Kiedyś czytałem o modyfikacji netapi32.dll przy infekcji Kido, u Ciebie jednak nic na to nie wskazuje. Chyba, że RUBotted wszystko posprzątał.

Powinno być czysto.

Jednak wklej wynik skanu z MBAM, jeśli coś wykryje.


(Laura 91) #12

MBAM nic nie znalazł,natomiast ten skaner on-line Noda znalazł 1 Win32/Adware.Agent i miałam kolejny alert od RUBotted.Znów usunęłam infekcję,zobaczymy co dalej.Zastanawiam się czy to nie fałszywe alarmy.


(Henio Mazurek) #13

Widocznie sam muszę pobrać ten RUBotted i sprawdzić czy czasem nie generuje fałszywek. W logach w każdym razie nic nie ma.


(Laura 91) #14

Póki co,jest ok. W kwestii logów to Ty jesteś ekspertem i ja wierzę na słowo:D. Postaram się też o jakąś dodatkową zaporę. A jeśli będzie Ci się kiedyś chciało przetestować ten program to możesz potem napisać w temacie albo na PW. Pozdrawiam!


(krzysiekx) #15

Jeśli chodzi o zapory i bezpieczeństo jeśli jesteś laikiem to zainstaluj PC Tools Firewall Plus - dobry firewall, mało powiadomień połapiesz się.A jeśli jednak jeśteś zaawansowanym użytkownikiem polecam ściągnąć darmową wersję Online Armor - moim zdaniem najlepszy firewall, lecz możesz mieć problem z konfiguracją albo inną zaporę z HIPSem.


(system) #16

Na stronie Trend Micro możemy przeczytać:

Pandę masz zainstalowaną.

Prócz tego to program jest w wersji beta.


(Laura 91) #17

Krzysiekx,dzięki.A jeśli chodzi o Pandę,to mam tylko skaner on-line.Może zostały jakieś resztki po deinstalacji.

Poza tym odkryłam,że RUBotted alarmuje mnie za każdym razem jak włączam gadu:D

A z gadu nie mam problemów.


(Henio Mazurek) #18

Bo GG to taki drobny spamer (zdaje się, że licencja adware). Wcale się nie dziwie decyzji RUBotted.


#19

Laura91 , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku ac7a4cd89050aa6e.gif