Mój problem dotyczy programu RUBotted,który wyświetla mi komunikat jak w temacie.Zaznaczam opcję “Clean with HouseCall” i tu zaczynają się schodki.Na wszystkich przeglądarkach mam Java-based HouseCall kernel ale nie jestem w stanie nic przeskanować a na Internet Explorer mam jeszcze “Browser plug-in” installing and using the HouseCall kernel i tutaj nic nie mogę zrobić bo wyskakuje błąd i pomaga tylko ctrl+alt+delete.

To może być infekcja “HTML_SHELLCOD.WT”.

Proszę o pomoc. Może jakiś alternatywny program?

Nie znam programu. Co dokładnie robi/wykrywa? Posiada coś w rodzaju podglądu logu? Jeśli tak - wklej go.

Wklej logi z wymienionych niżej narzędzi:

OTL, uruchom program i pod Custom Scans/Fixes wklej

Następnie przestaw Processes i Modules na All, kliknij Run Scan , wklej log który powstanie ( OTL.txt ) + log Extras.txt który powstanie jako drugi.

GMER, zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz.

System Repair Engineer, instrukcja w linku.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

W wielkim skrócie,program sprawdza czy komputer nie jest zombie.

Log jest tylko taki: "2009-11-23 19:02:47 Detected DNS query of malicious domain "

– Dodane 23.11.2009 (Pn) 22:26 –

Najpierw OTL. Te foldery autorun.inf są od Flash Disinfector,także uprzedzam.Znalazłam nawet folder od HouseCall

Extras.txt nie było.Miłego sprawdzania.

OTL:http://wklejto.pl/48161

– Dodane 23.11.2009 (Pn) 22:37 –

Źle wkleiłam link,tu jest OTL: http://wklejto.pl/48161 GMER: http://wklejto.pl/48164 SREng: http://wklejto.pl/48165

Osoba która nie potrafi odróżnić w tych logach pliku od folderu nie powinna się brać za ich sprawdzanie.

Pobierz SystemLook, wklej do niego

Zastosuj ComboFix

Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

Masz rację.Napisałam,bo miałam już taki przypadek.

Udało mi się usunąć infekcję tym programem RUBotted i podaję logi.

SystemLook: http://wklejto.pl/48211 ComboFix: http://wklejto.pl/48212

Niepokoi mnie jeden plik, przeskanuj na VirusTotal plik

Pokaż raport (jeśli pojawi się informacja, że plik już został przeskanowany, kliknij na Przeskanuj ponownie teraz )

Znasz plik c:\documents and settings\Karolina\Dane aplikacji\netstat.bat?

W SystemLook wklej

Kliknij Look i pokaż log.

Wklej do notatnika

Powtarzasz operację z CFScript i dajesz log.

VirusTotal: http://www.virustotal.com/pl/analisis/d … 1259063810

Nie znam tego pliku!

SystemLook:

SystemLook v1.0 by jpshortstuff (29.08.09)

Log created at 13:03 on 24/11/2009 by Karolina (Administrator - Elevation successful)

========== contents ==========

c:\documents and settings\Karolina\Dane aplikacji\netstat.bat - Opened succesfully.

“C:\WINDOWS\system32\netstat.exe” -a -o -n > “C:\Documents and Settings\Karolina\Dane aplikacji\netstat.txt”

-=End Of File=-

– Dodane 24.11.2009 (Wt) 13:14 –

ComboFix: http://wklejto.pl/48220

Zmyliły mnie te sumy kontrolne, ale u mnie jest tak samo więc raczej wszystko jest w porządku.

Kroki końcowe.

Start => Uruchom => wpisz Combofix /uninstall.

Zastosuj OTC

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner’em.

Polecam użyć po skanowaniu mbam.exe program ESET Online Scanner

Mbam.exe nie znajduje wszystkiego, po skanowaniu nim ESET może jeszcze coś znaleść.

Wielkie dzięki,Ciemnowidz! To nie było nic poważnego? Malwarebytes na razie skanuje i jeśli coś znajdzie,wkleję log.

Do rad się zastosuję

Kiedyś czytałem o modyfikacji netapi32.dll przy infekcji Kido, u Ciebie jednak nic na to nie wskazuje. Chyba, że RUBotted wszystko posprzątał.

Powinno być czysto.

Jednak wklej wynik skanu z MBAM, jeśli coś wykryje.

MBAM nic nie znalazł,natomiast ten skaner on-line Noda znalazł 1 Win32/Adware.Agent i miałam kolejny alert od RUBotted.Znów usunęłam infekcję,zobaczymy co dalej.Zastanawiam się czy to nie fałszywe alarmy.

Widocznie sam muszę pobrać ten RUBotted i sprawdzić czy czasem nie generuje fałszywek. W logach w każdym razie nic nie ma.

Póki co,jest ok. W kwestii logów to Ty jesteś ekspertem i ja wierzę na słowo:D. Postaram się też o jakąś dodatkową zaporę. A jeśli będzie Ci się kiedyś chciało przetestować ten program to możesz potem napisać w temacie albo na PW. Pozdrawiam!

Jeśli chodzi o zapory i bezpieczeństo jeśli jesteś laikiem to zainstaluj PC Tools Firewall Plus - dobry firewall, mało powiadomień połapiesz się.A jeśli jednak jeśteś zaawansowanym użytkownikiem polecam ściągnąć darmową wersję Online Armor - moim zdaniem najlepszy firewall, lecz możesz mieć problem z konfiguracją albo inną zaporę z HIPSem.

Na stronie Trend Micro możemy przeczytać:

Pandę masz zainstalowaną.

Prócz tego to program jest w wersji beta.

Krzysiekx,dzięki.A jeśli chodzi o Pandę,to mam tylko skaner on-line.Może zostały jakieś resztki po deinstalacji.

Poza tym odkryłam,że RUBotted alarmuje mnie za każdym razem jak włączam gadu:D

A z gadu nie mam problemów.

Bo GG to taki drobny spamer (zdaje się, że licencja adware). Wcale się nie dziwie decyzji RUBotted.

Laura91 , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku