Laura91
(Laura 91)
23 Listopad 2009 19:31
#1
Mój problem dotyczy programu RUBotted,który wyświetla mi komunikat jak w temacie.Zaznaczam opcję “Clean with HouseCall” i tu zaczynają się schodki.Na wszystkich przeglądarkach mam Java-based HouseCall kernel ale nie jestem w stanie nic przeskanować a na Internet Explorer mam jeszcze “Browser plug-in” installing and using the HouseCall kernel i tutaj nic nie mogę zrobić bo wyskakuje błąd i pomaga tylko ctrl+alt+delete.
To może być infekcja “HTML_SHELLCOD.WT”.
Proszę o pomoc. Może jakiś alternatywny program?
ciemnowidz
(Henio Mazurek)
23 Listopad 2009 20:32
#2
Nie znam programu. Co dokładnie robi/wykrywa? Posiada coś w rodzaju podglądu logu? Jeśli tak - wklej go.
Wklej logi z wymienionych niżej narzędzi:
OTL , uruchom program i pod Custom Scans/Fixes wklej
Następnie przestaw Processes i Modules na All, kliknij Run Scan , wklej log który powstanie ( OTL.txt ) + log Extras.txt który powstanie jako drugi.
GMER , zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz .
System Repair Engineer , instrukcja w linku.
Logi wklej na wklejto.pl a tutaj tylko link do wklejki.
Laura91
(Laura 91)
23 Listopad 2009 21:08
#3
W wielkim skrócie,program sprawdza czy komputer nie jest zombie.
Log jest tylko taki: "2009-11-23 19:02:47 Detected DNS query of malicious domain "
– Dodane 23.11.2009 (Pn) 22:26 –
Najpierw OTL. Te foldery autorun.inf są od Flash Disinfector,także uprzedzam.Znalazłam nawet folder od HouseCall
Extras.txt nie było.Miłego sprawdzania.
OTL:http://wklejto.pl/48161
– Dodane 23.11.2009 (Pn) 22:37 –
Źle wkleiłam link,tu jest OTL: http://wklejto.pl/48161 GMER: http://wklejto.pl/48164 SREng: http://wklejto.pl/48165
ciemnowidz
(Henio Mazurek)
24 Listopad 2009 06:50
#4
Osoba która nie potrafi odróżnić w tych logach pliku od folderu nie powinna się brać za ich sprawdzanie.
Pobierz SystemLook , wklej do niego
Zastosuj ComboFix
Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.
Logi wklej na wklejto.pl a tutaj tylko link do wklejki.
Laura91
(Laura 91)
24 Listopad 2009 11:24
#5
Masz rację.Napisałam,bo miałam już taki przypadek.
Udało mi się usunąć infekcję tym programem RUBotted i podaję logi.
SystemLook: http://wklejto.pl/48211 ComboFix: http://wklejto.pl/48212
ciemnowidz
(Henio Mazurek)
24 Listopad 2009 11:51
#6
Niepokoi mnie jeden plik, przeskanuj na VirusTotal plik
Pokaż raport (jeśli pojawi się informacja, że plik już został przeskanowany, kliknij na Przeskanuj ponownie teraz )
Znasz plik c:\documents and settings\Karolina\Dane aplikacji\netstat.bat ?
W SystemLook wklej
Kliknij Look i pokaż log.
Wklej do notatnika
Powtarzasz operację z CFScript i dajesz log.
Laura91
(Laura 91)
24 Listopad 2009 12:04
#7
VirusTotal: http://www.virustotal.com/pl/analisis/d … 1259063810
Nie znam tego pliku!
SystemLook:
SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 13:03 on 24/11/2009 by Karolina (Administrator - Elevation successful)
========== contents ==========
c:\documents and settings\Karolina\Dane aplikacji\netstat.bat - Opened succesfully.
“C:\WINDOWS\system32\netstat.exe” -a -o -n > “C:\Documents and Settings\Karolina\Dane aplikacji\netstat.txt”
-=End Of File=-
– Dodane 24.11.2009 (Wt) 13:14 –
ComboFix: http://wklejto.pl/48220
ciemnowidz
(Henio Mazurek)
24 Listopad 2009 14:22
#8
Zmyliły mnie te sumy kontrolne, ale u mnie jest tak samo więc raczej wszystko jest w porządku.
Kroki końcowe.
Start => Uruchom => wpisz Combofix /uninstall .
Zastosuj OTC
Wyłącz na chwilę przywracanie systemu - XP /Vista
Wykonaj pełny skan Malwarebytes Anti-Malware , jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em .
krzysiekx
(krzysiekx)
24 Listopad 2009 14:26
#9
Polecam użyć po skanowaniu mbam.exe program ESET Online Scanner
Mbam.exe nie znajduje wszystkiego, po skanowaniu nim ESET może jeszcze coś znaleść.
Laura91
(Laura 91)
24 Listopad 2009 15:33
#10
Wielkie dzięki,Ciemnowidz! To nie było nic poważnego? Malwarebytes na razie skanuje i jeśli coś znajdzie,wkleję log.
Do rad się zastosuję
ciemnowidz
(Henio Mazurek)
24 Listopad 2009 15:42
#11
Kiedyś czytałem o modyfikacji netapi32.dll przy infekcji Kido, u Ciebie jednak nic na to nie wskazuje. Chyba, że RUBotted wszystko posprzątał.
Powinno być czysto.
Jednak wklej wynik skanu z MBAM, jeśli coś wykryje.
Laura91
(Laura 91)
24 Listopad 2009 16:32
#12
MBAM nic nie znalazł,natomiast ten skaner on-line Noda znalazł 1 Win32/Adware.Agent i miałam kolejny alert od RUBotted.Znów usunęłam infekcję,zobaczymy co dalej.Zastanawiam się czy to nie fałszywe alarmy.
ciemnowidz
(Henio Mazurek)
24 Listopad 2009 19:17
#13
Widocznie sam muszę pobrać ten RUBotted i sprawdzić czy czasem nie generuje fałszywek. W logach w każdym razie nic nie ma.
Laura91
(Laura 91)
24 Listopad 2009 23:23
#14
Póki co,jest ok. W kwestii logów to Ty jesteś ekspertem i ja wierzę na słowo:D. Postaram się też o jakąś dodatkową zaporę. A jeśli będzie Ci się kiedyś chciało przetestować ten program to możesz potem napisać w temacie albo na PW. Pozdrawiam!
krzysiekx
(krzysiekx)
25 Listopad 2009 06:22
#15
Jeśli chodzi o zapory i bezpieczeństo jeśli jesteś laikiem to zainstaluj PC Tools Firewall Plus - dobry firewall, mało powiadomień połapiesz się.A jeśli jednak jeśteś zaawansowanym użytkownikiem polecam ściągnąć darmową wersję Online Armor - moim zdaniem najlepszy firewall, lecz możesz mieć problem z konfiguracją albo inną zaporę z HIPSem.
system
(system)
25 Listopad 2009 07:53
#16
Na stronie Trend Micro możemy przeczytać:
Pandę masz zainstalowaną.
Prócz tego to program jest w wersji beta.
Laura91
(Laura 91)
25 Listopad 2009 19:44
#17
Krzysiekx,dzięki.A jeśli chodzi o Pandę,to mam tylko skaner on-line.Może zostały jakieś resztki po deinstalacji.
Poza tym odkryłam,że RUBotted alarmuje mnie za każdym razem jak włączam gadu:D
A z gadu nie mam problemów.
ciemnowidz
(Henio Mazurek)
25 Listopad 2009 20:05
#18
Bo GG to taki drobny spamer (zdaje się, że licencja adware). Wcale się nie dziwie decyzji RUBotted.
Laura91 , proszę zapoznaj się z tą stroną oraz tym tematem , a następnie popraw tytuł tematu, używając przycisku