SdBot Trojan


(Saq20) #1

Od jakiegoś czasu Nod32 informuje mnie, że wykrywa jakiś plik w C:\WINDOWS\system32 i przenosi go do kwarantanny.

piki nazywają się różnie "trzy literki.exe". Odmiana wirusa: IRC/SdBot trojan. Po takim komunikacie komp nie wykrywa karty dźwiękowej dopóki nie przeinstaluje sterowników soundblastera lub nie zrestartuje go (nie zawsze działa). Ponad to zalicza dziwne zwieszki, np. teraz nie mogę przechodzić pomiędzy oknami wciskając okienka na pasku na dole. Skanowałem Nodem, XoftSpySE, Spy bot & destroy, on line Kasperski i MksVir... nici. Pomocy jest coraz gorzej.


(Gutek) #2

Daj logi HJT + Silenta


(Saq20) #3

hjt:

sillent:


(Gutek) #4

usuń wpisy HJT

Skan AVG Anti-Spyware 7.5 po update :wink:


(Saq20) #5

dzieki, ale jak mam je usunąć?? po prostu wykasować ten plik??


(Gutek) #6

Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked - opis w temacie przyklejonym - http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Saq20) #7

what next?? przeskanowałem (raport poniżej) i dałem "delate on reboot" - same trackingi. po restarcie skanuje jeszcze raz... połowa coockies sie powtarza. no i znowu nod32 wyświetlił mi wiadomość o tym SdBot Trojan - po tym komunikacie nie działa nic na pasku na dole. poza tym jak zmieniam alt-tab'em okna to pomiędzy innymi pojawiła się jakaś dziwna ikonka - monitor - takiej jeszcze nie widziałem

dzięki, ale chyba niewiele to pomogło

pozdrawiam


(Gutek) #8

Daj log z Combofix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe


(Saq20) #9

Złączono Posta : 11.05.2007 (Pią) 15:31

Złączono Posta : 11.05.2007 (Pią) 15:33

sorki za dwa razy to samo :oops:


(Gutek) #10

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Po wszytskim nowy log


(Saq20) #11

lipa... nod32 dalej wysyła te informacje. Zrobiłem wszystko jak napisałeś. może ten trojan nie działa bez przerwy bo nod nie wysyła mi tych wiadomości co chwilę tylko tak różnie - raz częściej, raz rzadziej?


(Gutek) #12

Daj screena z raportu noda


(Saq20) #13

Muszę poczeka aż się jakiś wyświetli.

Złączono Posta : 11.05.2007 (Pią) 17:53

Jak sie pojawi raport, wrzucę screen'a

Złączono Posta : 11.05.2007 (Pią) 20:27

faoma,8v1swdogs

nie wiem czy to zadziała


(Gutek) #14

Daj log z Combo


(Saq20) #15

Złączono Posta : 11.05.2007 (Pią) 20:48

Złączono Posta : 11.05.2007 (Pią) 20:50

Złączono Posta : 11.05.2007 (Pią) 20:52

Złączono Posta : 11.05.2007 (Pią) 20:54

nie kumam tego - w podglądzie było raz


(Gutek) #16

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\system32\vsv.exe i naciskasz X czerwony. Program poprosi o reset kompa ... czyli resetujesz.


(Saq20) #17

Niestety dalej jest to samo... to chyba nie ma sensu... masz w ogóle jakiś pomysł na to co się u mnie dzieje i czym to grozi?? Z tego co czytałem o SdBot to wynika, że ktoś mi się może na kompa wbić. Nie ukrywam, że komp jest mi potrzebny bo piszę na nim dyplom i szkoda mi czasu na stawianie nowego systemu. Z drugiej strony na trojana straciłem już tyle czasu, że bym tych systemów z 10 postawił.

Szczerze, to nie kumam dlaczego nod wykrywa pliki tworzone przez svhost - przecież to jest proces windy - jako wirusa. Czy ten trojan się tak maskuje, czy to w ogóle może jakoś inaczej działa??

Generalnie załamka...

Jaśli masz jakiś pomysł to proszę o odp.

pozdrawiam


(Gutek) #18

Zerknij - http://forum.centrumxp.pl/Default.aspx?g=posts&t=108100 na podmianę svchost.exe


(Mirfi2) #19

Przepraszam Gutek2222 ale może jest to reakcja NOD32 -a

na śmiecia RealOne Player -a.Wpis

należy zafixować w HijackThis i zmienić rozszerzenie pliku

C:\Program Files\Common Files\Real\Update_OB\ ralsched.exe

z .exe na .old bo inaczej wróci.


(Gutek) #20

ale to nie jest syf ten Real jest ciężki i poleca się odinstalować RealOne playera i zastąpić Real Alternative TU - to kosmetyka