Trojan - Backdoor.Win32.Rbot.bni

Dla specjalistów Bezpieczeństwo
#1

Witam, zawitało w moim kompie takie ciekawe maleństwo i nie mogę sobie z nim poradzić.

Oczywiście prośba o instrukcje walki z nim, ale w wersji uproszczonej krok po kroku.

A tu log

#2
  1. Wchodzisz w Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Network helper Service

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz MSDisk i ok

  1. Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).

  2. W HJT odpalonym w trybie awaryjnym zaznaczasz wpisy i klikasz na dole “Fix checked” , to co na czerwono usuwasz ręcznie z dysku:

  1. Po zabiegach nowe logi z HiJacka oraz Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle). :slight_smile:
#3

wielkie dzięki za pomoc, ale:

  • nie mogłem znaleźć pliku MediaBar.dll z punktu 3

  • nie mogłem usunąć pliku irdvxc.exe z punktu 3 coś blokuje

:frowning:

HELP! !!

#4

Chodzi o cały folder BearShare MediaBar - miałeś go usunąć.

Ściągasz narzędzie KillBox, zaznaczasz Delete on Reboot, potem klikasz All Files i wklejasz do pola Full Path of File to Delete ścieżki:

C:\WINDOWS\System32\irdvxc.exe

Klikasz X i reset sysa. :slight_smile:

#5

Katalog BearShare MediaBar usunięty.

KillBox ściągnięty i zainstalowany, przy próbie usunięcia tego pliku wyskakuje - the file does not seem to exist

#6

Uczyń teraz to:

#7

mój błąd, już usunięty - teraz czas na restart :slight_smile:

zaraz dalsza część zabawy

Złączono Posta : 15.11.2006 (Sro) 0:23

teraz czas na logi:

Złączono Posta : 15.11.2006 (Sro) 0:25

widzę że ucieło mi loga z silenthuntera więc wklejam go jeszcze raz

#8
  1. Z tego co widzę to nie wyrejestrowałeś usługi:

  1. Próbujesz jeszcze raz Killboxem, jak nie pójdzie to jutro będzie gmer. Możlwe też, że po prostu już go nie ma.

  2. Wpis do usunięcia w HJT - zaznaczasz i klikasz na dole “Fix checked”.

#9

to takie jedno pytanie - zatrzymalem ta usluge Network Helper Service a jak mam ja wylaczyc? bo nie widze tutaj takiej opcji. czy mam probowac ja usunac?

#10

Start --> uruchom --> services.msc > klikasz prawym na Network helper Service > najpierw “zatrzymaj”, potem niżej na liście masz “Właściwości” > Typ uruchomienia > Wyłączony.

#11

czynnosci wykonane a wiec czas na najswiezsze logi:

#12

Już czysto :slight_smile:

Teraz zainstaluj SP2 i wszystkie krytyczne aktualizacje.

#13

Nie jest jeszcze czysto.

Proszę otworzyć Notatnik i wkleić w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> uruchom utworzony plik i potwierdź dodanie do rejestru >>> reset.