Trojan.Rootkit-15 nie daje się usunąć


(Musashi Maru) #1

Witam!

MKS online skaner znalazł trojana o nazwie cel90xbe

Niestety nie był w stanie go usunąć. Podobnie mój avast. Trojan zainstalował się jako plik systemowy. Nie daje się usunąć ręcznie (plik chroniony lub aktualnie używany - odmowa dostępu). Próbowałem usunąć go przy restarcie za pomocą Killboxa oraz Hijackthis. Nie dały rady ani w zwykłym trybie, ani w awaryjnym :evil: :evil: :evil:

Jakieś sugestie? I czy potrzebne logi?

Pozdrawiam.


(Ryba969) #2

Logi koniecznie z HJT+ Silent runners opis: http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Musashi Maru) #3

HijackThis:

Silent Runners:


(adam9870) #4

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Gdzie go wykrył? Podaj dokładną lokalizację do zainfekowanego pliku…

Przeskanuj http://www.ewido.net/en/ i wrzuć raport oraz nowy log z Silenta.


(Musashi Maru) #5

Tekst w notatniku wklejony i dodany do rejestru.

Skaner ewido pozbył się jakoś tytułowego trojana… i ponad 200 innych :evil:

Poniżej nowe logi:

Ewido:

HijackThis:

Silent Runners:

Btw - na pasku szybkiego dostępu zainstalowała mi się ikonka “system alert”. Opis mówi (po angielsku), że system wykrył większą liczbę działających spyware’ów i żeby się ich pozbyć kliknij tutaj. Po kliknięciu (zarówno lewym, jak i prawym przyciskiem myszy) otwiera przeglądarkę - adres: http://spydawn.com/?aff=334 Tam, jak widać z adresu, affiliate numer 334 oferuje nam fantastyczny program antywirusowy po niesamowicie korzystnej, promocyjnej wręcz, cenie :^o Jak się pozbyć tego badziewia?


(adam9870) #6

Usuń wszystko co zostało znalezione przez ewido.

Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\Program Files\Avant Browser~tmp0374.exe

C:\WINDOWS\System32\higehsg.dll

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Start => uruchom => wpisz regedit i kliknij OK => przejdź do klucza:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

i skasuj z prawokliku znajdującą się tam wartość {2016a466-91a2-43c6-97d8-2fd380f065ef}

Usuń wpis HJT.

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym.

Po wykonaniu wklej nowe logi + zawartość pliku c:\rapport.txt.


(Musashi Maru) #7

Nie wiem czemu, ale te komendy wyłączenia i usunięcia Microsoft Updater2 nie działają. Wyłączyłem ten proces w services, ale usunąć nie mogę. Wyświetla komunikat:


(adam9870) #8

Otwórz notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT i uruchom go w trybie awaryjnym.

Ewentualnie jeśli powyższy sposób nie zadziała to zrób tak:

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę ieupdater2 następnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz Microsoft IE Updater2 => Ok i zresetuj komputer.


(Musashi Maru) #9

Nowe logi do kontroli:

HijackThis:

Silent Runners:

SmitFraudFix rapport:


(adam9870) #10

Już jest Ok.

Proponuję zainstalować dodatek Service Pack 2. Poprawia on bezpieczeństwo w systemie etc. Możesz go pobrać stąd:

http://dobreprogramy.pl/index.php?dz=2&t=35&id=795


(Musashi Maru) #11

WIELKIE DZIĘKI! !!