Trojan Win32.Rungbu.a


(Rafal1976) #1

Witam.

Mam problem z Trojanem Win32.Rungbu.a. Przeskanowałem system SpyBotem, usunąłem go, ale po restarcie znów się pojawia. Prosze o instrukcję jego usunięcia (zaznaczam, że jestem dośc zielony w temacie Combofix i innych tym podobnych narzędzi, więc proszę o w miarę prostą instrukcję).

Z góry dziękuję.

Log z HijackThis:

http://www.wklejto.pl/15965


(Leon$) #2

źle wklejony log - brak ukośników w ścieżkach

Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log

potem przeskanuj HijackThis 2.02 daj log

kolejność skanowania jak podałem

:slight_smile:


(Rafal1976) #3

Oto wyniki skanowania:

  1. Combofix:

http://www.wklejto.pl/15968

  1. HijackThis:

I tu mam problem, bo w pliku na dysku są wszystkie ukośniki, a po wklejeniu nagle znikają. Co jest grane?

http://www.wklejto.pl/15969


(Leon$) #4

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Jkpomocnik) #5

dorzucę jeszcze info o SDFIX (rozpakowujemy, urychamiamy w awaryjnym):

http://www.bleepingcomputer.com/files/sdfix.php

ostatnio widziałem również rootkit'a w MBR

ubcd4win? avira rescue? i inne

i wyłączajcie przywracanie systemu!

pozdrawiam


(Rafal1976) #6

Gotowe. Oto log z Combofix:

http://www.wklejto.pl/15972


(Rafal1976) #7

Dlaczego?


(Leon$) #8

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:


(Patryk94) #9

Na koniec przeskanuj skanerem on-line:

:arrow: http://www.mks.com.pl/skaner/

Pozdrawiam :smiley:


(Jkpomocnik) #10

bo dobrze napisane wirusy wracają, podobnie jak usuwanie windows/prefetch (nie ma pliku wykonywalnego to odpalę se go z "pamięci")

to tylko sugestie i obserwacje "zachowania się systemu"


(Rafal1976) #11

Podczas wyłączania i włączania przywracania systemu mój ArcaVir2008 znalazł 2 trojany (i usunął je) - obydwa takie same. Czy to normalne przy tej operacji?

Log z ArcaVir:

http://www.wklejto.pl/15977


(Leon$) #12

chyba wyraźnie napisane czym masz skanować

:slight_smile:


(Rafal1976) #13

Nareszcie skończyłsię skan przez Kaspersky. Znalazł 9 zainfekowanych plików. 2 pierwsze (e-mule) już usunąłem, a co z resztą?

Log:

http://www.wklejto.pl/15999


(Gutek) #14

Użyj - http://www.bezpieczenstwosystemow.pl/in ... pic=1647.0

- Flash Disinfector

- BitDefender Pica Removal Tool

- PRT (Perlovga Removal Tool)

albo sformatuj pendriva

Proszę pobrać i użyć Malwarebytes' Anti-Malware

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone jak będą i Ok  :wink:


(Rafal1976) #15

Przeskanowałem za pomocą Malwarebytes i nic nie znalazł.

Usunąłem już pliki z e-mule (obydwa wma) oraz plik instalacyjny Instalultracodec4108.exe, więc tu już jest czysto.

Co mam zrobić z pozostałymi, tzn:

D:lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akhs 1

D:sq.com Zainfekowany: Worm.Win32.AutoRun.sbo 1

D:whi.com Zainfekowany: Packed.Win32.Krap.b 1

E:lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akhs 1

E:sq.com Zainfekowany: Worm.Win32.AutoRun.sbo 1

E:whi.com Zainfekowany: Packed.Win32.Krap.b 1

Przypuszczam, że znów należy uruchomić Combofix, ale jaka ma być treść skryptu?


(huber2t) #16

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

D:lky.exe

D:sq.com

D:whi.com

E:lky.exe

E:sq.com

E:whi.com

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Rafal1976) #17

Zrobione.

Oto log z Combofix:

http://www.wklejto.pl/16015

Co dalej?


(Spandau) #18

Wiesz co to za foldery

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Czy w trakcie pracy Combofixa miałeś podłączone pendrive? Nie widzę aby Combofix usuwał te pliki dlatego przeskanuj kontrolnie raz jeszcze obszar Mój komputer Kasperskim

:slight_smile:


(Rafal1976) #19

Nie mogę zrobić skanowania Kasperskym, bo pokazuje mi błąd połaczenia DNS.


(huber2t) #20

Przeskanuj tym:

Dr.WEB CureIt!