Win32:Agent-USI (trj), Win32:Rootkit-gen i inne


(Prezes 011) #1

Witam.

Mam antywirus Avast, który przy każdym skanowaniu coś musiał wykryć. Niestety opcja usuń nie pomaga, dlatego zdecydowałem się na opisanie mojego problemu na tym forum. Zamieszczam logi z Hijackthis, Sillent Runners oraz ComboFix.

http://wklej.org/id/c82f250db1 - Hijackthis

http://wklej.org/id/61b8d57d70 - Silent Runners

http://wklej.org/id/08e47557e5 - ComboFix

Jestem nowy, więc proszę o zrozumienie. :slight_smile:

Pozdrawiam.


(Laszjwrz) #2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

O2 - BHO: (no name) - {8B580E40-6B46-44C8-9E80-A5AD6E1D1035} - (no file)

O20 - Winlogon Notify: crehcjid - crehcjid.dll (file missing)

Fix.

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Proponuje przeskanować plik WLCtrl32.dll na http://virustotal.com/pl


(huber2t) #3

Zfixuj co polecił kolega wyżej + to co ja napisze

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox


(Prezes 011) #4

Witam.

Chciałem zfixować to co mi napisaliście, ale z:

udało mi się odnaleźć tylko:

Potem wykonałem instrukcję huberta2t.

Oto log z ComboFixa: http://wklej.org/id/28b2aa7d3c

Następnie postanowiłem, że wyinstaluje BearShare'a, bo i tak z niego nie korzystam oraz avasta, ponieważ zamulał mi komputer. Dodam, że po skończonej operacji z wirusami, zainstaluje sobie jakiegoś dobrego antywirusa i firewall'a.

No i na koniec logi z Hijackthis i Sillent Runners:

http://wklej.org/id/9cf509a598 - Hijackthis

http://wklej.org/id/b39e9bab43 - Silent Runners

Czekam na dalsze intrukcje i porady.

Pozdrawiam.


(Gutek) #5
C:\wheys.exe 

C:\-1466151062

usuń ręcznie i

Pobierz program SDFix

-


(Prezes 011) #6

Ok udało się z tym sdfixem. Raport:

http://wklej.org/id/29f300aee9

No i standardowo inne logi:

http://wklej.org/id/24886a38fd - Hijackthis

http://wklej.org/id/9bd9decd8a - Silent Runners

http://wklej.org/id/91125aea56 - ComboFix

Co dalej? :slight_smile:


(Leon$) #7

start >> uruchom >> cmd

sc stop PavProc >> Enter

sc stop siusbmod >> Enter

sc delete PavProc >> Enter

sc delete siusbmod >> Enter

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Logi wyglądają na czyste

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

:slight_smile:


(Prezes 011) #8

Ok skanowanie http://www.kaspersky.pl/virusscanner.html wykonane, raport: http://wklej.org/id/83a89a848a

Log z Hijackthis: http://wklej.org/id/8d32b3e16c

Log z Silent Runners: http://wklej.org/id/d89fc317bd

Co ja właściwie zrobiłem? Tak z ciekawości spytam. :slight_smile:


(Mail) #9

Wyłączyłeś i usunąłeś usługi, które zostały po rootkicie.


(Prezes 011) #10

Ok rozumumiem, a coś jeszcze jest do zrobienia, czy już jest czysto?


(Gutek) #11

Nowy log z Combo


(Leon$) #12

usuń

:slight_smile:


(Gutek) #13

To bład skanera co mirca np. ma usunąć?


(Prezes 011) #14

Witam.

Usunięte.

To musi być jakaś pomyłka bo:

Ja z tego programu korzystam i nie znalazł się on na komputerze przez przypadek.

Log z ComboFix - http://wklej.org/id/3984f53027

Log z Hijackthis - http://wklej.org/id/019a247aa3

Log z Sillent Runners - http://wklej.org/id/b82bbcaf26

Czekam na dalsze instrukcje. Fajne to forum :slight_smile:

Pozdrawiam.


(Leon$) #15

Skoro to może być pomyłka to przeskanuj plik

na http://virusscan.jotti.org/

:slight_smile:


(huber2t) #16

Leon$ podałeś zły link

przeskanuj ten plik na http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

wybierz file scanner


(Leon$) #17

coś się wkleiło nie tak w adresie już poprawiłem

ale ma przeskanować nie Kasperskim tylko http://virusscan.jotti.org/

:slight_smile:


(Prezes 011) #18

Tak to wygląda:

http://wklej.org/id/a8e93da963


(Leon$) #19

Zostaw to tu trochę pisze na ten temat http://www.viruslist.pl/riskware.html?chapter=articles&id=41 http://viruslist.pl/riskware.html?riskname=Client-IRC

:slight_smile:


(Prezes 011) #20

Czyli co mam zrobić? Zalecacie wyinstalować mIrca? :slight_smile: Czy można go jakoś wyleczyć?