Win32:Rootkit-gen [Rtk] - avast wykrywa mi coś takiego


(Skryty) #1

Witam !

Od kilku dni avast wykrywa mi takiego trojana najczęściej w katalogu C:\windows\system32\drivers

Są to zwykle pliki typu exe. zwykle 2-3 pliki zainfekowane

Oto logi z HJthis

http://wklej.org/id/d7469b73d1


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\drivers\hldrrr.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Skryty) #3

Hmm co tego hldrr bylem niemalże pewny ze to nie jest normalny plik.

Oto log z Combo

http://wklej.org/id/28c96977f6


(Gutek) #4

Pobierz program SDFix

-


(Skryty) #5

http://wklej.org/id/bca1d9dbe1

z tego wynika, że jest już ok, pomogło :slight_smile:

Dziękuję bardzo :slight_smile:

btw. sorry za offtopa ale mam jeszcze taki problem, którego mimo poszukiwań odpowiedzi na kilku forach nie udało mi sie rozwiązać. Otóż nie mam dźwięku na youtube, oraz niektórych flashowych stronach, a dokładniej dźwięk jest, ale niesamowicie cichy. Dowcip polega na tym, że jest tak od instalacji świeżego systemu. Wszystko co do tej pory znalazłem w necie na ten temat opierało się na tym, że dźwięku nie ma w ogóle, w systemie jest wyłączony schemat dźwiękowy i nie da sie go włączyć, a jest to wynikiem jakieś wirusa. U mnie przypuszczam problem jest innej natury. Wcześniej było ok - jakieś sugestie. Żeby ułatwić - w kompie zmienił się dysk twardy co było powodem przeinstalowania systemu. Reszta tak jak było.


(huber2t) #6

Daj nowy log z Combofix

Może kodeki trzeba przeinstalować


(Pyro28) #7

witam.

potraktowałem hldrr.exe combo fixem ale nie jestem pewien czy trojan został całkowicie usunięty.

Mam program do mierzenia prędkości ściągania i wysyłania danych i ciągle coś wysyła albo odbiera (wcześniej tak nie było).

Czasami jeszcze wyskakuje okienko ZAMYKANIE SYSTEMU . prosze o pomoc


(huber2t) #8

Daj log z hijackthis i combofix na forum


(Pyro28) #9

nie znam sie za bardzo jestem początkujący ale chyba o to chodzi

http://www.wklej.org/id/53c8413a73

http://wklej.org/id/699133782c


(huber2t) #10

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

D:\WINDOWS\System32\rqRHyaaa.dll

D:\WINDOWS\System32\mdm.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Pyro28) #11

http://www.wklej.org/id/ba713f19b4

W dniu 23.05.2008 , o godzinie 16:44 został dopisany post przez perek28

mam wrażenie że wirus nie został usunięty bo właśnie uruchomiło mi sie ZAMYKANIE SYSTEMU :?


(huber2t) #12

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

D:\WINDOWS\system32\fada.exe 

D:\WINDOWS\system32\o 

D:\WINDOWS\system32\pmnkJbAS.dll 

D:\WINDOWS\system32\efcCTMCT.dll


Driver::

SetupNTGLM7X

flys.q8pilots.net


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRHyaaa]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Pyro28) #13

http://wklej.org/id/7d8b6c73d5


(huber2t) #14

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.


(Pyro28) #15

z tym virusem kasperski ściąga sie w tempie sparaliżowanego żółwia ale w pewnym momencie

nie wiem co sie stało PC Tools spyware doctor znalazł jakiś błędny wpis i usunął nie wiem czy chodziło o virusa ale teraz (prawie normalnie wszystko chodzi)

przeskanuje jeszcze kasperskym kompa i zobaczę rezultat

W dniu 23.05.2008 , o godzinie 20:33 został dopisany post przez perek28

oto raport z kasperskyego

http://www.wklej.org/id/3b9d8d6ae6


(Leon$) #16

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Pyro28) #17

http://wklej.org/id/1a93a2827c

oto raport: nie wiem chyba coś to dało ale Firefox teraz nie chce sie włączyć :?:


(huber2t) #18

Przeskanuj Kasperskim i daj nowy raport na forum


(Pyro28) #19

http://wklej.org/id/00c7a985ba


(huber2t) #20

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\asguard.exe

C:\xflhn.exe

C:\ybeb.exe

D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7OTV30W5\dwxnbsj[1].htm

D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\7OTV30W5\mywehfoto[1].htm

D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A3IL09ON\cppthyzd[1].txt

D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\AFYFWDCX\tuhvzqdrv[1].htm

D:\Documents and Settings\pyrek\Ustawienia lokalne\Temp\E1C2.tmp

D:\Documents and Settings\pyrek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\JFNX50WX\wssl62_b[2].exe

D:\WINDOWS\system32\crehcjid.dll

D:\WINDOWS\system32\crypts.dll

D:\WINDOWS\Temp\254F.tmp

D:\WINDOWS\Temp\3DD7.tmp


Folder::

D:\WINDOWS\system32\158117

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Po tym pzreskanuj jeszcze raz Kapserskim i daj log an forum