Win32:Rootkit-gen


(Olszy) #1

Witam !

Od kilku dni avast wykrywa mi takiego trojana najczęściej w katalogu C:\windows\system32\

Zawsze jest to plik nexkaqf.sys

Proszę o pomoc :frowning:


(huber2t) #2

Podaj log z Hijackthis

Podaj log z Combofix


(Olszy) #3

Oto log z Hijackthis

http://wklej.org/id/ea31081584


(huber2t) #4

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\SYSTEM32\crypts.dll

C:\WINDOWS\SYSTEM32\WinNt32.dll

C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Olszy) #5

Oto log

http://wklej.org/id/88fca70fdb

W dniu 30.04.2008 , o godzinie 13:41 został dopisany post przez olszy

Wydaje mi się że ten trojan łączył się z netem i cos wysyłał. Czy to możliwe ?


(huber2t) #6

Te pliki

C:\WINDOWS\SYSTEM32\WinNt32.dll

C:\WINDOWS\SYSTEM32\WLCtrl32.dll

wysyłają dziennie miliony spamu

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\bpnxxu.exe

C:\Documents and Settings\Jaros\ksssbf.exe

C:\Documents and Settings\Jaros\pwcl.exe

C:\Documents and Settings\Jaros\phhp.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Olszy) #7

Podczas działania programu ComboFix nastąpił powarzny błąd systemu i zrzucanie pamięci fizycznej na dysk. Niestety nie wygenerowało rzadnego loga. Czy uruchomić jeszcze raz ?


(huber2t) #8

Tak ale musisz usunąc te pliki

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\bpnxxu.exe

C:\Documents and Settings\Jaros\ksssbf.exe

C:\Documents and Settings\Jaros\pwcl.exe

C:\Documents and Settings\Jaros\phhp.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Olszy) #9

Oto raport z Avenger :

http://wklej.org/id/4764d7e2d0


(huber2t) #10

Daj mi log z Combofix a jeśli nie będziesz mógł to daj z Deckard's System Scanner


(Olszy) #11

Wreszcie mi się udało wygenerować ten log z Combofixa

http://wklej.org/id/33deb0fc3f


(huber2t) #12

Log wyglada na czysty

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.


(Olszy) #13

A tu jest log z Deckard's System Scanner

http://wklej.org/id/4c2896816e


(huber2t) #14

fix w hijackthis

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\zip.exe

C:\WINDOWS\VFind.exe

C:\WINDOWS\swxcacls.exe

C:\WINDOWS\swsc.exe

C:\WINDOWS\swreg.exe

C:\WINDOWS\sed.exe

C:\WINDOWS\grep.exe

C:\WINDOWS\fdsv.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

To wszsytko byli zbędniki więc nie masz czego się martwić

Daj raport z Kasperskiego


(Olszy) #15

Jak to uruchomić przez IE i jak mam ten raport wygenerować ? Mam wersje testową Kasperskiego, czy wystarczy jak włączę zwykłe skanowanie ??


(huber2t) #16

Tak wystarczy


(Olszy) #17

Wielkie dzięki za pomoc. Wszystkie problemy ustąpiły. A mozesz mi powiedzieć jak powinno się analizować logi w poszukiwaniu wirusów bądz innego robactwa ?? Przypuszczam , że to skąplikowana sprawa to moze chociarz jakieś strony traktujace o tym temacie.

Z góry dzięki.

Pozdrowienia. :smiley: