Trojan RootkitAgent.ODG - kako ga ukloniti?

shmufla · 01.10.2009., 00:48

Pozdrav svima,

Imam 2 harda (stari manji i novi veći) i na oba zasebnu instalaciju WinXP-a. Otkad sam stavio novi, stari mi je služio kao backup ili npr. za ovakve slučajeve (ovo je prvi..).

Problem je taj što se odjednom s novog harda više ne mogu spojit na internet. Tj. mogu se spojit, ali ne mogu otvarat stranice, primat mejlove, radit update i sl. - iako je veza kao ostvarena. Osim toga i detekcije navedenog trojana od strane antispyware programa, nemam drugih problema pri bootanju s novog harda.

Na netu kod rješenja ovog trojana vidim da oni koji znaju traže da im se priloži izvješće programa tipa hijackthis ili sličnih pa pretpostavljam da će i kod mene prvi korak biti takvo nešto.
Na par mjesta sam vidio da ljude upućuju da skinu neki od tih programa i prvo naprave update - to kod mene trenutno nije moguće jer mi je update onemogućen tj. mogu ga napraviti samo kad bootam s ovog starog harda (koji navodno nije zaražen i preko kojeg sam i sad spojen), ali to vjerojatno nije to..

Dakle, nadam se da će se naći neka dobra i pametna duša koja će mi pomoći riješiti problem odnosno srediti komp bez štetnih posljedica.
Unaprijed hvala.

p.s. također se nadam da mi tema neće biti zaključana bez ikakvog objašnjenja na pm (reda radi).

EDIT:

Skinuo sam malware i bez update-a je na novom (zaraženom) hardu našo 6 "zlikovaca" i stavio ih u karantenu. Sutra popodne ću ponoviti full scan da vidim koji su od njih ostali. Nešto je sigurno ostalo jer je nakon restarta internet i dalje neupotrebljiv (ako bootam s tog harda).

coconut · 01.10.2009., 12:19

Razmisli i o 'format c:' opciji.

Doink the Clown · 01.10.2009., 13:14

Citiraj:

Autor shmufla

EDIT:
Skinuo sam malware i bez update-a je na novom (zaraženom) hardu našo 6 "zlikovaca" i stavio ih u karantenu. Sutra popodne ću ponoviti full scan da vidim koji su od njih ostali. Nešto je sigurno ostalo jer je nakon restarta internet i dalje neupotrebljiv (ako bootam s tog harda).

Jesi vršio tu deratizaciju u safe modu? Ako nisi make it so, možda se zato gamad vraća... Možeš još upotrijebiti Aviru i Spybot S&D.

Joke · 01.10.2009., 18:46

Vundofix i combofix pa "udri"..

shmufla · 01.10.2009., 23:07

Evo ponovio sam scan sa malwarebytes-om i ništa nije našo. Onda sam ga napravio i sa SuperAntiSpyware FreeEdition-om i isto ništa nije našo (a mislim da prije je, prije nego sam skenirao malware-om). Oba programa su friško skinuta i skenirano je bez prethodnog update-a (jer ne mogu na net). Ništa od tih scanova i čišćenja nisam radio u safe modu.

I dalje ne mogu na internet. A i prilično sam skeptičan prema tome da je malware potpuno riješio stvar jer nigdje na netu gdje su se ljudi raspitivali o uklanjanju istog virusa nije bilo tako jednostavnog rješenja poput skeniranja "pravim" programom koji će ga otkloniti jer takvog nema (bar sam stekao takav dojam tražeći rješenje).

Evo u nastavku logovi od malware-a nakon 1. i nakon 2. skeniranja i na kraju obavijest koju dobijem kad pokrenem firefox (nakon uspostavljanja adsl veze).

shmufla · 01.10.2009., 23:12

(Ne obraćajte pažnju na datum jer na winxp na starom hardu nije bio podešen.)

Malwarebytes' Anti-Malware 1.41
Database version: 2775
Windows 5.1.2600 Service Pack 2

2.8.2004 1:29:44
mbam-log-2004-08-02 (01-29-44).txt

Scan type: Full Scan (C:\|D:\|E:\|F:\|M:\|N:\|)
Objects scanned: 184054
Time elapsed: 45 minute(s), 48 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msqpdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
D:\Obulis\Uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
E:\novo s neta\Keygen.Folder.Lock.6.0.1c3098.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

---------------------------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.41
Database version: 2775
Windows 5.1.2600 Service Pack 2

1.10.2009 20:34:54
mbam-log-2009-10-01 (20-34-54).txt

Scan type: Full Scan (C:\|D:\|E:\|F:\|M:\|N:\|)
Objects scanned: 183601
Time elapsed: 47 minute(s), 21 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

----------------------------------------------------------------------------------------------------

Address Not Found

Firefox can't find the server at www.google.com.

The browser could not find the host server for the provided address.

* Did you make a mistake when typing the domain? (e.g. "ww.mozilla.org" instead of "www.mozilla.org")
* Are you certain this domain address exists? Its registration may have expired.
* Are you unable to browse other sites? Check your network connection and DNS server settings.
* Is your computer or network protected by a firewall or proxy? Incorrect settings can interfere with Web browsing.

shmufla · 01.10.2009., 23:17

Ako je moguće vjerojatno bi mi sad bilo najbolje uspostavit internet vezu pa onda poslat log od nekog od navedenih programa (combofix) pa da mi neko pomogne kvalitetno očistit komp.

Što se tiče combofix-a i sličnih programa trebao bih detaljne upute što i kako napraviti da nešto ne zeznem.
A i za uspostavu interneta su savjeti dobrodošli. Dakle modem upaljen, odem dole desno na monitorčić, dupli klik, odaberem svoj wlan i konektam se. A kad bilo što pokrenem ko da i nisam (firefox, outlook, vuze...)...

01.10.2009., 00:48	#1
shmufla Premium Datum registracije: Sep 2008 Lokacija: Zagreb Postovi: 51	Trojan RootkitAgent.ODG - kako ga ukloniti? Pozdrav svima, Imam 2 harda (stari manji i novi veći) i na oba zasebnu instalaciju WinXP-a. Otkad sam stavio novi, stari mi je služio kao backup ili npr. za ovakve slučajeve (ovo je prvi..). Problem je taj što se odjednom s novog harda više ne mogu spojit na internet. Tj. mogu se spojit, ali ne mogu otvarat stranice, primat mejlove, radit update i sl. - iako je veza kao ostvarena. Osim toga i detekcije navedenog trojana od strane antispyware programa, nemam drugih problema pri bootanju s novog harda. Na netu kod rješenja ovog trojana vidim da oni koji znaju traže da im se priloži izvješće programa tipa hijackthis ili sličnih pa pretpostavljam da će i kod mene prvi korak biti takvo nešto. Na par mjesta sam vidio da ljude upućuju da skinu neki od tih programa i prvo naprave update - to kod mene trenutno nije moguće jer mi je update onemogućen tj. mogu ga napraviti samo kad bootam s ovog starog harda (koji navodno nije zaražen i preko kojeg sam i sad spojen), ali to vjerojatno nije to.. Dakle, nadam se da će se naći neka dobra i pametna duša koja će mi pomoći riješiti problem odnosno srediti komp bez štetnih posljedica. Unaprijed hvala. p.s. također se nadam da mi tema neće biti zaključana bez ikakvog objašnjenja na pm (reda radi). EDIT: Skinuo sam malware i bez update-a je na novom (zaraženom) hardu našo 6 "zlikovaca" i stavio ih u karantenu. Sutra popodne ću ponoviti full scan da vidim koji su od njih ostali. Nešto je sigurno ostalo jer je nakon restarta internet i dalje neupotrebljiv (ako bootam s tog harda). Zadnje izmijenjeno od: domy_os. 01.10.2009. u 01:50. Razlog: Nemoj se nadati nego pročitaj pravila podforuma!

01.10.2009., 12:19	#2
coconut Premium Moj komp Datum registracije: Mar 2006 Lokacija: Opatija Postovi: 33,922	Razmisli i o 'format c:' opciji. __________________ "Dvije stvari su beskonačne - svemir i ljudska glupost. Za svemir nisam siguran." A. Einstein

01.10.2009., 18:46	#4
Joke N00B Moj komp Datum registracije: Oct 2006 Lokacija: Split Postovi: 3,886	Vundofix i combofix pa "udri".. __________________ IE6 Linux is Not Windows

01.10.2009., 23:07	#5
shmufla Premium Datum registracije: Sep 2008 Lokacija: Zagreb Postovi: 51	Evo ponovio sam scan sa malwarebytes-om i ništa nije našo. Onda sam ga napravio i sa SuperAntiSpyware FreeEdition-om i isto ništa nije našo (a mislim da prije je, prije nego sam skenirao malware-om). Oba programa su friško skinuta i skenirano je bez prethodnog update-a (jer ne mogu na net). Ništa od tih scanova i čišćenja nisam radio u safe modu. I dalje ne mogu na internet. A i prilično sam skeptičan prema tome da je malware potpuno riješio stvar jer nigdje na netu gdje su se ljudi raspitivali o uklanjanju istog virusa nije bilo tako jednostavnog rješenja poput skeniranja "pravim" programom koji će ga otkloniti jer takvog nema (bar sam stekao takav dojam tražeći rješenje). Evo u nastavku logovi od malware-a nakon 1. i nakon 2. skeniranja i na kraju obavijest koju dobijem kad pokrenem firefox (nakon uspostavljanja adsl veze). Zadnje izmijenjeno od: shmufla. 01.10.2009. u 23:18.

01.10.2009., 23:12	#6
shmufla Premium Datum registracije: Sep 2008 Lokacija: Zagreb Postovi: 51	(Ne obraćajte pažnju na datum jer na winxp na starom hardu nije bio podešen.) Malwarebytes' Anti-Malware 1.41 Database version: 2775 Windows 5.1.2600 Service Pack 2 2.8.2004 1:29:44 mbam-log-2004-08-02 (01-29-44).txt Scan type: Full Scan (C:\\|D:\\|E:\\|F:\\|M:\\|N:\\|) Objects scanned: 184054 Time elapsed: 45 minute(s), 48 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 2 Registry Values Infected: 2 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msqpdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: D:\Obulis\Uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully. E:\novo s neta\Keygen.Folder.Lock.6.0.1c3098.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. --------------------------------------------------------------------------------------------------- Malwarebytes' Anti-Malware 1.41 Database version: 2775 Windows 5.1.2600 Service Pack 2 1.10.2009 20:34:54 mbam-log-2009-10-01 (20-34-54).txt Scan type: Full Scan (C:\\|D:\\|E:\\|F:\\|M:\\|N:\\|) Objects scanned: 183601 Time elapsed: 47 minute(s), 21 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) ---------------------------------------------------------------------------------------------------- Address Not Found Firefox can't find the server at www.google.com. The browser could not find the host server for the provided address. * Did you make a mistake when typing the domain? (e.g. "ww.mozilla.org" instead of "www.mozilla.org") * Are you certain this domain address exists? Its registration may have expired. * Are you unable to browse other sites? Check your network connection and DNS server settings. * Is your computer or network protected by a firewall or proxy? Incorrect settings can interfere with Web browsing.

01.10.2009., 23:17	#7
shmufla Premium Datum registracije: Sep 2008 Lokacija: Zagreb Postovi: 51	Ako je moguće vjerojatno bi mi sad bilo najbolje uspostavit internet vezu pa onda poslat log od nekog od navedenih programa (combofix) pa da mi neko pomogne kvalitetno očistit komp. Što se tiče combofix-a i sličnih programa trebao bih detaljne upute što i kako napraviti da nešto ne zeznem. A i za uspostavu interneta su savjeti dobrodošli. Dakle modem upaljen, odem dole desno na monitorčić, dupli klik, odaberem svoj wlan i konektam se. A kad bilo što pokrenem ko da i nisam (firefox, outlook, vuze...)...

Oglasni prostor
PC Ekspert Forum Oglas

Oglasni prostor
PC Ekspert Forum Oglas