Win32: Alureon-BH [RTK] rootkit - ιούς ή κακόβουλα προγράμματα Απομάκρυνση

**Mooseknuckle** · #1 10η Ιουν 2009, 18:15

Έχω ένα φορητό υπολογιστή που έχει κάτι σοβαρό λάθος ... ΔΥ παρελήφθη στις στόχο την επόμενη ημέρα, λέγοντας εξετάσουμε αυτό pic .... και το οποίο είναι κάτι κακό ....

υπολογιστή είναι πολύ αργή για την έναρξη λειτουργίας και μόλις αρχίζει avast Αναδύεται μέχρι λέγοντας malware βρέθηκε ...

Πληροφορίες από avast είναι

Όνομα αρχείου: C: \ \ windows \ system32 \ SKYNETievebpws.dll
Malware όνομα: Win32: Alureon-BH [RTK]
Κακόβουλα προγράμματα τύπου: rootkit

Στο κάτω μέρος της οθόνης πάνω από το δίσκο συστήματος avast λέει C: \ \ windows \ system32 \ SKYNETievebpws.dll περιέχει ένα δείγμα του Win32: BH-Alureon [RTK]

κάθε βοήθεια εκτιμάται ......??? κακό;;; ευχαριστώ εκ των προτέρων

**sjb007** · #2 10η Ιουν 2009, 23:22

Γεια σου

Θα ξεκινήσουμε με ComboFix.exe. Παρακαλούμε να επισκεφθείτε αυτή την ιστοσελίδα για λήψη δεσμών, και οδηγίες για τη λειτουργία του εργαλείου:

http://www.bleepingcomputer.com/comb...o-use-combofix

Βεβαιωθείτε ότι έχετε όλα τα άτομα με ειδικές ανάγκες καταπολέμησης του ιού και τα προγράμματα κατά του κακόβουλου λογισμικού, ώστε να μην συμπίπτουν με τη διεξαγωγή των ComboFix.

Παρακαλούμε να συμπεριλάβετε το C: \ ComboFix.txt στην επόμενη απάντησή σας για περαιτέρω εξέταση.

Μόλις γίνει ....

Λήψη GMER rootkit Scanner από εδώ ή εδώ.

Εξάγετε τα περιεχόμενα του φακέλου στην επιφάνεια εργασίας zipped.
Κάντε διπλό κλικ GMER.exe. Εάν ζητηθεί να επιτρέψει gmer.sys οδηγό για να φορτώσει, παρακαλούμε συναίνεση.
Εάν αυτό σας δίνει μια προειδοποίηση σχετικά με rootkit δραστηριότητα και ρωτά εάν θέλετε να εκτελέσετε σάρωση ... κλικ για ΟΧΙ.

Κάντε κλικ στην εικόνα για να μεγεθύνετε
Στο δεξιό πίνακα, θα δείτε διάφορες θέσεις που έχουν ελεγχθεί. Αποεπιλέξτε το εξής ...
- Ενότητες
- IAT / EAT
- Δίσκοι / Partition εκτός από Systemdrive (συνήθως C: \)
- Δείτε Όλα (Μη χάσετε αυτό το ένα)
Μετά πατήστε το κουμπί Scan και περιμένετε να τελειώσει.
Άπαξ και γίνει αυτό κάντε κλικ στο [Αποθήκ ..] κουμπί, και στην περιοχή το όνομα του αρχείου, πληκτρολογήστε το "Gmer.txt" ή θα σε σώσει. αρχείου
Αποθήκευση, όπου μπορείτε εύκολα να το βρείτε, όπως η επιφάνεια εργασίας σας και να αντιγράψετε και να επικολλήσετε αυτό κατά την επόμενη απάντηση

** Προσοχή **
Rootkit σαρώνει συχνά παράγουν ψευδή θετικά. Δεν προβαίνουν σε καμία ενέργεια για κάθε "<--- ROOKIT "εγγραφές

Post πίσω με τα αποτελέσματα τόσο μορφή κορμών

**Mooseknuckle** · #3 11 Ιουν 2009, 08:37

Ευχαριστώ για την απάντηση .... δεν θα μπορέσω να πάω σε αυτό, μέχρι αύριο, αλλά θα κάνω μετά τα αποτελέσματα μετά την ολοκλήρωσή

**sjb007** · #4 11 Ιουν 2009, 08:43

Ευχαριστούμε για την ενημέρωση

**Mooseknuckle** · #5 17η Ιουνίου 2009, 12:05

SJB ... συγνώμη για την καθυστέρηση .... i θα είναι για σήμερα το βράδυ για να αρχίσει η επισκευή σε αυτό το ... i θα πρέπει να είναι κοντά στις 7μμ EST να εργάζεται για αυτό .... Θα μετά κορμών μία φορά έτρεξε .. ευχαριστώ φίλε ..

**Mooseknuckle** · #6 17η Ιουνίου 2009, 17:57

Προσπάθησα combofix λειτουργίας και όταν το τρέξετε i λάβετε αυτό το μήνυμα:

Οποιαδήποτε ιδέα; Δεν τρέχει GMER γιατί δήλωσε i θα πρέπει να αρχίσει combofix 1η ..... παρακαλώ ενημερώστε με ευχαριστώ ....

**sjb007** · #7 17η Ιουνίου 2009, 23:48

Γεια σου

Θα ήθελα να επιβεβαιώσω αυτό που πιστεύω θα είναι άσχημα νέα για σας. Αν είμαι σωστή, τότε θα σημαίνει μια μορφή αυτής της μηχανής

Παρακαλούμε πηγαίνετε στο: VirusTotal

Στη μέση της σελίδας θα βρείτε ένα "Φυλλομέτρηση"Κουμπί.

Κάντε κλικ στην "Αναζήτηση" και να περιηγηθείτε σε αυτό το αρχείο RED:

C: \ WINDOWS \ system32 \Winlogon.exe

Κάντε κλικ στο κουμπί "Ανοικτός".
Στη συνέχεια, κάντε κλικ στην "Αποστολή αρχείου"Κουμπί στο κάτω μέρος της σελίδας VirusTotal.
Αυτό θα σαρώσει το αρχείο. Κάντε υπομονή.
Εάν λάβετε ένα μήνυμα λέγοντας Φάκελος έχει ήδη αναλυθεί: κάντε κλικ Reanalyse αρχείο τώρα

Αντιγραφή και στη συνέχεια επικολλήστε τη σάρωση αποτελέσματα κατά την επόμενη απάντηση.

Κάντε το ίδιο με:

C: \ WINDOWS \ SYSTEM32 \lsass.exe
C: \ WINDOWS \explorer.exe