Win32: Alureon-BH [RTK] Rootkit - Nume sau Malware Eliminarea

**Mooseknuckle** · #1 10 iunie 2009, 18:15

Am un laptop care are ceva în neregulă în serios ... un chat a fost primit la obiectivul de altă zi spune uita-te la asta pic .... si sa dovedit a fi ceva rau ....

computerul este foarte lent la start şi până în momentul în care începe să stai apare spune malware a fost găsit ...

Info de la stai este

Nume fişier: C: \ \ windows \ system32 \ SKYNETievebpws.dll
Malware nume: Win32: Alureon-BH [RTK]
Malware Tip: Rootkit

În partea de jos a ecranului de mai sus în tavă stai spune C: \ \ windows \ system32 \ SKYNETievebpws.dll conţine un eşantion de Win32: Alureon-BH [RTK]

orice ajutor este apreciat ......??? rău? multumesc anticipat

**sjb007** · #2 10 iunie 2009, 23:22

Salut

Vom începe cu ComboFix.exe. Vă rugăm să vizitaţi această pagină web pentru download-uri utile, precum şi instrucţiuni pentru rularea instrument:

http://www.bleepingcomputer.com/comb...o-use-combofix

Asiguraţi-vă aţi dezactivat toate anti-virus si anti programe malware-ului astfel încât să nu interfereze cu funcţionarea ComboFix.

Vă rugăm să includeţi în C: \ ComboFix.txt în următoarea replică pentru revizuire.

Odată ce face ....

Descărca GMER Rootkit Scanner de la aici sau aici.

Extras conţinutul de ZIP fişier de la desktop.
Faceţi dublu clic GMER.exe. Dacă a cerut, pentru a permite gmer.sys şofer de încărcare, vă rugăm să consimţământul.
În cazul în care vă oferă un avertisment despre rootkit activitate şi solicită dacă doriţi să rulaţi de scanare, faceţi clic pe ... NU.

Faceţi clic pe imagine pentru ao mari
În panoul din dreapta, veţi vedea mai multe cutii care au fost verificate. Debifaţi următoarele ...
- Sectiuni
- IAT / Mănâncă
- Drives / Partiţie, altele decât systemdrive (de obicei în C: \)
- Arata Toate (nu pierde-o pe asta)
Apoi, faceţi clic pe butonul Scan & aşteptaţi să-l termin.
Odată terminat, faceţi clic pe [Salvare ..] buton, şi în zona de nume de fişier, tastaţi în "Gmer.txt" sau de-o ca o va salva. fişier de log
Salvaţi-l în cazul în care vă puteţi găsi cu uşurinţă o, cum ar fi desktop şi copiaţi şi inseraţi acest răspuns la următoarea

** Atenţie **
Rootkit scanează adesea produce pozitive false. Nu luaţi nici o acţiune cu privire la orice "<--- ROOKIT "intrări

Post înapoi cu rezultatele forma ambele jurnalele

**Mooseknuckle** · #3 11 iunie 2009, 08:37

Multumesc pentru raspuns .... i nu va putea, pentru a ajunge la aceasta, până mâine, dar i se va publica rezultatele odată completat

**sjb007** · #4 11 iunie 2009, 08:43

Multumesc pentru actualizare

**Mooseknuckle** · #5 17 iunie 2009, 12:05

SJB ... scuze pentru întârziere .... i va fi pe seara asta pentru a porni de reparaţii de pe acest ... i ar trebui să fie pe jurul 7pm EST de lucru pentru a obţine pe ea .... i va posta jurnalele o dată fugit .. mersi prietene ..

**Mooseknuckle** · #6 17 iunie 2009, 17:57

Am încercat să ruleze combofix şi când am rulaţi-l voi primi acest mesaj:

Ai vreo idee? Nu m-am rulat GMER pentru că aţi declarat că ar trebui să ruleze combofix 1st ..... vă rog să-mi spuneţi multumesc ....

**sjb007** · #7 17 iunie 2009, 23:48

Salut

Aş dori să confirm ceea ce simt va fi o veste proastă pentru tine. Dacă sunt corecte, atunci aceasta va însemna un format de această maşină

Vă rugăm să mergeţi la: VirusTotal

În mijlocul paginii veţi găsi o "Răsfoire"Buton.

Faceţi clic pe "Browse" şi butonul pentru a parcurge acest fişier în RED:

C: \ Windows \ system32 \winlogon.exe

Faceţi clic pe "Deschide".
Apoi, faceţi clic pe "Trimite fişier"Butonul din partea de jos a paginii VirusTotal.
Aceasta va scana fişier. Vă rugăm să aveţi răbdare.
Dacă primiţi un mesaj care spune File a fost deja analizate: faceţi clic pe Reconsidera acum fişier

Copiere şi Lipire apoi de scanare rezultate în următoarea replică.

Facă acelaşi lucru cu:

C: \ Windows \ system32 \lsass.exe
C: \ WINDOWS \explorer.exe