Win32/Bubnix.AU

Zpráva

#16 Příspěvek od **stell** » 31 srp 2010 13:20

ok, este daj log z G-MER
http://www.viry.cz/forum/viewtopic.php?f=29&t=62878

gengar · #17 Příspěvek od **gengar** » 31 srp 2010 13:37

bohužel nelze spustit, ani normalně, ani jako správce (mám windows 7)
3x se mi to restartovalo

gengar · #18 Příspěvek od **gengar** » 31 srp 2010 13:39

teď se mi to rozjelo, ale odepřelo mi to přistup do několika souboru a když jsem dal scan, tak mi to zase odpřelo přistup a nakonec napsalo že, Gmer hasn´t found any system modification (nebo něco v tomto smyslu)

#19 Příspěvek od **stell** » 31 srp 2010 13:42

(mám windows 7)

Platform: Windows XP SP3
co ze mas??

no pravdepodobne mas tam Rootkita.
treba odinstalovat Daemon a Alcohol

http://www.duplexsecure.com/en/downloads verzi dle sveho operacniho systemu. SPTD for Windows (32 bit) nebo (64b) na plochu
- spust
- zvol moznost Uninstall
- restart PC.
a terz spust G-Mer.

gengar · #20 Příspěvek od **gengar** » 31 srp 2010 13:55

bohužel musím odejít, vrátím se večer nebo zítra ráno. Děkuji vám prozatím za váš čas

#21 Příspěvek od **stell** » 31 srp 2010 13:59

ok, casu dost, ak nepojde G-mer tak zafajkni len STEALTH a spust.

gengar · #22 Příspěvek od **gengar** » 01 zář 2010 06:03

Gmer mi nejede (při spuštění se mi resetne počítač) i přesto že jsem ručně odinstaloval daemona i Alcohol. Prosím tě a co je to ten STEALTH

#23 Příspěvek od **stell** » 01 zář 2010 06:22

ok, G=Mer nema tuto zalozku.
takze sprav to takto"

Stiahnes si Rootrepeal na plochu-
odpojis sa od internetu,,
http://ad13.geekstogo.com/RootRepeal.exe
vypnut Firewall a Antivirak
spustis RootRepeal.exe>>dole klikni na Report >>> klik Scan >>>zafajknes>>vsetkych 7- moznosti,, Obrázek

Klik>>OK<<
zafajknes vsetky disky,,
klik-ok
po skonceni skanu>>klik-SAVE REPORT,,
SAVE>>RepealScan<< a uloz na plochu,a
,, log vloz sem,,

gengar · #24 Příspěvek od **gengar** » 01 zář 2010 14:02

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/09/01 14:50
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xBA3BA000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: c:\documents and settings\pc\data aplikací\skype\etilqs_vxgkvlgb59fmshtcavwh
Status: Allocation size mismatch (API: 32768, Raw: 0)

SSDT
-------------------
#: 019 Function Name: NtAssignProcessToJobObject
Status: Hooked by "<unknown>" at address 0x86548580

#: 057 Function Name: NtDebugActiveProcess
Status: Hooked by "<unknown>" at address 0x86549100

#: 068 Function Name: NtDuplicateObject
Status: Hooked by "<unknown>" at address 0x86548b30

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0x86547cc0

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0x86547fc0

#: 137 Function Name: NtProtectVirtualMemory
Status: Hooked by "<unknown>" at address 0x865489c0

#: 213 Function Name: NtSetContextThread
Status: Hooked by "<unknown>" at address 0x86548860

#: 229 Function Name: NtSetInformationThread
Status: Hooked by "<unknown>" at address 0x865486e0

#: 237 Function Name: NtSetSecurityObject
Status: Hooked by "<unknown>" at address 0x86545700

#: 253 Function Name: NtSuspendProcess
Status: Hooked by "<unknown>" at address 0x86548420

#: 254 Function Name: NtSuspendThread
Status: Hooked by "<unknown>" at address 0x865482c0

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0x86547e50

#: 258 Function Name: NtTerminateThread
Status: Hooked by "<unknown>" at address 0x86548150

#: 277 Function Name: NtWriteVirtualMemory
Status: Hooked by "<unknown>" at address 0x86548f50

==EOF==

#25 Příspěvek od **stell** » 01 zář 2010 19:40

vypnut Firewalla AV.
Download AVZ4

1:otvor a Rozbal mimo-na plochu avz4
2:Otvor vytvorenu zlozku a 2x klik AVZ.exe a spust-cierny stit z mecom
klik>> File->Custom Scriptsa skopiruj tento kod do okna:

Kód: Vybrat vše

begin
ExecuteAVUpdateEx( 'http://avz.virusinfo.info/avz_up/', 1, '','','');
ExecuteStdScr(3);
RebootWindows(true);
end.

Klikni na Spustit[run] dojde ku spusteníu skriptu,>>po skane dojde k restartu PC. Po restartu v podzlozke LOG je vytvoreny ve slozke AVZ, soubor s nazvom virusinfo_syscure.zip . Nahraj tento soubor http://leteckaposta.cz/ a vloz odkaz tu.

gengar · #26 Příspěvek od **gengar** » 02 zář 2010 08:49

http://leteckaposta.cz/661953914

#27 Příspěvek od **stell** » 02 zář 2010 10:40

ok, uz v logu AVZ , nevidim nic, ako to vyzera s pc__

gengar · #28 Příspěvek od **gengar** » 02 zář 2010 10:49

takže už je všechno ok?

#29 Příspěvek od **stell** » 02 zář 2010 11:00

no ja neviem, to ty musis vediet, ale otestuj na www.virustotal.com
systemove subory.
C:\WINDOWS\SYSTEM32\winlogon.exe
a este zopar, ktore chces,

gengar · #30 Příspěvek od **gengar** » 02 zář 2010 11:03

ok, moc vám děkuji za váš čas.

VIRY.CZ

Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU

Re: Win32/Bubnix.AU