Rootkit-gen [RtK]

[lordbrutus]

je zajimave, ze windowscommander ho neukaze ale v klasickem oknu ho najdu.

[JaRon]

stiahni a nainstaluj http://www.freefixer.com/download.html vo vypise najdi monnid32.exe a daj FIX
RESTART a skontroluj jeho pritomnost na disku

[lordbrutus]

ten scanning asi trva docela dlouho, ze?

[JaRon]

do 10min

[lordbrutus]

tak tam bude asi problem protoze jsem to nechal bezet asi 2h a stoji to porad u autostart shortcuts... (zkousel jsem to dvakrat a porad to zustava viset na stejne polozce)

[lordbrutus]

tak jsem zkousel i preinstalovat Freefixer preinstalovat abych ho mohl smazat ale stale se zastavi na stejne polozce. ten soubor monnid32 ma ikonu jako nejaky notepad. rekl bych, ze prave muze za to, ze po restartu nelze v OS nic delat protoze se spousti a taky za to, ze se snazi odlogovat od vseho kde se chci prihlasit (treba na vasem foru - musim se stale prihlasovat) To je teda pekne SMEJD!!!! Jak se ho jenom zbavit?

[lordbrutus]

Zkosel jsem ho smazat ale pri dotazu se zobrazilo, ze je to systemovy soubor (ackoliv se mi to nezda), tak jsem to radeji vzdal. Kazdopadne CPU je porad nad 50% vytizeni, muzete mi prosim pomoci?

[lordbrutus]

Porad premyslim a pokousim se to nevzdavat.... podarilo se mi smazat ten soubor monnid32 pomoci MBAM ale musel jsem ho pouzit v nouzovem rezimu, hlasil mi ze se jedna o infikovany soubor nejakym mallware, myslim. Nicmene potreboval bych jeste kontrolu protoze stale pretrvava problem s vytizenim CPU po dobu asi 7min po restartu PC. Predtim nez jsem ho smazal, tak CPU byl vytizen stale nad 50% ted uz ne, jen na zacatku spusteni OS.

[JaRon]

kedze sa na to budem moct pozriet az v pondelok >> docasne odinstaluj AVAST a prescanuj PC s CureIT - uplna kontrola >> nalez vloz do fora ,,, bud pocka na mna, alebo pozrie niektory kolega

[lordbrutus]

Ahoj, tak jsem celou nedeli scanoval PC. Jako prvni jsem odinstaloval AVAST a pak jsem zacal scanovat. Trvalo to asi 5h a nakonec to naslo tento trojan...
A0050168.exe C:\System Volume Information\_restore{F12BF3E6-67C2-4D61-B8E7-E1E81C4F7618}\RP469 Trojan.DownLoad.62763 Nevyléčitelný.Přesunut.

Bohuzel jsem ho smazal klasickou cestou a problem se opet opakoval. Pak jsem tedy proskanoval jeste jednou (po odistalovani a smazani par programu aby to netrvalo tak dlouho) a nasel ho opet v adresari sys.vol. inf. akorat v pozdejsim adresari -
A0056730.exe C:\System Volume Information\_restore{F12BF3E6-67C2-4D61-B8E7-E1E81C4F7618}\RP484 Trojan.DownLoad.62763 Nevyléčitelný.Přesunut.
Tentokrat jsem radeji nic nedelal. Co ted s tou haveti, prosim?
AVAST jsem jeste neistaloval a jsem pro jistotu odpojeny od netu...

[JaRon]

virusy v uvedenom adresari sa mazu >> vypnut obnovu systemu - restart - zapnut obnovu

[lordbrutus]

OK, muzu jen poprosit kde najdu tohle nastaveni? No ale ted mne napada, ze asi prijdu o vsechny predesle obnovy systemu, ze?

[lordbrutus]

Ale cureIT ho presunul do karanteny vlastne....

[JaRon]

tento pocitac - pravym tlacitkom klik - vlastnosti - obnovenie
ano prides o body obnovy, ALE je to najbezpecnejsi sposob ako sa zbavit nakazy v obnove - hrozi totiz ak by si pouzil obnovu, tak by si si obnovil naspat aj virus

[lordbrutus]

Oki , a tim se tedy smaze i karantena? Jsem ted v zamestnani a PC mam doma, takze to mohu udelat az odpoledne. Po restartu uz mohu naistalovat AVAST a dalsi programy ktere jsem byl nucen smazat?