Backdoor.Agent.bxz

IP: *.ssp.dialog.net.pl 24.10.07, 11:26
skaner online mks wykrył takie cuś
C:\WINDOWS\system32\logon.exe
to niebezpieczny program (trojan) :

Backdoor.Agent.bxz
Zaleca się skasowanie pliku

Siedzi sobie w tym pliku backdoor i za bardzo nie wiem co mam zrobić; ostatnio
moje wojowanie z wirusem skończyło się brakiem neta i reinstalacją systemu:/
Da się to jakoś łagodnie usunąć?
Zbyt wiele informacji o tym backdoorze nie ma w internecie więc zamieszczam
posta tutaj.

log z hijack
wklej.org/id/5901651428
    • Gość: Kolobos Re: Backdoor.Agent.bxz IP: *.escom.net.pl 24.10.07, 12:02
      Dlaczego dales tylko log z hijackthis (do tego ze starej wersji)? Przeciez masz jasno napisane, ze masz dac jeszcze log z combofix.
      Zrob tez skan przy pomocy SuperAntiSpyware.


    • Gość: EartH Re: Backdoor.Agent.bxz IP: *.ssp.dialog.net.pl 24.10.07, 12:49
      Log z nowej wersji hijack'a
      wklej.org/id/8c7376875f
      Log z ComboFix
      wklej.org/id/1880d59dd4
      • Gość: Kolobos Re: Backdoor.Agent.bxz IP: *.escom.net.pl 24.10.07, 13:29
        Zrob skan przy pomocy SuperAntiSpyware.

        Uzyj:
        www.spywareedge.net/nolop/NoLop.exe
        Co to jest:
        C:\Documents and Settings\EartH.KULT.000\Dane aplikacji\noun blue team
        C:\Program Files\noun blue team
        ?

        Wklej do notatnika to:

        Registry::
        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Logon Application]

        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\part chin math idol]


        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bend keep]

        File::
        C:\WINDOWS\Tasks\B18B10B1951C80F9.job
        C:\WINDOWS\system32\logon.exe

        Folder::
        C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\That size part chin
        C:\DOCUME~1\EARTHK~1.000\DANEAP~1\NOUNBL~1

        Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej i podaj link.
        • Gość: EartH Re: Backdoor.Agent.bxz IP: *.ssp.dialog.net.pl 24.10.07, 13:51
          > Co to jest:
          > C:\Documents and Settings\EartH.KULT.000\Dane aplikacji\noun blue team
          > C:\Program Files\noun blue team
          Nie mam zielonego pojęcia, skasowałem te katalogi już wcześniej, kiedy zawierały
          jakieś pliki, teraz pojawiły się bez zawartości (?).

          Resztę zrobiłem tak jak doradziłeś
          Link do combofixa
          wklej.org/id/1ffa778236
          • Gość: Kolobos Re: Backdoor.Agent.bxz IP: *.escom.net.pl 24.10.07, 14:04
            Juz wszystko wyglada ok.
            • Gość: EartH Re: Backdoor.Agent.bxz IP: *.ssp.dialog.net.pl 24.10.07, 14:20
              No dobra magiku wszystko rzeczywiście wygląda dobrze a skaner niczego nie
              wykrył:D A mógłbyś powiedzieć co takiego zrobiłeś w tych kilku linijkach???
              Dzięki za pomoc!:)
            • Gość: EartH Re: Backdoor.Agent.bxz IP: *.ssp.dialog.net.pl 24.10.07, 14:31
              Aha jeszcze jedno - może to nie do tego działu ale tak przy okazji:
              Kasuję z pulpitu ikonę Internet Exprorera a ona mi się natrętnie wciąż pojawia -
              co robić?
              Co jakiś czas Firefox przestaje odpowiadać (strony się nie ładują), nie
              uruchamiają się nowe procesy (zajmują w pamięci 72K) - w zasadzie żadne (od gg
              po total commandera). Pomaga wtedy tylko wyłączenie i włączenie Outposta:/
              • Gość: Kolobos Re: Backdoor.Agent.bxz IP: *.escom.net.pl 24.10.07, 16:47
                > mógłbyś powiedzieć co takiego zrobiłeś w tych kilku linijkach???

                Dokladnie to co widac, skrypt usunal wpisy z rejestru + katalog.

                > Kasuję z pulpitu ikonę Internet Exprorera a ona mi się natrętnie
                > wciąż pojawia

                Pewnie zainstalowales jakas aktualizacje, ktora przywrocila skrot?

                > Pomaga wtedy tylko wyłączenie i włączenie Outposta:/

                Moze go odinstaluj i zainstaluj np. Kerio.
Pełna wersja