Kako da uklonim bacdoor.win32.rbot.bnb?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

bobby ::

Sto se tice HijackThis-a, jesi li siguran da si ga pravilno upotrebio?

HijackThis koristim vec par godina tako pa mislim da sam ga pravilno upotrebio. To je alat za ciscenje raznih gluposti koje se startaju uz internet explorer, tako da on u ovom slucaju nije od pomoci.

Evo da vidite kako izgledaju servisi:

[Link mogu videti samo ulogovani korisnici]
[Link mogu videti samo ulogovani korisnici]
a kad se starta system restore javi:
[Link mogu videti samo ulogovani korisnici]

Probao sam sa tvojim alatom ali nije popravio mrezu.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Bobby, hvala ti puno, uspela sam da povratim mrezu!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

milena1402 da li je kod tebe bio ovakav slucaj?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ja sam uspela nekako iz safe moda da startujem kasperskog ko sto sam vec rekla, i uspela da skinem virus. Doduse, restartovala sam jedno 100 puta jer nije hteo uopste da me pusti u Safe Mode. Osim problema sa mrezom i netom sve je radilo normalno. Nisam imala problema kao ti. Sorry sto nisam od neke pomoci.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

@davor.r
Ne bih se slozio sa tvojim misljenjem o jednostavnosti koriscenja HJT-a.
Da si na vreme postavio log, mozda bih uspeo da primetim neki DNS hijack, ili lokalni proxy (trojan-proxy). Ukoliko si te linije samo checkirao u HJT-u i pustio ga da obrise te linije u reg. bazi, time si samo prikrio problem, ne i resio.

Zao mi je, ali ne mogu da ti pomognem ukoliko si sam resavao stvari uz pomoc HJT-a.

btw. kada sam sada vec primetio, potpis ti je duzi od dozvoljenog. Dozvoljeni max. je 5 redova, a ti imas 6.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Evo kompletan log, znaci racunar je kod mene dosao vec zarazen i u ovakvom stanju. Ovo je log prije moje intervencije:

Logfile of HijackThis v1.99.1
Scan saved at 12:57:29, on 03.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
G:\Alati\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Link mogu videti samo ulogovani korisnici]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - [Link mogu videti samo ulogovani korisnici]\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4610E82-27B6-4965-A0EF-B38D96687C4D}: NameServer = 217.23.192.9
O23 - Service: Application Management (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Windows Audio (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Computer Browser (Browser) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Cryptographic Services (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: DHCP Client (Dhcp) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Logical Disk Manager (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: DNS Client (Dnscache) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Error Reporting Service (ERSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: COM+ Event System (EventSystem) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Fast User Switching Compatibility (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Help and Support (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Server (lanmanserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Workstation (lanmanworkstation) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: TCP/IP NetBIOS Helper (LmHosts) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Network Connections (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Network Location Awareness (NLA) (Nla) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Removable Storage (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Remote Access Auto Connection Manager (RasAuto) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Remote Access Connection Manager (RasMan) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Remote Registry (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Secondary Logon (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: System Event Notification (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Shell Hardware Detection (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: System Restore Service (srservice) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: SSDP Discovery Service (SSDPSRV) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Windows Image Acquisition (WIA) (stisvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Telephony (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Terminal Services (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Distributed Link Tracking Client (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Upload Manager (uploadmgr) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Universal Plug and Play Device Host (upnphost) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Windows Time (W32Time) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Windows Management Instrumentation (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Portable Media Serial Number (WmdmPmSp) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Windows Management Instrumentation Driver Extensions (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)


A moj potpis, hajde pogledaj mi kroz prste , jer u pet redova ne bih mogao da kazem ovu misao.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Prvo, koristis SP1, sto je totalno neopravdano kada se pogleda broj patcheva koji su izasli posle njega.

Vidim da je DNS server fiksiran na Blic.Net - probaj da ti IP DNS servera povuce preko DHCP-a jer se mozda IP promenio.

Sta ti se desilo sa fajlom svchost.exe? Jel nestao sa diska ili si nesto cackao registry? Taj fajl je krucijalan za normalno funkcionisanje Windowsa.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

bobby ::Prvo, koristis SP1, sto je totalno neopravdano kada se pogleda broj patcheva koji su izasli posle njega.


Kao prvo ja koristim SP2 (iz gore navedenog se vidi da ovo nije moj racunar). Nisam ja kriv sto ljudi nerade update win-a.
Sto se tice IP Blic provajdera on je u redu.
File svchost.exe u folderu system32 nije postojao. Onda sam sa svog racunara kopirao svchost.exe, restart i sve izgleda Ok.

Sad razmisljam, da li je virus obrisao svchost.exe ali to mi je glupo jer to virusi inace ne rade, tj ne unistavaju put za svoje sirenje.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nemojmo mesati viruse i botove, razlicite su stvari u pitanju.
Kada smo vec kod virusa (fajl-infektori), lako je moguce da je neki od njih zarazio svchost.exe, pa da je antivirus obrisao kompletan fajl jer nije mogao da ga dezinfikuje.
Ne iskljucujmo ni mogucnost ljudskog faktora (zbog pogresnih saveta, ili pogresno protumacenih saveta)

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Imao sam prilike da vidim kod ortaka pre neki dan sta radi backdoor rbot.bnb.Pronasao ga je kasperski i to u procesu svchost.exe.Nije se moglo na internet,ne moze da se instalira nijedan program,prozori su promenili boju i izgled(kao kod 98-mice),system restore-suspended,cak se pojavljivalo i neko vreme(1 minut) koje je komp odkucavao pa bi se posle toga sam ugasio.Kav u normal modu nije mogao da ga obrise.u safe modu nije radio.Drugi av-i imaju malu pocetnu bazu tako da ga ne prepoznaju bez update-a kojeg je nemoguce napraviti.Pakosna stvar taj backdoor