Win32/Spobo.NAC | 05.06.2007 7:10:51 | |||||||||||||||||||
Zdeněk | ||||||||||||||||||||
Prosím o radu jak odstranit trojského koně Win32/Spobo.NAC. V počítači je nainstalovaný ESET Smart Security BETA 1a (ale neaktualizovaný, protože PC není možné v současnosti připojit k internetu), který za chvíli po startu zobrazí informaci, že počítač byl infikován virem Win32/Spobo.NAC trojský kůň, c:\cp1041.nls a že byl smazán a uložen do karantény. Toto se opakuje po každém startu počítače. Je možné tento vir odstranit trvale bez připojení k internetu např. nějakým jednoúčelovým antivirem apod. Děkuji za každou radu. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: Win32/Spobo.NAC | 05.06.2007 9:02:21 | |||||||||||||||||||
Jaroslav Tůma | ||||||||||||||||||||
Dobrý den, tento vir se často objevuje u infikovaného souboru ndis.sys. Použijte ComboFix: Stáhněte na plochu, ukončete všechna aktivní okna a spusťte ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe - Po spuštění se zobrazí podmínky užití, potvrďte je stiskem klávesy 1 - Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna - Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt Tento log někam na internetu uploadněte , například na http://edisk.cz/neregistrovane-nahrani a vložte na něj odkaz do této diskuze. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: Win32/Spobot.NAC | 06.06.2007 7:31:17 | |||||||||||||||||||
Zdeněk | ||||||||||||||||||||
Děkuji za návod, použil jsem ho, ale nevím jestli ComboFix měl vir odstranit nebo jen poskytnout info pro určení dalšího postupu - hlášení antiviru se opakuje stejně jako předtím. Správný název viru je Win32/Spobot.NAC (předtím jsem chybně uvedl ...Spobo... ). ComboFix ale vyřešil jiný problém, který jsem dříve nezmínil, a to že před jeho použitím byly nefunkční některé součásti firewallu integrovaného v ESET Smart Security BETA 1a (konkrétně protokoly http a POP) a nefungovalo připojení k internetu (bezdrátové) - obojí je teď OK. Vytvořený log (ComboFix.txt) je zde: http://www.edisk.cz/stahni/60518/ComboFix.txt_10.86KB.html Prosím ještě jednou o radu, co s tím dál. Děkuji. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: Win32/Spobot.NAC | 06.06.2007 14:55:09 | |||||||||||||||||||
Jaroslav Tůma | ||||||||||||||||||||
ComboFix měl soubor nahradit, bohužel z jeho logu je vidět, že se jedná o novou variantu, kterou nemá v detekci. Budeme to muset udělat ručně. 1) Smažte manuálně tyto soubory: C:\medsload.exe C:\WINDOWS\euv.exe C:\WINDOWS\im32st.dat Tuto část návodu si vytiskněte nebo uložte někam do textového dokumentu: 2) Stáhněte si soubor ndis.sys z následujícího odkazu a uložte ho na plochu - http://sweb.cz/Levlard/ndis.sys - Po stažení souboru si stáhněte program IceSword a vybalte ho - http://download.sosej.cz/programy2/Icesword_1.20.zip - Spusťte program IceSword a vlevo dole klikněte na tlačítko File - o - Dále postpuně klikejte nalevo na Local Disk (C:) -> WINDOWS -> system32 -> drivers - Po kliknutí na "drivers" se vpravo zobrazí seznam souborů, v tomto přehledu napravo najděte soubor ndis.sys - klikněte na něj pravým tlačítkem myši a zvolte force delete Tato akce smaže infikovaný systémový soubor ndis.sys, který také zaručuje připojení k internetu - je pravděpodobné, že nepůjde internet. Zavřete IceSword. - Poslední co zbývá, je vrátit se k dříve staženému čistému souboru ndis.sys - klikněte na něj pravým tlačítkem myši a zvolte Kopírovat. - Dále na ploše klikněte myší na Tento počítač, dále váš disk C: a jděte do této složky - C:\WINDOWS\system32\drivers - Až tam budete, klikněte kdekoli mezi soubory a zvolte Vložit Tato akce navrátí originální čistý soubor ndis.sys do původního umístění. Restartujte počítač. Napište výsledky, pokud si nebudete čímkoli jistý, ptejte se. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: Win32/Spobot.NAC | 07.06.2007 6:32:25 | |||||||||||||||||||
Zdeněk | ||||||||||||||||||||
Problém vyřešen. To ruční odstranění viru jste popsal tak perfektně a srozumitelně, že i já jako jen mírně pokročilý laik jsem byl schopný toho vira zabít. Pro jistotu jsem ještě odstranil všechny předchozí body obnovení, aby se ta potvora nevrátila oknem zpátky. Velice děkuji. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||