Alert Zabezpieczenie systemu Problem! + znalezienia Viursa!

Dla specjalistów Bezpieczeństwo
#21

Oto log z Avangera :

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\mywajfsu


*******************


Script file located at: \??\C:\Documents and Settings\kosmudct.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:




Registry key \Registry\Machine\System\CurrentControlSet\Services\aspnet not found!

Unload of driver aspnet failed!


Could not process line:

aspnet

Status: 0xc0000034


File C:\WINDOWS\system32\avpo.exe deleted successfully.

File C:\ntde1ect.com deleted successfully.

File C:\WINDOWS\system32\avpo2.dll deleted successfully.

File C:\WINDOWS\system32\avpo1.dll deleted successfully.



Error: C:\WINDOWS\windows\tosclldlw is not a folder! It may instead be a file.

Deletion of folder C:\WINDOWS\windows\tosclldlw failed!


Could not process line:

C:\WINDOWS\windows\tosclldlw

Status: 0xc0000103



Completed script processing.


*******************


Finished! Terminate.

Oto Log z DSS :

DSS (Main)

http://wklej.org/id/70dcedc8f1

I coś nietak??

#22

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Do The Avenger wklej

Użyj Trend Micro - http://pl.trendmicro-europe.com/consume … launch.php

#23

Oto log :

DSS (main)

http://wklej.org/id/7ce2279513

Złączono Posta : 29.08.2007 (Sro) 1:37

i co?

Złączono Posta : 29.08.2007 (Sro) 1:37

i co?

#24

Tego nie zrobiłeś co napisałem o wklejeniu do The Avenger pliku?

#25

Już zoribłem w avangeru co dalej??

to jest log :

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\mywajfsu


*******************


Script file located at: \??\C:\Documents and Settings\kosmudct.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:




Registry key \Registry\Machine\System\CurrentControlSet\Services\aspnet not found!

Unload of driver aspnet failed!


Could not process line:

aspnet

Status: 0xc0000034


File C:\WINDOWS\system32\avpo.exe deleted successfully.

File C:\ntde1ect.com deleted successfully.

File C:\WINDOWS\system32\avpo2.dll deleted successfully.

File C:\WINDOWS\system32\avpo1.dll deleted successfully.



Error: C:\WINDOWS\windows\tosclldlw is not a folder! It may instead be a file.

Deletion of folder C:\WINDOWS\windows\tosclldlw failed!


Could not process line:

C:\WINDOWS\windows\tosclldlw

Status: 0xc0000103



Completed script processing.


*******************


Finished! Terminate.

Lub ten :

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\ocaceaxd


*******************


Script file located at: \??\C:\tkscissj.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


File C:\ntde1ect.com deleted successfully.

File C:\WINDOWS\system32\avpo0.dll deleted successfully.

File C:\WINDOWS\system32\avpo1.dll deleted successfully.

File C:\WINDOWS\system32\avpo2.dll deleted successfully.

File C:\WINDOWS\system32\avpo.exe deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

Już niewiem który bo niepokazał się log po restarcie… Kurcze! kiedy chce wejśc w dysk C:\ Pisze “Otwórz poprzez” !!

#26

Wg mnie, to żaden z tych raportów nie jest tym ostatnim, bo nie zgadzają się obiekty do usuwania.

Spróbuj jeszcze raz Avengera i potem daj z niego raport oraz nowy log z DSS

jessi

#27

Oto raport z Avangera :

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\hsfinyrt


*******************


Script file located at: \??\C:\ktdqhahc.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


File C:\WINDOWS\system32\avpo0.dll deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

DSS Main (log)

http://wklej.org/id/929e9bc4a9

#28

Avenger usuwa, a to dalej jest, nic się nie zmienia. :frowning:

>>GMER>>>zakładka CMD>>zaznacz: REGEDIT>>w górne czarne pole wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avpa"=-

Kliknij “Uruchom” z prawej i potwierdź.

Potem znów >>GMER>>>zakładka CMD>>tym razem zaznacz: CMD>>w górne czarne pole wklej:

Kliknij “Uruchom” z prawej. Komputer powinien się samoczynnie wyłączyć i włączyć.

Daj nowy log.

jessi

#29

nie wiedze Zakąłdki CMD :confused:

Wiem że to konsola… Wchodze GMERA i co dalej?

Złączono Posta : 29.08.2007 (Sro) 18:34

Ok zoribłem. Podczas druggo. Kiedy dusze uruchom. Wyskauje błąd :

fgnbu0.png

Złączono Posta : 29.08.2007 (Sro) 18:39

Ok już zrobiłem to co mówiłaś. Loga niemam i Screena z błędu.

Wtedy miałem inną zakładke. Zroile CMD.exe… I wpisłałem to… I wychodzi błąd że niemożna znaleśc albo usunąć pliku avp0.exe … :confused:

i dusze ok i komputer się restaruje.

#30

Nowy log z DSS

#31

Prosze :

DSS log (main)

http://wklej.org/id/73476048b1

#32

No to wraca

A zobaczymy najpierw tak

Wejdz w gmera w zakładke USTAWIENIA . i ustaw tak jak jest na screenie

b2edceeb34fa07c7m.jpg

Następnie OK i nastąpi restart systemu . Po restarcie poczekaj dobrze aż się system uruchomi i przejdz do C:\Windows i znajdz plik tekstowy Gmer.log i wklej wynik na forum

I daj nowy log z Gmera usługi

Rootkit = zaznaczone tylko Pokazuj wszystko + Usługi = Szukaj = Kopiuj = Ctrl + V do posta wklej

#33

Prosze oto log :

gmes.log :

http://wklej.org/id/20cb577466

#34

No właśnie podpina się pod procesy dlatego nie chce zejść

Zrób tak

Wejdz w program gmer w zakładke procesy wybierz funkcje ZABIJ WSZYSTKO

Następnie w zakładce procesy wybierz funkcje PLIKI i wyszukuj tych plików na czerwono po sciezce

C:\WINDOWS\system32** avpo0.dll**

C:** ntde1ect.com**

C:\WINDOWS\system32** avpo.exe**

Kazdy z osobna zaznaczasz i po prawo dajesz opcje usuń

Zakładka procesy i restart i nowy log z DSS

Jeśli funkcja zabij wszystko nie zadziała komp sie zrestartuje lub zawiesi wybierz opcje AWARYJNY , system się zrestaruje i musisz te pliki zapisać sobie , bo do forum nie będziesz miał dostępu

#35

lol… To zabije wszystkie procesy. Jak dusze “Zabij wszystko”… Mam zrobić?

#36

Skopiuj co napisał wiewia i to wykonaj

#37

Ale co mam skopjować.

#38

zapisz i wykonaj polecenie

#39

Ale to bezpieczne?

#40

Syf podczepił ci się pod procesy inaczej tego nie usuniesz musisz je zamknąć.

Funkcja ta zabija wszystkie procesy zostają dwa procesy CRSS.exe i gmera , jak usuniesz i zrobisz restart wszystko wróci do normy , nic się z kompem nie stanie to jest tylko zamknięcie procesów