Chyba dość złożony problem, chyba związany z rootkitami


(Misiek Lim) #1

Posiadam WinXP Professional i mam taki oto problem:

Wszedłem na jakąś stronkę i po chwili wyskoczyła mi masa błędów z aplikacją (aplikacja zostanie zamknięta) v3games.exe (nie mam pojęcia skąd to się wzięło, ale od tego zaczeły sie problemy i nie jestem na 100% pewny czy tak to się nazywało).

Następnie w trayu pojaiwla się ikonka "your computer are infected" i tapeta zmieniła się na czarną z tekstem mówiącym o infekcji.

Włączyłem więc CyberDefendera, aby przeskanował system, lecz nie zrobił tego do konca, pnoieważ po pewnym czasie komputer zrestartował się i pojawiło się okienko z wyborem użytkownika, gdy kliknąłem na swoją anzwę użytkownika zalogowało mnie, lecz dalej była ta tapeta i informacja o infekcji.

BitDefender miał wszystko wyodznaczane i w ogóle, po restarcie jednak BitDefender zaczął normalnie działać za wyjątkiem jendego problemu - użyłem do do przeskanowania, lecz zawsze zatrzymywał się na 41% w rejestrze Hkey(...)D:\Windows\EXPLORER.exe (niestety nie pamietam jak to było dokładnie, winde mam na D zianstalwoaną).

Okazał się też, że nie mogę wejść do menadżera zadań, pnoieważ dostęp został zablokowany przez administratora (na kompie był jeden użytkownik, ja, i w panelu sterowania miałem rangę "administrator"), zrobiłęm więc reseta i dałem na tryb awaryjny z obsługą sieci, przy okienku wyboru użytkownika okazało się, że jest jeszcze konto "Administrator", więc wybrałem je i potem wszedłem w Panel Sterowania>Konta użytkowników i okazało się, że rzeczywiście są te dwa konta (ja i administrator), obydwa mające rangę "administrator".

Potem przeskanowałem dysk Ad-Aware, wykrył trochę tego i usunął, lecz problemy nie ustąpiły.

Potem włączyłem gmera, wykrył natychmiast, ze na moim kompie siedzi rootkit, przeskanowałem cały system, looknąłem na to co na czerwono i wpisałem nazwę czerwonego pliku w google, znalazłem kilka komend z info o tym, aby przez gmera to usunąć i zrobiłem to, lecz z 4 komend 2 wykonane zostały nie prawidłowo, następnie nastąpił reste kompa, a ja nie włączyłem ponownie trybu awaryjnego, jedyną zmianą było to, że czarna tapeta się nie pojawiła, lecz przed ukazaniem się wszystkich ikonek i pasku startu była moja tapeta, następnie po pojawieniu się ikonek, paska startu itd. tapeta znikła i została zwykła, standardowa (u mnie pomarańczowa), do menadżera zadań nadal nie moglem wejść.

Wyłączyłem i włączyłem kompa jeszcze raz w trybie awaryjnym i włączyłem menadżera zadań (na awaryjnym się dało, bo przez to nowe konto administratora to robiłem) i zobaczyłem, że jest proces IEXPLORE.exe, że nie miałem włączonego IE to wyłączyłem proces, a on pojawił się ponownie i tak za każdym razem...

Jak włącze czasem w trybie zwykłym to BitDefender ciągle coś znajduje i blokuje (głównie trojany i jakieś boty), ale skanowania i tak nie mogę zrobić pełnego :confused:

Opisałem chyba dokłądnie co robiłem to teraz w skrócie opisze co jest nie tak:

  1. Jak loguje się normalnie to nie ma konta "Administrator", jest tylko moje konto zwykłe i nie mam wtedy dostępu do menadżera zadań.

  2. Po wejściu w tryb awaryjny pojawia się to konto i jak je wybiorę widzę, że moje knoto i konto administrator ma rangę administratora.

  3. Nie mogę wyłączyć procesu IEXPLORE.exe, ciągle pojawia się na nowo

  4. Po wszystkich czynnościach jakie wykonałem gmer nie znajduje za pomocą rootkita nic podejrzanego, ale ciągle coś jest nie tak...

  5. Komputer nie bedąc w trybie awaryjnym strasznie się tnie, nawet menu start otwiera się z minute, a normalnie było to w przeciagu 2s..., blokuje się wszystko

  6. Zależy mi na tym, aby nie musieć robić kroku ostatecznego :wink: A bawię się z tym 6h szukając informacji na wielu forach i nic :confused:


(Marcus35) #2

Wklej logi z HJT i SR Tu jest instrukcja jak to zrobić


(Misiek Lim) #3

Log z hijackthis:

Z SR nie moglem zroibć ponieważ wyskoczyło:


(Gutek) #4

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz l1

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Skanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:


(Misiek Lim) #5

Nie znalazłem testtestt.exe, winsys2f.dll, ll1.exe, a ineta skasowałem już wcześniej.

New log:


(adam9870) #6

Nie trzymaj hijcka w TEMPie bądź innym katalogu tymczasowym. Umieść go np. na pulpicie.

Start => uruchom => cmd => w konsoli, która się otworzy wpisz:

sc stop "l1"

sc delete "l1"

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

D:\WINDOWS\System32\testtestt.exe

D:\WINDOWS\System32\inet.exe

D:\Documents and Settings\All Users\Dokumenty\Settings\winsys2f.dll

D:\WINDOWS\system32\ll1.exe

Klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).

Usuń w hjt.

Co do problemu z Silentem - Użyj narzędzia noscript i zmień z disable na enable.


(Misiek Lim) #7

D:\Documents and Settings\All Users\Dokumenty\Settings\winsys2f.dll

D:\WINDOWS\system32\ll1.exe

Te usunięte

D:\WINDOWS\System32\testtestt.exe

D:\WINDOWS\System32\inet.exe

Te nie znalezione...

W noscript do wyboru mam tylko disable i cancel, a dalej nie mogę użyć SR.


(adam9870) #8

W takim razie kliknij disable - popróbuj z różnymi ustawieniami tak, aby chodziło.


(Misiek Lim) #9

W porpzednim poście loga zapomniałem :oops:

Jak włączyłem SR to wyskoczyło mi pytanie za pomocą czego go uruchomić... a nie bardzo wiem, bo ma rozszerzenie vbs (jak się domyślać visualbasic).


(adam9870) #10

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

D:\WINDOWS\System32\inet.exe

D:\WINDOWS\System32\taskdir.exe

Klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).

W trybie awaryjnym start => uruchom => cmd => wpisz:

RD /S /Q "C:\Documents and Settings\Misiek\Ustawienia lokalne\Temp"

Wpisy usuń w hjt.

Co do Silenta - zobacz TUTAJ.


(Misiek Lim) #11

To musze robić w trybie awaryjnym??

This file does not seem to exist i jeden i drugi.


(adam9870) #12

Najlepiej tak ale jeśli nie chcesz to użyj programu ATF Cleaner i nim przeczyść TEMP'a.

Plików może po prostu już nie ma, a tylko resztki w rejestrze więc spróbuj usunąć wpisy od nich w hjt i pokaż komplet logów.


(Misiek Lim) #13

New log:

Co do tego windows worms(...) to w nim tylko pierwsza pozycja była na zielono, a pozostałe 3 na żółto.


(Gutek) #14

Już jest Ok


(Misiek Lim) #15

Ale dalej mam problem z menadżerem zadań i jak ładuje się windows to nie mgoę wybrać innego usera, a wiem, że jest dwóch, bo wirus stworzył drugiego i on nadal tkwi. W tej chwili jest Administrator, Misiek i wyłaczone konto gościa.


(Gutek) #16

Otwórz notatnik i wklej:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą TASKMG.REG

Plik podwójnie klikasz i potwierdzasz.


(Misiek Lim) #17

No to gratki i podziękowania dla Was za usunięcie wirusa na odległość :wink:

Dzięki wielkie :!: