stacjonuję na komputerze, który jest na 100% zainfekowany, przeskanowałem go raz mks’em online i wywaliło 20 wirów, chcę jeszcze użyć hijacka i spybota, ale nie jestem w stanie, bo się nie uruchamiają, zarówno w trybie normalnym jak i awaryjnym. te programy nie pojawiają się nawet w procesach w menadżerze zadań. podejrzewam, że jakiś wir blokuje te programiki. co mogę zrobić w takim wypadku?
Możesz pobrać Kaspersky Rescue Disk,na niezainfekowanym komputerze,wypal na płycie,zbotuj zainfekowaną maszynę z przygotowanego dysku i przeskanuj system.Możliwe że ktoś jeszcze coś doda,może sposób na zrobienie innych logów.Ja mogę tyle doradzić.
Dodano
Moja rada miała sens jak temat był w dziale problemy,teraz powinieneś zdać się na wiedzę specjalistów w tej dziedzinie .
niestety tego programu nie mogę z znikąd ściągnąć, bo wszędzie wyskakuje Not Found.
są jeszcze jakieś programy które umożliwią mi pozbycie się syfu i uruchomienie w/w programów??
Ale podałem ci link do tego programu,musisz pobierać na niezainfekowanym sprzęcie.Wygląda na to że infekcja blokuje pobieranie antyvirów.
Jak pisze File not to może być ciężko. Spróbuj zrobić logi z programów z tej strony (na razie bez ComboFix) i GMER
Logi wklej na wklej.to a tutaj tylko link do wklejki.
GMER:
to wykryło jako rootkit’a: Service System32\drivers\dbf9b3e.sys (*** hidden *** )
OTL:
plik OTL http://wklej.to/CSUx
extras http://wklej.to/igl8
RSIT:
Poniższe wklejasz w okienko OTL i dajesz run fix, po resecie tworzysz nowego loga z OTL.
:Processes
explorer.exe
:OTL
O4 - HKLM..\Run: [braviax] File not found
O4 - HKLM..\Run: [Cmaudio] File not found
O4 - HKLM..\Run: [msword98] C:\WINDOWS\System32\msword98.exe ()
O4 - HKU\s-1-5-21-1390067357-746137067-854245398-1003..\Run: [braviax] File not found
O4 - HKU\s-1-5-21-1390067357-746137067-854245398-1003..\Run: [cdoosoft] C:\Documents and Settings\Justyna\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKU\s-1-5-21-1390067357-746137067-854245398-1003..\Run: [msword98] C:\Documents and Settings\Justyna\msword98.exe ()
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O20 - AppInit_DLLs: (cru629.datCorporatio) - C:\WINDOWS\System32\cru629.dat ()
O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\System32\e8main1.dll ()
O32 - AutoRun File - [2009-08-30 23:24:28 | 00,000,059 | RHS- | M] () - C:\autorun.inf -- [FAT32]
O32 - AutoRun File - [2009-08-30 23:24:28 | 00,000,059 | RHS- | M] () - D:\autorun.inf -- [FAT32]
O32 - AutoRun File - [2009-08-30 23:24:28 | 00,000,059 | RHS- | M] () - E:\autorun.inf -- [FAT32]
O33 - MountPoints2\{2bac9902-e018-11d9-b5f0-806d6172696f}\Shell\autorun\command - "" = C:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()
O33 - MountPoints2\{2bac9902-e018-11d9-b5f0-806d6172696f}\Shell\open\command - "" = C:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()
O33 - MountPoints2\{2bac9903-e018-11d9-b5f0-806d6172696f}\Shell\autorun\command - "" = D:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()
O33 - MountPoints2\{2bac9903-e018-11d9-b5f0-806d6172696f}\Shell\open\command - "" = D:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()
O33 - MountPoints2\{2bac9904-e018-11d9-b5f0-806d6172696f}\Shell\autorun\command - "" = E:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()
O33 - MountPoints2\{2bac9904-e018-11d9-b5f0-806d6172696f}\Shell\open\command - "" = E:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()
O33 - MountPoints2\{97a92a00-e9e9-11db-901e-0090d0a5738a}\Shell - "" = AutoRun
O33 - MountPoints2\{97a92a01-e9e9-11db-901e-0090d0a5738a}\Shell\Auto\command - "" = RavMonE.exe e
O33 - MountPoints2\H\Shell - "" = AutoRun
:Files
C:\pkkwng.exe
C:\t8s2x.exe
C:\hx.exe
C:\m1eqos3.exe
C:\WINDOWS\System32\msword98.exe
C:\22yj2fy1.exe
C:\WINDOWS\System32\nmdfgds1.dll
C:\WINDOWS\System32\nmdfgds0.dll
C:\autorun.inf
C:\rx.exe
C:\Documents and Settings\Justyna\msword98.exe
C:\WINDOWS\System32\msword98.exe
:Commands
[emptytemp]
[start explorer]
[Reboot]
Wejdź w : Start>>>Uruchom>>> wpisz: regedit , kasujesz MountPoints2 znajduje się w kluczu: (odszukaj)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2
Darujmy sobie usuwanie tego za pomocą OTL’a bo i tak tego nie usunie. Tutaj są zmodyfikowane sterowniki systemowe + rootkit i infekcja z pendrive’a.
Zastosuj w tym wypadku ComboFix, zmień mu nazwę w momencie pobierania na losową bo może być blokowany. Jak się nie uruchomi w trybie normalnym to uruchom w trybie awaryjnym.
Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.
Logi wklej na wklej.to a tutaj tylko link do wklejki.
log z ComboFix’a:
a tu po ściągnięciu konsoli odzyskiwania:
Wklej do notatnika następujący tekst
Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix’a. Rozpocznie się usuwanie, wklej powstały log.
Wygląda na to, że brakuje jednego pliku. Pobierz go stąd i wklej do c:\windows\system32\drivers
Poza tym w logu nic już nie widać.
W OTL kliknij CleanUp.
Wyłącz na chwilę przywracanie systemu - XP/Vista
Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em.
Zaktualizuj system do stanu SP3
Malwarebytes potwierdza, że już nic nie ma.
WIELKIE DZIĘKI ZA POMOC!!