Hijack i spybot nie uruchamiają się


(Spamoskrzynia) #1

stacjonuję na komputerze, który jest na 100% zainfekowany, przeskanowałem go raz mks'em online i wywaliło 20 wirów, chcę jeszcze użyć hijacka i spybota, ale nie jestem w stanie, bo się nie uruchamiają, zarówno w trybie normalnym jak i awaryjnym. te programy nie pojawiają się nawet w procesach w menadżerze zadań. podejrzewam, że jakiś wir blokuje te programiki. co mogę zrobić w takim wypadku?


(Semtex) #2

Możesz pobrać Kaspersky Rescue Disk,na niezainfekowanym komputerze,wypal na płycie,zbotuj zainfekowaną maszynę z przygotowanego dysku i przeskanuj system.Możliwe że ktoś jeszcze coś doda,może sposób na zrobienie innych logów.Ja mogę tyle doradzić.

Dodano

Moja rada miała sens jak temat był w dziale problemy,teraz powinieneś zdać się na wiedzę specjalistów w tej dziedzinie :slight_smile: .


(Spamoskrzynia) #3

niestety tego programu nie mogę z znikąd ściągnąć, bo wszędzie wyskakuje Not Found. :confused:

są jeszcze jakieś programy które umożliwią mi pozbycie się syfu i uruchomienie w/w programów??


(Semtex) #4

Ale podałem ci link do tego programu,musisz pobierać na niezainfekowanym sprzęcie.Wygląda na to że infekcja blokuje pobieranie antyvirów.


(Henio Mazurek) #5

Jak pisze File not to może być ciężko. Spróbuj zrobić logi z programów z tej strony (na razie bez ComboFix) i GMER

Logi wklej na wklej.to a tutaj tylko link do wklejki.


(Spamoskrzynia) #6

GMER:

http://wklej.to/VsEn

to wykryło jako rootkit'a: Service System32\drivers\dbf9b3e.sys (*** hidden *** )

OTL:

plik OTL http://wklej.to/CSUx

extras http://wklej.to/igl8

RSIT:

http://wklej.to/xgHq


(Umpfh) #7

Poniższe wklejasz w okienko OTL i dajesz run fix, po resecie tworzysz nowego loga z OTL.

:Processes

explorer.exe


:OTL

O4 - HKLM..\Run: [braviax] File not found

O4 - HKLM..\Run: [Cmaudio] File not found

O4 - HKLM..\Run: [msword98] C:\WINDOWS\System32\msword98.exe ()

O4 - HKU\s-1-5-21-1390067357-746137067-854245398-1003..\Run: [braviax] File not found

O4 - HKU\s-1-5-21-1390067357-746137067-854245398-1003..\Run: [cdoosoft] C:\Documents and Settings\Justyna\Ustawienia lokalne\Temp\herss.exe ()

O4 - HKU\s-1-5-21-1390067357-746137067-854245398-1003..\Run: [msword98] C:\Documents and Settings\Justyna\msword98.exe ()

O18 - Protocol\Handler\ipp - No CLSID value found

O18 - Protocol\Handler\msdaipp - No CLSID value found

O20 - AppInit_DLLs: (cru629.datCorporatio) - C:\WINDOWS\System32\cru629.dat ()

O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\System32\e8main1.dll ()

O32 - AutoRun File - [2009-08-30 23:24:28 | 00,000,059 | RHS- | M] () - C:\autorun.inf -- [FAT32]

O32 - AutoRun File - [2009-08-30 23:24:28 | 00,000,059 | RHS- | M] () - D:\autorun.inf -- [FAT32]

O32 - AutoRun File - [2009-08-30 23:24:28 | 00,000,059 | RHS- | M] () - E:\autorun.inf -- [FAT32]

O33 - MountPoints2\{2bac9902-e018-11d9-b5f0-806d6172696f}\Shell\autorun\command - "" = C:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()

O33 - MountPoints2\{2bac9902-e018-11d9-b5f0-806d6172696f}\Shell\open\command - "" = C:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()

O33 - MountPoints2\{2bac9903-e018-11d9-b5f0-806d6172696f}\Shell\autorun\command - "" = D:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()

O33 - MountPoints2\{2bac9903-e018-11d9-b5f0-806d6172696f}\Shell\open\command - "" = D:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()

O33 - MountPoints2\{2bac9904-e018-11d9-b5f0-806d6172696f}\Shell\autorun\command - "" = E:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()

O33 - MountPoints2\{2bac9904-e018-11d9-b5f0-806d6172696f}\Shell\open\command - "" = E:\pkkwng.exe -- [2009-08-30 21:09:00 | 00,112,679 | RHS- | M] ()

O33 - MountPoints2\{97a92a00-e9e9-11db-901e-0090d0a5738a}\Shell - "" = AutoRun

O33 - MountPoints2\{97a92a01-e9e9-11db-901e-0090d0a5738a}\Shell\Auto\command - "" = RavMonE.exe e

O33 - MountPoints2\H\Shell - "" = AutoRun


:Files

C:\pkkwng.exe

C:\t8s2x.exe

C:\hx.exe

C:\m1eqos3.exe

C:\WINDOWS\System32\msword98.exe

C:\22yj2fy1.exe

C:\WINDOWS\System32\nmdfgds1.dll

C:\WINDOWS\System32\nmdfgds0.dll

C:\autorun.inf

C:\rx.exe

C:\Documents and Settings\Justyna\msword98.exe

C:\WINDOWS\System32\msword98.exe


:Commands

[emptytemp]

[start explorer]

[Reboot]

Wejdź w : Start>>>Uruchom>>> wpisz: regedit , kasujesz MountPoints2 znajduje się w kluczu: (odszukaj)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2


(Henio Mazurek) #8

Darujmy sobie usuwanie tego za pomocą OTL'a bo i tak tego nie usunie. Tutaj są zmodyfikowane sterowniki systemowe + rootkit i infekcja z pendrive'a.

Zastosuj w tym wypadku ComboFix, zmień mu nazwę w momencie pobierania na losową bo może być blokowany. Jak się nie uruchomi w trybie normalnym to uruchom w trybie awaryjnym.

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.

Logi wklej na wklej.to a tutaj tylko link do wklejki.


(Spamoskrzynia) #9

log z ComboFix'a:

http://wklej.to/S0BF

a tu po ściągnięciu konsoli odzyskiwania:

http://wklej.to/13Xc


(Henio Mazurek) #10

Wklej do notatnika następujący tekst

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix'a. Rozpocznie się usuwanie, wklej powstały log.


(Spamoskrzynia) #11

rezultat po wszystkim:

http://wklej.to/GMzl


(Henio Mazurek) #12

Pobierz SystemLook i wklej do niego

Klikasz Look i pokaż log który powstał.


(Spamoskrzynia) #13

http://wklej.to/ONTl


(Henio Mazurek) #14

Wygląda na to, że brakuje jednego pliku. Pobierz go stąd i wklej do c:\windows\system32\drivers

Poza tym w logu nic już nie widać.

W OTL kliknij CleanUp.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner'em.

Zaktualizuj system do stanu SP3


(Spamoskrzynia) #15

Malwarebytes Anti-Malware

http://wklej.to/rUUi

zostało jeszcze zaktualizowanie do sp3!!


(Henio Mazurek) #16

Malwarebytes potwierdza, że już nic nie ma.


(Spamoskrzynia) #17

WIELKIE DZIĘKI ZA POMOC!!