To co mam zrobić?
W tamte okienko w GMER wklej ten tekst:
Dzięki. Zrobiłem tak. Niestety zawiesił się, kursor zniknął. Czy zrobić dalej tak jak napisał jessi czy powtórzyć to jeszcze raz? Dobra, wejdę później bo zasypiam. Dzięki za pomoc idę się wreszcie przespać.
– Dodane 16.10.2009 (Pt) 19:37 –
OK już jestem. Ale dziadowsko chodzi net.
Bez względu na to, co zrobisz, to potem daj log z GMERa (ten “usługowy”)oraz z OTL.
jessi
Najprostszym wyjściem byłoby jednak użycie ComboFix’a. Od kliku dni usuwa już tą wersję rootkita całkowicie. Jeśli rzeczywiście ComboFix odpada to podobne rezultaty daje Dr.WEB CureIt
Jeśli u siebie, ze względu na prędkość połączenia nie możesz ich pobrać, to pobierz gdzie indziej.
Witam ponownie. Najpierw Gmer usługi, po tym pierwszym zadaniu:
http://www.wklej.eu/index.php?id=b47b184428
Teraz OTL:
http://www.wklej.eu/index.php?id=0d9a100d54
Właśnie ściągnąłem DrWebCurel. Czy przeskanować kompa?
Tak.
Wykonaj pełne skanowanie.
To są raporty tylko po szybkim skanowaniu DrWebC.
Najpierw DrWebC raport (szybki scan-zaraz zrobię pełne):
http://www.wklej.eu/index.php?id=45056c037e
Teraz Gmer usługi (pierwszy raz się nie zaciął mogłem zaznaczyć pozostałe dyski-poprzedni tylko C):
http://www.wklej.eu/index.php?id=7ccea659d3
i OTL:
Wklejaj logi na wklej.org, bo na wklej.eu wychodzą takie “rozwalone”.
Dr.Web już usunął grupę tych backdoor’ów, ale przy okazji wyszło coś dziwnego…
Wykonaj jeszcze ten pełny skan, bo nie wszystkie widoczne w logach zagrożenia zostały usunięte.
Po pełnym skanie DrWeBC(chciałem go zamknąć i zapytał czy ma usunąć czy leczyć?- “nie podjąłeś żadnych działań” -więc na razie nie zamknąłem:
http://wklej.org/hash/16c3228848/
Gmer po włączeniu (Tak jak pisałem przedtem się zawieszał-Nie wiem czy wykonać pełny skan Gmer-em?):
Gmer usługi:
http://wklej.org/hash/d3c7ba86f6/
i OTL:
http://wklej.org/hash/903914e17b/
Na wklej.org. mam zaznaczć “v” prywatna wiadomość czy nie potrzeba?
A więc “Dw.Web.CureIt” tego nie potrafi dostrzec, podobnie, jak inne narzędzia.
Próbowałeś zrobić to, co napisałam w swoim poprzednim poście oraz to z Avengerem?
Tak.
Na “wklej.org” nie musisz zaznaczać"prywatne".
jessi
Otworzyłem Gmera > CMD>REGEDIT.EXE i zapytało czy na pewno chcę wprowadzić informacje do rejestru w C\Doc.a.Sityng\Win\MojDok\pobieranie\cb74.reg. do rejestru(w skrócie)> nacisnąłem OK> i otrzymałem komunikat, że został pomyślnie wprowadzony i nic się nie działo ani nie rozwijało. Pewnie coś nie tak zrobiłem
Już chyba wiem , to się robi na pierwszej stronie. Próbuję.
Co Ty kombinujesz?
Albo:
Znów Gmer >>> tym razem zakładka CMD i zaznaczyć w niej opcję REGEDIT a do górnego okna wkleić:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
Kliknąć na Uruchom. albo:
albo: Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
jessi
Strasznie długo to trwało ale co chwilę mi się resetował albo internet się “rozgrzewał”. Potem wystąpił komunikat o b. poważnym błędzie systemu i że system “powrócił”.
Usunąłem to w Gmer jak chciałeś, później w Avenger wkleiłem tamto z poprzedniego i linki"
Avenger:
Teraz Gmer pełny skan (pierwszy raz):
teraz Gmer usługi:
i OTL: http://wklej.org/id/177862/
Strasznie długo to trwało, wolniej pracuje i najpierw na biało się wszystko otwiera , po chwili jest normalnie.Ciekaw jestem jak to teraz wygląda?
– Dodane 17.10.2009 (So) 20:27 –
Teraz dopiero przeczytałem Twój nowy post. Nie denerwuj się ja jestem laikiem w tych sprawach i nie znam tych programów a chwilę potrwa zanim się skapuje o co chodzi. To co dla Ciebie jest normalne dla mnie stanowi wyzwanie. Zrobiłem tym sposobem w Gmer >uruchom >Reg>…usunąłem końcówkę. Dalej zeskanowałem po kolei.
Źle to wygląda: wprawdzie GMER już nie widzi Rootkita, ale za to OTL widzi jego pliki.
Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\gasfkylog.dat
C:\WINDOWS\System32\gasfky.dat
C:\WINDOWS\System32\gasfkywsp8.dll
C:\WINDOWS\System32\gasfkyupmvknvk.dat
C:\WINDOWS\System32\gasfkypyfwxwoq.dat
C:\WINDOWS\System32\gasfkydupogixb.dll
C:\WINDOWS\System32\gasfkywutewmrq.dll
C:\WINDOWS\system32\drivers\gasfkyduyulrmt.sys
Drivers to delete:
gasfkyxsaqojtq
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Popraw jeszcze tym:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Z GMERa, ten usługowy , też by się przydał.
jessi
Strasznie wolno załapuje internet i dalej mam problem z restartem. Na razie link z Avengera:
Teraz zrobię tą drugą część i skany. Pewnie trochę to potrwa.
– Dodane 17.10.2009 (So) 21:21 –
Na początku jak zawsze opornie OTL po usuwaniu :
OTL scan:
Gmer usługi:
Nawet zaczyna mi się podobać to zajęcie tylko kark sztywnieje.
– Dodane 17.10.2009 (So) 21:26 –
Na dysku C w Avenger znalazłem takie pliki systemowe(?) :
gasfkywutewmrq.dll
gasfkywsp8.dll
gasfkydupogixb.dll
Kiedy to się skończy - uparty ten Rootkit.
Avenger>
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\gasfkymynpgkwl.dll
C:\WINDOWS\System32\gasfkytdqfnbne.dll
Folders to delete:
C:\WINDOWS\System32\lowsec
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Popraw tym:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
To co znalazłeś w Avenger, to pewnie w jego Kwarantannie.
jessi
Jak masz dosyć to powiedz. I tak jestem pełen uznania i podziwu dla Ciebie.
Oto linki:
Avenger: http://wklej.org/id/177959/
OTL Fixxes: http://wklej.org/id/177965/
OTL scan: http://wklej.org/id/177981/
I Gmer usługi: http://wklej.org/id/177984/
No, nareszcie logi są czyste!
Mnie tu nikt na siłę nie trzyma - odchodzę, kiedy chcę.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
Powodzenia
jessi