Log RootkitReveal


(system) #1

uruchomilem sobie rootkit reveal i takie cos jest:

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 2005-10-18 15:59 58 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 2005-10-21 15:44 58 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard\License* 2005-12-21 21:52 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg40 2006-03-30 13:15 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet002\Services\a347scsi\Config\jdgg41 2006-04-07 08:59 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet002\Services\d347prt\Cfg\0Jf40 2006-04-07 08:59 0 bytes Hidden from Windows API.

C:\Documents and Settings\user\Ustawienia lokalne\Temp\~DFD4A6.tmp 2006-04-07 18:15 16.00 KB Hidden from Windows API.

C:\Documents and Settings\user\Ustawienia lokalne\Temp\~DFD4C3.tmp 2006-04-07 18:15 512 bytes Hidden from Windows API.

C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\E9W7OV0N\CAGMCGES.HTM 2006-04-07 18:15 1.15 KB Hidden from Windows API.

C:\Program Files\Opera\profile\cache4\opr05KIG.html 2006-04-07 18:15 576 bytes Hidden from Windows API.

C:\Program Files\Opera\profile\cache4\opr05KIH.html 2006-04-07 18:15 576 bytes Hidden from Windows API.

C:\Program Files\Opera\profile\cache4\opr05KII.ico 2006-04-07 18:15 766 bytes Hidden from Windows API.

co mam z tym zrobic?


(Jem Mirabelki) #2

''C:\Program Files\Opera\profile\cache4\opr05KIG.html 2006-04-07 18:15 576 bytes Hidden from Windows API.

C:\Program Files\Opera\profile\cache4\opr05KIH.html 2006-04-07 18:15 576 bytes Hidden from Windows API.

C:\Program Files\Opera\profile\cache4\opr05KII.ico 2006-04-07 18:15 766 bytes Hidden from Windows API.'' na jakie strony wchodziłeś? :mrgreen:

przedewszystkim opróżnij folder (nie skasuj!) C:\Program Files\Opera\profile\cache4 tam są wszystkie zdjęcia jakie oglądałeś w przeglądarce Operze, niestety więcej ci nie moge pomóc.

W zdjęciach mogą być wirusy.

Podobno powinno sie opróżnić również folder TEMP (ale musisz sie kogoś spytać żeby potwierdził)


(Gblade) #3

Coś mi się zdaje, że masz/miałeś doczynienia z fałszywym programem PSGuard.

Otwórz notatnik i wklej w nim to:

Plik>>>zapisz jako>>>zmień rozszerze nie z .txt na wszystkie pliki>>zapisz pod nazwą FIX.REG

Przechodzisz do trybu awaryjnego i odpalasz fixa.

Wrzuć loga z SilentRunners

I zapomnij o RR,jak narazie najlepszym programem do wykrywania rootkitów jest Gmer 8)


(system) #4

skan silentrunner:

Nie wiem po co byl ten fix, ale jesli do skasowania wpisu to mission failed.

Probowalem go juz kasowac regCleanerem ale sie odnawia.

btw czemu nie moglem zwiekszyc rozdzielczosci w trybie awaryjnym na koncie admina?


(Gblade) #5

Ściągnij Gmera,

Przejdź do zakładki CMD i zaznacz regedit.exe>>wklej to:

Przejdź do zakładki procesy i wybierz opcje zabij wszystko>>>powrót do cmd- regedit.exe i klikasz uruchom/

Później po resecie kompa otwierasz gmera, przejdź do zakładki rootkit>>>szukaj>>>czekaj aż program zakończy prace>>>kopiuj>>ctrl + v i wklej do posta.

Daj nowego loga z silenta + hijackthis +gmer


(system) #6

gmer rootkit skan:


(Gblade) #7

Jeśli masz na kompie zainstlowanego PSGuard to go wykop.

Zrób skan gmerem i skasuj ten klucz powyżej z prawokliku

Poszukaj na dysku plików:

Wywal jeśli będą


(system) #8

plikow tych nie znalazlem.

Mam jeszcze pytanie: jak skasowac te pliki ukryte z pierwszego posta w temacie? kaspersky znalazl mi w ktoryms z nich malware.