Log, spowoloniony komp, wind. sec. center wykrywa spyware


(Xil) #1

.Urochomilem dzisiaj kompa i wyskoczylo mi ostrzezenie z Windows Security Center o obecnosci spaware\adware. Sprawdzilem system Ad-Adware Se Personal, wykryl mi kilkanascie spyware, ktore usunal. Komp nadal chodzi bardzo wolno i caly czas wyskakuje mi info z WSC o spyware. Prosze o sprawdzenia loga

Log z HJ

Nie moge zrobic loga z SR poniewaz wyskakuje mi info ze dostep do hosta skryptow Windows jest wylaczony i za cholere nie moge go wlaczyc.


(adam9870) #2

No ładnie - mamy rootkita.

Pobierz Gmer'a.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • w zakładce CMD z zaznaczoną podopcją CMD.EXE wklej:

  • w zakładce Procesy wybierz Zabij wszystko

  • będąc jeszcze w zakładce Procesy kliknij Pliki i skasuj pliki:

_zsk_zlu_zlope04hjiql^ibfxoi`y.exe

_zsk_zlu_zlope06crgcy`ejvpg^fyuk.exe

które znajdują się w folderze c:\windows\system32

  • w zakładce CMD z zaznaczoną opcją CMD.EXE kliknij Uruchom

  • wróć do zakładki Procesy , wskaż przez ... (trzy kropki) hijacka i usuń w nim poniższe wpisy (jeśli będą)

Teraz reset i po nim proszę pokazać komplecik logów

  • HijackThis

  • SilentRunners

  • dwa logi z Gmer'a przy takich opcjach:

  • Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy.

  • Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy.


(Xil) #3

Wkleilem do CMD ale po przejsciu do procesow i kliknieciu zabij wszystkie wszystko znika, zostaje tylko okno Gmer'a ale przestaje odpowiadac i nic nie moge dalej zrobic. Czy jest jakis inny sposob na zrobienie tego ?


(adam9870) #4

Tak, powinno być - zostanie tylko okienko Gmer'a.

Cóż, czy po kliknięciu Zabij wszystko poczekałeś trochę? Bo program kończy wtedy (prawie) wszystkie procesy, które są uruchomione, a to może zająć trochę czasu (zwłaszcza gdy komp jest dość słaby).


(Xil) #5

3500 + 2GB RAMU, a chodzi jak 486, zrobie to jeszcze raz i poczekam dluzej.

Złączono Posta : 12.11.2006 (Nie) 22:30

Zrobilem wszystko tak jak pisales, oto logi:

Log z HJ:

Log z Gmer'a:


(Gutek) #6

Niestety

W Gmerze:

  • w zakładce CMD >>> CMD wklej:

i kliknij Uruchom.


(Xil) #7

Wkleilem to do CMD, wszystko zostalo zamkniete a potem pojawilo sie info o blednych parametrach i niemozliwosci usuniecia pliku. Mozna coz z tym jeszcze zrobic ?


(system) #8

Wklej nowe logi z gmera

  1. Zakładka rootkit=>szukaj (bez zaznaczania opcji pokaż wszystko)

2.Zakładka rootkit zaznaczone tylko usługi i pokaz wszystko


(Xil) #9

Log nr 2:


(Gutek) #10

Nadal jest to co wcześniej, zrób jak napisałem


(Xil) #11

Robilem to kilka razy ale za kazdym razem wyskakuja bledy:

DeleteKey: Parametr jest nieprawidlowy

DeleteService: Parametr jest nieprawidlowy

Wystapil blad w czasie kasowania pliku...

I musze zresetowac kompa


(Gutek) #12

to wrzuć i jest Ok jak dalej to tak:


(Xil) #13

Znowu to samo info ale tym razem system sam sie zrestartowal, w logu nadal mam ten sam wpis o rootkit. Nie wiem czy to sprawka rootkita ale dopiero teraz zauwazylem ze mam na dyskach mnostwo plikow *.t, pozatym zzarlo mi kilka plikow *.exe

Cos czuje ze nie obejdzie sie bez formata...


(system) #14

Wystartuj do awaryjnego masz DAEMON Tools więc przystarcie systemu po logowaniu zapyta sie czy ładowac driver sptd.sys dasz ESC aby anulowac ładowanie.

Następnie w gmerze przejdz do zakładki usługi i znajdz wpisy które są problemem do usunięcia. Daj na nie prawym myszy i wybierz usuń. Zapyta się równiez czy usunąc pliki zgódz się ale moze byc nie powodzenie w usunięciu

Nastepnie przejdz do zakładki procesy i wybierz zabij wszystko.Wróc do zakładki cmd i wklej

DEL C:\WINDOWS\system32\MZU_DRV.sys

DEL C:\WINDOWS\system32:lzx32.sys

Po tym daj uruchom , powrót do zakładki procesy i daj restart. A przy okazji zobacz czy dasz radę zrobić log z opcji 1 co ci napisałem

Po restarcie pobierz ten programik REGSERCH (zapisz element docelowy jako) i daj na szukanie pe386 i wynik wklej na forum.


(Xil) #15

RegSrch nie moge uruchomic poniewaz wyskakuje mi info ze dostep do hosta skryptow Windows jest wylaczony.

Ualo mi sie zrobic log Gmer'em: zakładka rootkit=>szukaj (bez zaznaczania opcji pokaż wszystko):

Oto log:


(system) #16

Sciagnij to narzedzie http://www.symantec.com/avcenter/noscript.exe odpalić i zmienić z disable na enable. I teraz wyszukaj tym regserch

Loga robiłes w awaryjnym w tym nic nie widac to lepiej sprawdzić rejestr.


(Xil) #17

Caly czas mam to samo, skrypty sa wlaczone, ale zadnego nie moge uruchomic.


(system) #18

http://www.programmersheaven.com/downlo ... nload.aspx

To sciągnij ten programik zaznacz wszystkie klucze (registry keys to serach) Zaznacz log Results to file i pokaż gdzie ma byc ścieżka zapisanego loga i wpisz pe386 w Value to serach for i enter. Podczas szukania jak cos znajdzie wybieraj OK . I po skonczeniu log wklej na forum

A jak znikneły te usługi rootkitów ??


(Xil) #19

RegSrch nic nie znalazl:

Rootkitow tez juz nie ma :slight_smile:


(system) #20

Ok no to dobrze :smiley:

Wklej do sprawdzenia log jeszcze z hijackthis pewno silent runners tez ci się nie uruchomi. Pokombinuj z tym narzedziem noscript może silent sie uruchomi zmieniaj pare razy z disble na enable i na odwrót

Jak nie pójdzie to daj log z gmera z zakładki autostart i zaznacz pokaż wszystko i szukaj i wklej na forum