Logi hjack, combofix i raport z kaspersky'ego-prosba o pomoc


(Ernestpea) #1

witam,

mam wirusy w system volume information - wyłączałam i włączałam z powrotem przywracanie systemu.

Oprocz tego pojawia mi sie niebieski ekran - nie umiem sobie z tym poradzic...

Podaje logi - prosze o sprawdzenie i poradę co zrobic:

hijack:

http://wklejto.pl/9563

combofix:

http://wklejto.pl/9566

Raport z Kasperskiego:

http://wklejto.pl/9564


(Kambor4) #2

ComboFix tak jak Kaspersky potwierdza, że masz Rootkita na MBR dysku!Najpierw się tym zajmiemy, a potem "System Volume Information" :wink:

1)Użyj >-->Dr.WEB CureIt!. (niżej na stronie linku). (daj z niego raport).

2)Daj log z > mbr.exe > http://www.searchengines.pl/index.php?s ... ntry470953

3) Pobierz program SDFix

* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\ SDFix )

* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)

* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat

* Wciśnij Y nastąpi proces usuwania.

* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.

* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished , wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.

* Pokaż Report.txt znajdujący się w folderze SDFix.

4)Po tym wszystkim nowy log z ComboFixa. :wink:

=======================

K.


(Leon$) #3

wpis

usuń HijackThisem >> Fix checked

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

:slight_smile:


(Kambor4) #4

Leon$ , to nie pomoże!

mem , idź wg moich poleceń. :wink:

=========================

K.


(Leon$) #5

a gdzie ty to widzisz?

:slight_smile:


(Ernestpea) #6

to bylo tylko w drWb:

Master Boot Record HDD1;;BackDoor.MaosBoot;;

mbr:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

MBR rootkit code detected !

malicious code @ sector 0xdf94815 size 0x1ab !

copy of MBR has been found in sector 62 !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

SDFix:

http://wklejto.pl/9576

i avenger tez zrobilam i mam to:

http://wklejto.pl/9577

combofix:

http://wklejto.pl/9578

podczas robienia tego wszystkiego wlaczyl mi sie ponownie niebieski ekran.


(Leon$) #7

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

lub

Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5

:slight_smile:


(Ernestpea) #8

zrobilam wszystko co podane jest powyzej.

Niestety nadal jest jakis wirus plus wlacza mi sie niebieski ekran...

A tu raport z kasperskiego:

http://wklejto.pl/9637


(Leon$) #9

usuń

Debugger Windows http://forum.purepc.pl/temat/faq/8/debugger-windows-lekarstwo-na-blue-screen-i-resety/104416/#entry1167930

:slight_smile:


(system) #10

Nadal jest rootkit na MBR dysku!

W tym linku podanym przez djarta możemy przeczytać:


(Ernestpea) #11

zrobilam to uruchamianie z wierszem polecen. i chyba sie udalo.

Nie radze sobie do konca z tym debbugrem.

Jest tam napisane:

"Gdy otworzymy nasz program WinDbg.exe klikamy File- Symbol File Path (Ctrl+S) i w okienko wpisujemy:

SRV*c:\symbols*http://msdl.microsoft.com/download/symbols

Są to symbole które pomagaja lepiej zdiagnozować problem i ulepszja prace Debuggera.

Program wtedy pobiera z internetu niezbędne pliki i pomaga nam w ustaleniu przyczy. W przypadku uszkodzonego pliku systemowe pobiera zdrowy plik z internetu. Pliki te możemy znaleźć w folderze c:symbols."

jednak nie tworzy mi sie c:symbols i zreszta nie ogarniam tego.

Nie jestem mega-mózgiem komputerowym i nie rozumiem o co w tym chodzi.

Jest tam napisane ze mi sie pojawi tekst czerwoną czcionką- nic takiego sie nie dzieje.

A to niby ma byc problem ktory jest w moim komputerze.

Takze nie mam pojecia co dalej zrobic.

Daje jeszcze jeden raport z kasperskiego: http://wklejto.pl/9664


(Leon$) #12

miałeś zrobić to i ewentualnie pokazać zawartość tego pliku na forum

:slight_smile:

raport bez wirusów