mem
(Ernestpea)
4 Wrzesień 2008 19:08
#1
witam,
mam wirusy w system volume information - wyłączałam i włączałam z powrotem przywracanie systemu.
Oprocz tego pojawia mi sie niebieski ekran - nie umiem sobie z tym poradzic…
Podaje logi - prosze o sprawdzenie i poradę co zrobic:
hijack:
http://wklejto.pl/9563
combofix:
http://wklejto.pl/9566
Raport z Kasperskiego:
http://wklejto.pl/9564
djarta
(djarta)
4 Wrzesień 2008 19:19
#2
ComboFix tak jak Kaspersky potwierdza, że masz Rootkita na MBR dysku!Najpierw się tym zajmiemy, a potem “System Volume Information”
1)Użyj >–>Dr.WEB CureIt! . (niżej na stronie linku). (daj z niego raport).
2)Daj log z > mbr.exe > http://www.searchengines.pl/index.php?s … ntry470953
Pobierz program SDFix
* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\ SDFix )
* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
* Wciśnij Y nastąpi proces usuwania.
* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished , wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
* Pokaż Report.txt znajdujący się w folderze SDFix .
4)Po tym wszystkim nowy log z ComboFixa.
=======================
K.
Leon1
(Leon$)
4 Wrzesień 2008 19:23
#3
wpis
usuń HijackThisem >> Fix checked
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
djarta
(djarta)
4 Wrzesień 2008 19:26
#4
Leon$ , to nie pomoże!
mem , idź wg moich poleceń.
=========================
K.
mem
(Ernestpea)
4 Wrzesień 2008 20:56
#6
to bylo tylko w drWb:
Master Boot Record HDD1;;BackDoor.MaosBoot;;
mbr:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xdf94815 size 0x1ab !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: “mbr.exe -f” to fix.
SDFix:
http://wklejto.pl/9576
i avenger tez zrobilam i mam to:
http://wklejto.pl/9577
combofix:
http://wklejto.pl/9578
podczas robienia tego wszystkiego wlaczyl mi sie ponownie niebieski ekran.
Leon1
(Leon$)
4 Wrzesień 2008 21:14
#7
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
lub
Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5
mem
(Ernestpea)
5 Wrzesień 2008 21:09
#8
zrobilam wszystko co podane jest powyzej.
Niestety nadal jest jakis wirus plus wlacza mi sie niebieski ekran…
A tu raport z kasperskiego:
http://wklejto.pl/9637
Leon1
(Leon$)
5 Wrzesień 2008 21:31
#9
system
(system)
5 Wrzesień 2008 21:49
#10
Nadal jest rootkit na MBR dysku!
W tym linku podanym przez djarta możemy przeczytać:
mem
(Ernestpea)
6 Wrzesień 2008 13:27
#11
zrobilam to uruchamianie z wierszem polecen. i chyba sie udalo.
Nie radze sobie do konca z tym debbugrem.
Jest tam napisane:
"Gdy otworzymy nasz program WinDbg.exe klikamy File- Symbol File Path (Ctrl+S) i w okienko wpisujemy:
SRV*c:\symbols*http://msdl.microsoft.com/download/symbols
Są to symbole które pomagaja lepiej zdiagnozować problem i ulepszja prace Debuggera.
Program wtedy pobiera z internetu niezbędne pliki i pomaga nam w ustaleniu przyczy. W przypadku uszkodzonego pliku systemowe pobiera zdrowy plik z internetu. Pliki te możemy znaleźć w folderze c:symbols."
jednak nie tworzy mi sie c:symbols i zreszta nie ogarniam tego.
Nie jestem mega-mózgiem komputerowym i nie rozumiem o co w tym chodzi.
Jest tam napisane ze mi sie pojawi tekst czerwoną czcionką- nic takiego sie nie dzieje.
A to niby ma byc problem ktory jest w moim komputerze.
Takze nie mam pojecia co dalej zrobic.
Daje jeszcze jeden raport z kasperskiego: http://wklejto.pl/9664
Leon1
(Leon$)
6 Wrzesień 2008 20:00
#12
Gdy juz zainstalowaliście program wchodzimy: Start - Programy - Debugging Tools For Windows - WinDbg.exe Otworzy nam sie okienko programu. Zobacz Foto Klikamy na File - Open Crash Dump (Ctrl+D) Teraz musimy odszukać nasz plik dumpa. Standardowo Windows XP zapisuje je sobie w %systemroot%/minidump (w moim przypadku jest to c:\windows\minidump) i tam wlasnie nalezy ich szukać. Zobacz Foto Pliki te posiadaja unikalną nazwę, na przyklad: Mini121504-01.dmp
miałeś zrobić to i ewentualnie pokazać zawartość tego pliku na forum
raport bez wirusów