MalWarrior 2008,Win32Rootkit przeciw mnie!


(Funkyjb) #1

:expressionless: To czego się obawiałem nadeszło. Co kilka sekund wyskakuje nowy komunikat. Nic nie mogę zrobić tylko czytam te alerty i kasuje je. Tapeta na kompie zniknęła, połowa skrótów na pulpicie też zniknęła.

Jakiś MalWarrior 2008 natarczywie przekonuje mnie, że komputer jest zaatakowany. Wyskakują okienka Security Warning, Spyware alert. WinlFixer nieproszony, ale bardzo uczynnie sam skanuje mi kompa. Skąd taka pomoc? Internet Explorer sam się uruchamia i ściąga jakiś Vipantispy, a Avast informuje mnie o wykryciu wirusów i zaleca przerwanie połączenia z netem.

Sam tego dziadostwa się nie pozbędę, nie mam szans no chyba, że dostanę pomoc.

Pozdrawiam, FunkyJB.


(huber2t) #2

Podaj log z Hijackthis

Podaj log z Combofix


(Funkyjb) #3

Swietnie, że się odezwałeś Huber2t. Sciągnąłem przed chwilą Combofix'a, bo czytając posty wiedziałem że będzie potrzebny, ale tego HijackThis'a to nie wiem skąd pobrać.


(kwasior) #4

Link do hijacka: http://dobreprogramy.pl/index.php?dz=22 ... This+2.0.2 :slight_smile:


(Funkyjb) #5

Hijacka już mam i tu jest log

http://up.wklej.org/download.php?id=c7a ... fe4a45a500

Niestety próba uruchomienia Combofix'a skończyła sie komunikatem: Error,some instalation files are corrupt. Proszę jeszcze o link do Combofix'a to go ściągnę ponownie.

Długo to wszystko trwa bo muszę cały czas walczyć z wyskakującymi okienkami i alertami. Komp jest spowolniony i chodzi tak na 3% swojej mocy.


(Leon$) #6

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 przeskanuj daj log

:slight_smile:


(huber2t) #7

fix w hijackthis

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\lpfgafmd.dll

C:\WINDOWS\vbksrofa.dll

C:\WINDOWS\mpfanvqg.dll

C:\WINDOWS\system32\ctfmona.exe

C:\WINDOWS\pvnsmfor.dll


Folder::

C:\Program Files\WinIFixer

C:\WINDOWS\privacy_danger

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Po tym daj log z Deckard's System Scanner


(Funkyjb) #8

Chłopaki, totalne załamanie. Uruchomiłem Combofix'a i dał mi taki komunikat w okienku podobnym do DOS'a 1/100 mashines failed to make trough the disinffection process !!

W czasie startu systemu po załadowaniu systemu kontrolę nad kompem przejął ComboFix i zabronił mi uruchamiać cokolwiek zanim on skończy.

Trwa to już godzinę, patrzę na niebieski ekran i tylko kursor miga w okienku DOS'a. Teraz korzystam z netu kolegi bo u mnie działa siągle ComboFix.

W dniu 16.05.2008 , o godzinie 23:22 został dopisany post przez FunkyJB

Zrobiłem w końcu log z Combo-Fix'a:

http://up.wklej.org/download.php?id=34f ... 5078560d11

a ten powtarzam z Hijacka:

http://up.wklej.org/download.php?id=2c0 ... f93a10c9d7

Huber2t, nie wiem co mam zrobić z tą informacją podaną przez Ciebie :

fix w hijackthis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5lid=2

O3 - Toolbar: pvnsmfor - {E738884B-E75D-4AC3-B03F-62F7E7DD853E} - C:\WINDOWS\pvnsmfor.dll

O4 - HKLM..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe

O4 - HKLM..\Run: [202338fa] rundll32.exe "C:\WINDOWS\system32\lpfgafmd.dll",b

O4 - HKLM..\Run: [WinIFixer] C:\Program Files\WinIFixer\WinIFixer.exe

O21 - SSODL: mpfanvqg - {F76B7B43-D283-45AF-A434-EDBD327F33F3} - C:\WINDOWS\mpfanvqg.dll

O21 - SSODL: vbksrofa - {224D4DCD-A865-467F-B88D-F4B9E6123928} - C:\WINDOWS\vbksrofa.dll

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

I co to znaczy "fix w hijackthis"

Dalszą procedurę podaną przez Ciebie wykonam w sobotę, bo dziś jestem już wykończony.

W tej chwili po przeskanowaniu kompa ComboFix'em i Hijack'iem jest już o niebo lepiej. Jak jutro dokończymy całość to myślę, że wszystko wróci do normy. :slight_smile:

Pozdrowienia, FunkyJB


(Leon$) #9

to nie jest ten log o który chodzi to jest log co usunął

ma być

Start >> wyszukaj >> ComboFix.txt

Włącz HijackThis >> Do a system scan only >> w okienku programu powstanie log >> zaznaczysz podane wpisy w krateczkach obok nich >> i klikniesz Fix checked

:slight_smile:


(Funkyjb) #10

Leon, chce się upewnić, że dobrze cię rozumiem.

Zrobiłem w HijackThis "scan only" i powstał log z około 30 plikami. Teraz zaznaczam tylko siedem plików te które podał mi Hubert wczoraj pod wpisem "fix w hijackthis" i klikam FIX CHECKED, CZY TAK?

funkyjb :frowning:

W dniu 17.05.2008 , o godzinie 10:26 został dopisany post przez FunkyJB

Podaje log z ComboFix'a teraz to będzie dobry:

http://up.wklej.org/download.php?id=263 ... e7735cdb30

Log z Hujack'a podawałem wcześniej.


(Leon$) #11

Tak

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Funkyjb) #12

Tak jak pisałeś Leon przeniosłem CFScript na ComboFix'a, a tu jest log:

http://up.wklej.org/download.php?id=fcd ... f9ffea05ca

Trochę to trwało, bo podczas skanowania komp się resetował, a to znów ten Internet Explorer się wpier***la sam bez proszenia i nie ma go jak usunąć. Ale poprawa już jest widoczna. MalWarrior przestał sie pokazywać, mam nadzieje że się nie przyczaił gdzieś za wentylkiem.


(Leon$) #13

To nie jest kompletny log

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Funkyjb) #14

Jest nowy log ComboFix'a

http://up.wklej.org/download.php?id=7a2 ... 9171ddde2f

Poprzednio podczas skanowania ComboFix'em komp mi się zresetował, a po ponownym uruchomieniu kompa ComboFix dokończył log który okazał sie niekompletny.


(Leon$) #15

usuń ten folder

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Funkyjb) #16

Zrobiłem wszystko poza optymalizacja uruchamiania. Na stronie którą mi wskazałeś są logi z Hijacka i wsakzówki jak je usunąć (pliki). Ja mam też uruchomić Hijacka, przeskanować system i usunąć wszystko co mi pokaże? Tam jest kilka opcji w Hijacku, skanowanie z zachowaniem LOGa, samo skanowanie. Nie znam tego programu, proszę o pomoc. #-o

Po co jest ten manewr z włączaniem i wył. przywracania systemu na dyskach? :slight_smile:


(Leon$) #17

Nie nie trochę namieszałeś

zrób nowy log HijackThis pokaż na forum ,a ja na jego przykładzie wytłumaczę o co chodzi i jak zrobić optymalizację uruchamiania

:slight_smile:


(Funkyjb) #18

Jest nowy log z Hijacka

http://up.wklej.org/download.php?id=054 ... 25c46992a0

Dałeś mi Leon wyraźne polecenie

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

no to ja się słucham i robię. :roll: Jest OK


(Leon$) #19

u ciebie w uruchamianiu jest

jeśli używasz GG za każdym razem to zostaw pozostałe wyłącz

włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked

i to wszystko usunięcie wpisu nie powoduje usunięcia pliku (dotyczy wpisów 04) w razie pomyłki można przywrócić w HijackThisie

:slight_smile:


(Funkyjb) #20

Zrobione!

W logu Hijacka widzę jeszcze dwa wpisy (pod 04)

  • HKUS .... usługa lokalna i usługa sieciowa. Te wpisy powinny pozostać ??

W "msconfig" pod "uruchamianiem" pozostał GG bo miał zostać, ale jest jeszcze Adobe Reader

Czy on ma tez pozostać razem z GG ? :frowning: