Witam.
Jak w temacie NIS wykrył ale nie usunął, bo jak widać w logu z combofix
podczepia się pod uruchomione procesy jako bibilioteka o przedziwnej nazwie,
a we wskazanym katalogu jej nie znalazłem.
Pomóżcie mi się pozbyć tego robala :D.
log z combofixa >>>> log.txt
Wklej do notatnika
Zapisz jako CFScript.txt. Przeciągasz na ikonę ComboFix’a. Wklejasz powstały log.
Dorzuć też log z gmer.
ComboFix nie kilną tego (no chyba , że coś źle zrobiłem).
Gmer pokazał że mam rootkita, ale nie znam Gmera i nie wiem co dalej.
log ComboFix >>> ComboFix.log
log Gmer>>>Gmer.log
Dzięki za pomoc 
Prawdę mówiąc to z czymś takim się jeszcze nie spotkałem.
Nie widać lokalizacji tego pliku. Z loga wynika tylko, że jest ładowany przed systemem.
Wpisz w wyszukaj
I napisz gdzie to zostało znalezione.
No właśnie o to chodzi, że nawet z zaawansowanymi opcjami nie znajduje tego pliku w żadnej lokalizacji.
Przeszukałem cały dysk i nic.
A może to wina NIS2009, może tego robala, gdzieś zbunkrował, robal działa a system właśnie dlatego znaleźć go nie może.
– Dodane 14.07.2009 (Wt) 16:12 –
A to jest zrzut tego jak to zgłasza NIS2009 >>> Packed.Generic.238
Ciekawe jet to, że zgłasza pmięć podręczną przeglądarki.
A może rootek sobie utknął w sektorze rozruchowym.
Ciekawe akurat wczoraj czytałem o czymś podobnym, chodzi o wirtualizację plików jako zabezpieczenie nakładane przez przeglądarkę, tutaj do poczytania
http://blogs.technet.com/markrussinovic … 74194.aspx
Bo to wygląda podobnie.
Z jakiej przeglądarki korzystasz?
Użyj ATF - wszystko do zaznaczenia i opróżnienia
http://cybertrash.pl/images/tata/ATF/ATF.html
Potem wykonaj dokładny skan Dr.WEB CureIt - lecz\usuń jak coś znajdzie i wklej log
http://dobreprogramy.pl/index.php?dz=2& … WEB+CureIt!
Teraz to prawdę mówiąc mam wątpliwości czy to jest szkodliwy program.
Czy ogólnie są jakieś problemy z komputerem?
Korzystam z przeglądarki IE8, wnida XP Home SP3.
System jest świeżutki tydzień od postawienia i nie wykazywał żadnych wcześniejszych dziwnych zachowań.
NIS2009 próbowałem odinstalować, ale nawet removal toolem nie idzie (komputer mieli mieli i nic).
Przepraszam, że tak późno ale wczoraj musiałem wyjści z robotki troszkę wcześniej niż zwykle.
Jestem w trakcie wykonywanie sulucji odezwe się po wykonaniu zadania.
No i teraz to zaczyna się bajka jak z westernu
NIS2009 sobie chodzi (i jest na zielono) a tu zonk >>> Zapora systemu zgłasza problem.
Reszta problemu narazie bez zmian.
WebCruelt nie startuje >>> tzn. odpalam go i system go zamyka zgłaszając do wysłania raport (krytyczne zamykanie aplikacji)
Nie kazałem żebyś odinstalował Nortona.
Jak przeskanujesz Dr.WEB to wklej jeszcze log z mbr.exe (na stronie gmera).
Z gmer ten log to się wyświetlił zaraz po uruchomieniu? Jeśli tak to teraz kliknij szukaj (ma być wszystko zaznaczone do skanu, tzn usługi, procesy itp, jeśli o dyski chodzi to nie przestawiaj, ma być tylko C).
Poza tym w gmer w zakładce procesy podświetl jakiś i w dolnym okienku sprawdź czy coś nie jest na czerwono, jeśli będzie to wynotuj. To samo zrób dla innych zakładek.
NIS2009 próbowałem odinstalowywać zanim zacząłem ten wątek (myślę, że to ważna informacja).
Poprostu trzymałem się wskazówek jakie znalazłem na stronie Nortona (myślałem, że jest uwalony i potrzebuje naprawy >>> niestety bez powodzenia).
Dr. Web nie startuje jak wczesniej w edytowanym poście napisałem.
– Dodane 15.07.2009 (Śr) 7:31 –
Taki mi błąd wywala po odpaleniu Dr. WEB >>> błąd
No to zrób z gmer i mbr.exe jak chciałem.
Jak Dr.WEB nie działa to spróbuj przeskanować system Kaspersky’m on-line
http://www.kaspersky.pl/virusscanner.html
Wklej log.
Z Gmer zrobiłem ssy, bo nie wiem czy o to chodziło, jak coś źle to się poprawi.
Gmer procesy >> w każdym procesie zaznaczonym na czerwono
w dolnym okienku też pokazuje bibliotekę na czerwono
(zawsze taki sam wpis, czyli >> “\?\globalroot\systemroot\system32\geyekjithwimu.dll”)
robie teraz MBR
– Dodane 15.07.2009 (Śr) 8:02 –
log z MBR >>> mbr.log
Wygląda na to, że ta biblioteka podczepia się pod wszystkie exe oprócz dwóch plików systemowych.
Wejdź w tryb awaryjny i tam odpal Cr.WEB Cure It. Pobierz też Malwarebytes Anti-Malware, zainstaluj i uruchom go w awaryjnym, usuń co znajdzie i pokaż log.
Wynik skanowania Kacprem >>> Kaspersky.log
– Dodane 15.07.2009 (Śr) 14:02 –
Robię teraz resztę poleceń
– Dodane 15.07.2009 (Śr) 15:06 –
Malwarebytes >>> log skanowania w trybie awaryjnym Malwarebytes.log
Malwarebytes >>> log skanowania w trybie normalnym Malwarebytes_normal.log
Dr. Web nie zaskoczył w awaryjnym (to samo co poprzednio).
Martwi mnie dopisek w Malwarebytes (Trojan.TDSS)-> No acition taken. 
– Dodane 15.07.2009 (Śr) 15:15 –
Zaciągam Dr. Web Life CD…
No to przynajmniej wiadomo co to jest.
Trzeba było usunąć to co znalazł Malwarebytes. Przeskanuj jeszcze raz i usuń jak coś znajdzie.
Zobaczymy czy Avenger coś da skoro masz go już na dysku. Wklej do niego
Klikasz Execute.
Pobierz od nowa ComboFix, już w momencie pobierania zmień nazwę na losową i uruchom. Wklej log.
Jeśli i to zawiedzie to trzeba będzie robić skan przez płytę ratunkową.
Usunąłem to co było … ale po drugim skanowaniu znowu były 2 wpisy, których nie wywyliło.
Mam drugi komputer na który zassałem juz Dr. Web Life CD.
Spróbuję najpierw wykonać podane przez Ciebie instrukcje.
– Dodane 16.07.2009 (Cz) 10:16 –
Witam
Wracamy do tematu (przepraszam, ale muszę robić to z doskoku >> wyjady służbowe :D).
Po wykonaniu podanych przez Ciebie instrukcji niestety stan jest bez zmian i logi są podobne do wcześniejszych.
Od ranka zapodalem Dr. Web Life CD i o dziwo wykrył geyekjithwimu.dll w katalogu c:/windows/system32 i nawet to usunął.
Po restarcie przez pewien czas było czysto i Malwarebytes Anti-Malware nie wykazywał robala.
Więc zrobiłem czyszczenie CCleanerem i ATF przejrzałem logi Hijackiem.
Ale po odpaleniu ponownym Malwarebytes Anti-Malware znowu wykył to badziewo (po ok 3-4 minut od ostatniego czystego skanowania).
i co dalej? … proszę o pomoc…
On tego w ogóle nie pokaże. To jest rootkit i to ciężki w usunięciu. Wcześniejsze jego wersje ComboFix usuwa automatycznie. Skoro wrócił to gdzieś jest źródło zakażenia którego nie usunął Dr.WEB. Wyłącz na czas operacji przywracanie systemu.
Wejdź do rejestru => szukaj => wpisz geyekrjithwimu , napisz dokładnie gdzie to zostało znalezione.
Zrób jeszcze raz ten skan z Dr.WEB Live CD, potem pobierz ComboFix i w momencie pobierania zmień nazwę na losową a rozszerzenie na .com. Potem wklej do notatnika (dorzucę jeszcze driver, choć nie wiem czy potrzebnie)
Zapisujesz jako CFScript.txt. Przeciągasz na ComboFix i wklejasz powstały log.
Próbowałem usunąć Qooboxa z dysku C: i lipa system krzyczy , ze nie moze usunąc jakiegoś pliku z rozszerzeniem .vir.
Avenger’em próbowałem za pomocą poniższej instrukcji usunąć ten plik, ale nie dało się.
Reszta w trakcie wykonywania… wyniki za 30 min.
– Dodane 16.07.2009 (Cz) 14:14 –
wyłączone przywracanie
Teraz w rejestrze nie znalazłem narazie ale 2 razy usuwałem wpis z lokalizacji:
3.Live CD Dr. Web usunął c:\windows\system32\geyekrjithwimu.dll
a) Na początku w pierszym niebieski okienku combo zgłasza
(nie wiem czy to ważne ale piszę, bo widzę to pierwszy raz >>> kilka razy Combo używałem i nie było takiego zapisu)
b) Combo wykonuje eatpy od 1 do 50 ( w tym 6A, 19B, 32A) na wysokości 32A windows zgłasza problem z aplikacją
c) następne niebieskie okienko z Find3M i znowu zgłaszanie problemu >>> Za mało pamieci głównej do zakończenia sortowania
d) i na koniec Combofix.log
Z loga wynika, że tego śmiecia już nie ma.
Pev.cfexe to składnik ComboFix’a i możliwe, że podczas pobierania został usunięty.
Co do braku pamięci to też z tym pierwszy raz się spotykam.
Start => Uruchom => wpisz Combofix /u lub ręcznie usuń folder C:\Qoobox i instalkę Combofix z dysku.
Wyłącz na chwilę przywracanie systemu.
http://support.microsoft.com/kb/310405/pll
Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.
http://dobreprogramy.pl/index.php?dz=2& … ntiMalware
Przeczyść dysk i rejestr CCleaner’em
http://dobreprogramy.pl/index.php?dz=2&id=1125&CCleaner
Za jakiś czas przeskanuj się gmer’em, żeby sprawdzić czy to znów nie wróciło.
Na koniec troszeczkę ciekawostek.
Tak… tak… log wyglądał na czysty ale ■■■■■■■ się znowu pojawiła.
Ale… walka do końca!.. i porobiłem troszeczkę rzeczy we własnym zakresie.
Całej nazwy znalezionego pliku nie wpisuję, bo reszta to przypadkowe literki i cyferki.
Wywalenie tego pliku, to był strzał w dziesiątkę. Restart i o dziwo wyszukiwanie plików z zaawansowanymi opcjami w windzie działa.
dziwnie działająca wyszukiwarka
Wyłączenie przywracania systemu i Restart.
Czyszczenie CCleanerem, zapuszczenie GMERA uff… czysto :D, sprawdzenie działania wyszukiwania… oj znowu pętelka :/… sprawdzenie rejestru… i czysto. Wyłączenie przywracania systemu i Restart.
Wyłączenie osłony rezydentalnej i innych funkcji NIS2009 i puszczenie ComboFix. Poszło gładko bez żadnych głupich wpisów o małej ilości pamięci i innych krzaków i nieprawidłowym działaniu aplikacji. Wyłącznie przywracania systemu i restart.
Usunięcie Qoobox odbyło sie tym razem bez problemu. Czyszczenie kosza, CCleanerem czyszczenie plików i rejestru. Sprawdzenie działania Wyszukiwarki plików w Windzie. Działa poprawnie!
Włączenie wszystkich funkcji NIS2009. Restart.
Pełnie skanowanie NIS2009, skanowanie Gmerem, Skanowanie Dr. Web Cure It (ooo poszło normalnie :D) … i czysto :D… uff.
Spostrzeżenia: Już po susunięcu geye… .sys wykrytego przez AVG Anti-Rootkit Free i zapuszczeniu skanowania GMEREM, GMER zaczął skanować system normalnie (pełne skanowanie z rootkitem zajmowało GMEROWI ok 30 sek, po wywaleniu geye… .sys GMER skanował dyski ponad 4 minuty :D). Od razu można było w wyszukiwarce w windzie znajdywać pliki ukryte i systemowe, o czym z żywym rootkitem można było zapomnieć. Pliki rootkita zagnieżdżały się w lokalizacjach:
C:\Windows\temp
C:\Windows\system32
wszystkie pliki z początkową frazą w nazwie pliku “geye” z różnymi rozszerzeniami.
To by było na tyle. Proszę o sprawdzenie loga z ComboFix zamieszczonego powyżej.
Teraz w logu jest czysto.
