Problem z trojanem i Rootkit

rexmundi (Dismasrex) 2010-01-11 20:46:38 UTC #1

Witam

Od wczoraj mam urwanie głowy z trojanem i tym pasożytem

C:\Documents and Settings\Dismas\Pulpit\herss.exe

nazwa pasożyta - Win32:Rootkit-gen [Rtk]

a trojan -- INFEKCJA: Win32: Patched-HN [Trj]

i jeszcze takie coś .. k0maw.exe

próbowałem usunąć to przez Spybota ale ..niby usunął a przy wejściu na jakikolwiek dysk/partycje wyskakuje alert ;/

teraz do tego nie mogę normalnie wchodzić na dyski.. czyli autorun został zaatakowany ? #-o

przeglądałem tematy tu i trafiłem na ten ..

kon-trojanski-dewastuje-moj-komputer-t370627.html

praktycznie ten sam problem

według wskazówek pobrałem już program OTL

chciałem też od razu dodać log OTListIT.txt oraz Extras.txt. ale ta strona nie działa zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html

Proszę o pomoc

jak się pozbyć tego draństwa z komputera ( wczoraj formatowałem ..i mnie pokusiło podłączyć pena )

oraz proszę o podanie jakiegoś linku co wkleję log

Pozdrawiam

Gutek (Gutek) 2010-01-11 21:07:02 UTC #2

Pokaż log z: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan. - otl-gmer-rsit-dds-inne-instrukcje-t370405.html

rexmundi (Dismasrex) 2010-01-11 22:11:41 UTC #3

http://www.wklejto.pl/53426

i co teraz ?

jessica (jessica) 2010-01-11 23:38:15 UTC #4

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL IE - HKU\S-1-5-21-1060284298-1957994488-842925246-1003..\URLSearchHook: {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL File not found O2 - BHO: (Ask Search Assistant BHO) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL File not found O4 - HKU.DEFAULT..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found O32 - AutoRun File - 2010-01-09 02:00:42 | 00,000,057 | RHS- | M - D:\autorun.inf -- [FAT32] O32 - AutoRun File - 2010-01-09 02:00:42 | 00,000,057 | RHS- | M - E:\autorun.inf -- [FAT32] O32 - AutoRun File - 2010-01-09 02:00:42 | 00,000,057 | RHS- | M - F:\autorun.inf -- [FAT32] O33 - MountPoints2{4bd5dba3-fcff-11de-8c97-806d6172696f}\Shell\AutoRun\command - "" = E:\k0maw.exe -- File not found O33 - MountPoints2{4bd5dba3-fcff-11de-8c97-806d6172696f}\Shell\open\Command - "" = E:\k0maw.exe -- File not found O33 - MountPoints2{4bd5dba4-fcff-11de-8c97-806d6172696f}\Shell\AutoRun\command - "" = D:\k0maw.exe -- File not found O33 - MountPoints2{4bd5dba4-fcff-11de-8c97-806d6172696f}\Shell\open\Command - "" = D:\k0maw.exe -- File not found O33 - MountPoints2{4bd5dba5-fcff-11de-8c97-806d6172696f}\Shell\AutoRun\command - "" = F:\k0maw.exe -- File not found O33 - MountPoints2{4bd5dba5-fcff-11de-8c97-806d6172696f}\Shell\open\Command - "" = F:\k0maw.exe -- File not found [2010-01-09 13:53:51 | 00,000,000 | ---D | C] -- C:\Program Files\AskSBar [2010-01-09 11:30:19 | 00,000,000 | -HSD | C] -- C:\Recycled :Files C:\Program Files\AskSBar :Reg [-HKEY\_CURRENT\_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY\_CURRENT\_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz log z usuwania.

jessi

rexmundi (Dismasrex) 2010-01-12 09:46:17 UTC #5

log z usuwania --- http://www.wklejto.pl/53491

nowy log OTL -- http://www.wklejto.pl/53497

jessica (jessica) 2010-01-12 11:29:00 UTC #6

Czysto.

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

W OTL kliknij na przycisk "CleanUp" - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

Użyj szczepionki >Panda Vaccine

jessi

rexmundi (Dismasrex) 2010-01-12 12:49:16 UTC #7

dziękuje bardzo

a co z tym plikiem ? FIX.REG

usunąć go ? czy mogę go przenieść gdzieś ( bo zapisałem na pulpicie )

jessica (jessica) 2010-01-12 13:08:40 UTC #8

Usuń go, bo już jest niepotrzebny.

jessi

rexmundi (Dismasrex) 2010-01-13 18:30:19 UTC #9

jeszcze raz dziękuje bardzo

ale mam jeszcze jeden problem

pewnie to banalnie proste

otóż po tych wszystkich "operacjach" nie działa mi autorun przy napędzie

otwiera zawartość płyty od razu

jessica (jessica) 2010-01-13 18:33:15 UTC #10

To jest efekt zabezpieczenia szczepionką.

jessi

rexmundi (Dismasrex) 2010-01-14 00:16:05 UTC #11

aha rozumiem

dziekuje jeszcze raz

i ostatnie ( mam nadzieje pytanie )

czy jak podłacze pena to znowu mi zainfekuje system ? czy a szczepionka to zablokuje ?

to sie tez tyczy płyt ?

( przed formatem zgrałem wiele potrzebnych mi rzeczy ale boje sie teraz podłaczycc pena czy uruchomic płyte )

Wybacz Jessi ze tak z lekka upierdliwy jestem

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem