Prosba o sprawdzenia loga!Rootkit i wirusy spowalniajace


(Adamu23) #1

Czesc.Mam prosbe zwiazana ze sprawdzeniem loga - http://www.wklejto.pl/24004

Strasznie spowalnia mi komputer, poza tym przekierowuje na adresy w przegladarce, gdzie niby skanuje mi komputer i wykrywa mnostwo spyware i kaze zakupic oprogramowanie.Z gory dzieki za szybka odp.


(Leon$) #2

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 uruchom dwuklikiem pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

:slight_smile:


(Adamu23) #3

Oto log z combofix

http://wklejto.pl/24020

Troche dlugo trwalo ale mialem problem ze sciagnieciem programu.

Jak to teraz wyglada?

Prosze o w miare szybka odp!


(jessica) #4

Jeden Rootkit usunięty, ale został jeszcze Rootkit mieszczący się w sektorze MBR dysku.

Użyj -->SDFix -na dole strony z linku

Pokaż Report.txt znajdujący się w folderze SDFix.

Sprawdź skuteczność przy pomocy > mbr.exe >http://www.searchengines.pl/index.php?show...mp;#entry470953 (scan trwa tylko 2 sekundy)

Daj ten log.

Wklej do Notatnika :

File::

C:\w98.com

C:\gy.exe

C:\x2csvg.exe

d:\w98.com

d:\gy.exe

d:\x2csvg.exe

c:\windows\system32\nmdfgds2.dll

c:\windows\system32\nmdfgds1.dll

c:\windows\AhnRpta.exe

c:\windows\system32\olhrwef.exe

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\vbsdfe0.dll

c:\windows\system32\vbsdfe1.dll

C:\6fnlpetp.exe

d:\6fnlpetp.exe

c:\windows\system32\afmain0.dll

c:\windows\system32\afmain1.dll

c:\windows\system32\afmain2.dll

c:\windows\TEMP\9.tmp


Driver::

{DEF85C80-216A-43ab-AF70-1665EDBE2780}


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cdoosoft"=

"EXPLORER.EXE"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12c5bc68-9557-11dd-ac2d-0018f66609b7}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2442cf74-9dd4-11dd-ac41-0018f66609b7}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{536f1f04-e024-11dd-acd7-0018f66609b7}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80ad2d00-caad-11dd-ac9f-0018f66609b7}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9445d212-8bef-11dd-ac0e-0018f66609b7}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca57ad16-3a31-11dd-ab30-0018f66609b7}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef5f8bdd-e359-11dd-acde-0018f66609b7}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fbb41e83-2c0f-11dd-aaff-000ad96ee45e}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe982cdd-da6f-11dd-acc9-0018f66609b7}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffe7200e-33d2-11dd-ab0f-0018f66609b7}]

[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi


(Adamu23) #5

Po kolei:

report z SDFix - http://wklejto.pl/24036

z mbr wyszlo mi cos takiego - http://wklejto.pl/24037

a to log z combofix - http://wklejto.pl/24038

co dalej?


(jessica) #6

@ja23

Nie poszło to najlepiej, jak widać.

A więc teraz musisz wykonać punkt "3" i "4" z opisu "mbr.exe" (czyli coś mniej więcej tak:

Dasz ten końcowy log do sprawdzenia.

jessi


(Agatonster) #7


(Adamu23) #8

Gdy wpisuje ta komende czyli C:\mbr.exe -f

to pod spodem wyskaskuje mi komunikat "nazwa C:\mbr.exe -f nie jest rozpoznawalna jako polecenie wewnetrzne lub zewnetrzne, program wykonywalny lub plik wsadowy"

pokazuje nastepnie zebym ponownie wpisal polecenie?

Co w takim wypadku zrobic?


(Leon$) #9

czy robisz to w trybie awaryjnym

:?:


(Adamu23) #10

Tak wchodze w tryb awaryjny z wpisywaniem polecen,


(jessica) #11

Zobacz posty nr 3, 4, 5, 6 w tym temacie:

>http://www.searchengines.pl/Rootkit-wykryty-przez-Avast-t106075.html

jessi


(Adamu23) #12

Poszlo chyba wszystko dobrze:)Wyszlo cos takiego - krotkie,wiec wklejam od razu tu:

"Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK "

Czy to wszystko czy jeszcze cos powinienem zrobic?


(Leon$) #13

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:


(Adamu23) #14

Oto raport z kaspersky'ego:

http://wklejto.pl/24209

Wyszly trzy zagrozenia


(jessica) #15

Nie wiem, czy zostały usunięte, bo z raportu to nie wynika, więc na wszelki wypadek:

Wklej do Notatnika :

File::

C:\Downloads\postcard.exe

C:\WINDOWS\system32\dk\lmz3.bmp

D:\sq.com

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

jessi


(Adamu23) #16

Oto powstaly log:

http://wklejto.pl/24215

mam nadzieje,ze juz wszystko jest w porzadku:)


(jessica) #17

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Downloads\\postcard(1).exe"=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

Ja też mam nadzieję, że już będzie OK.

jessi


(Adamu23) #18

Dziekuje bardzo za pomoc:)