Rootkit-gen w avascie + niewidoczne pliki ukryte + inne


(Tsr) #1

Witam i prosze o pomoc.

Od pewnego czasu coś ewidentnie jest nie tak z kompem. Działam na xp sp2, ostatni format dokładnie rok temu, wiec pewnie sporo syfu juz sie nazbieralo.

Objawy mniej wiecej chronologicznie:

-nie mozna zobaczyc plikow ukrytych nawet po zaznaczeniu tej opcji w narzedziach folderow

-nie dawalo sie wchodzic w partycje, po dwukrotnym kliknieciu odpalalo sie okno "otworz za pomocą" (po odpaleniu combofixa dyski sie odpalaja normalnie)

-od ponad dwoch tygodni widoczne wyrazne zamulenie kompa

-efekt skanowania avastem to ponad 600 plikow zakażonych, głównie przez: win32:gamona, win32:rootkit-gen, VBS:Malware-gen, win32:trojan-gen. Masa plikow zakażonych to było o ile dobrze zapamietalem coś w rodzaju "system volume information"

-avast co chwile wykrywa mi teraz rootkit-gen w plikach "yannh.cmd" na wszystkich partycjach i dyskach przenośnych"

na początek procesy z menadżera urządzeń:

menzadmo8.jpg

w482.png

log z gmera:

http://wklej.org/id/19176/

log z combofix (jakiś niepokojąco długi)

http://wklej.org/id/19177/

log z hijackthis:

http://wklej.org/id/19178/

Czy potrzebne są jeszcze jakieś logi?

EDIT: odinstalowałem avasta i w jego miejsce zainstalowałem kasperskyego. I znów skanowanie wykrylo kupe syfu: luki (410), adware (5), wirus (51), koń trojański (110). Wkleiłbym jakiś spis tych infekcji ale nie wiem jak zrobic log z kasperskyego. Do tego wyskakuje co chwile okienko ze zakażony jest plik windows/system32/xxyxYoPi.dll - czy można go skasować ręcznie?

Pomocy


(Neon1992) #2

Fix w HijackThis.

Przeskanuj system programem Malwarebytes, log wrzuć na WKLEJTO lub WKLEJ.ORG następnie link wklej na forum.


(Gutek) #3

Daruj sobie, rozumię jeden plik zgubić no dwa, ale:

Wklej do Notatnika:

File::

C:\yannh.cmd

c:\windows\system32\oyxywiuv.dll

c:\windows\system32\fkfjde.dll

c:\windows\system32\uwxpvwxi.ini

c:\windows\system32\ixwvpxwu.dll

C:\ceb6eu98.bat

c:\windows\system32\eiqgtihm.ini

c:\windows\system32\stplik.dll

c:\windows\system32\sovymksu.dll

c:\windows\system32\mhitgqie.dll

c:\windows\system32\savec32.dll

C:\xfl3hx.exe

C:\0w.com

c:\windows\system32\vuxisjxn.dll

c:\windows\system32\kubmwbub.ini

c:\windows\system32\bubwmbuk.dll

c:\windows\system32\iPoYxyxx.ini2

c:\windows\system32\iPoYxyxx.ini

c:\windows\system32\xxyxYoPi.dll

c:\windows\system32\tuvSmMcy.dll

c:\windows\system32\ljJDVmKA.dll

c:\windows\system32\jkkLBtQj.dll

c:\windows\system32\kav321.dll

c:\windows\system32\gasretyw1.dll

c:\windows\system32\gasretyw0.dll

c:\windows\system32\kav320.dll

c:\windows\system32\kamsoft.exe

C:\ogcikeq.com

C:\lky.exe

c:\windows\system32\xxyxYoPi.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C58746E-CA1B-47A6-BEE7-6ECB9C6AE121}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83a371fa-fb53-4a6c-bae2-c87795fcfc23}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-

"AppInit_DLLs"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif


(Tsr) #4

Zgodnie z zaleceniem odpaliłem combofix z tym plikiem tekstowym. Program zrobił swoje ale chyba popełniłem błąd bo zostawiłem wlaczony kaspersky i podczas dzialania combofixa dwa razy kaspersky wymagał zezwolenia dla jakichś plików z combofix. Nastąpił restart komputera i po nim strasznie wolno komputer się odpalał a gdy wreszcie doszło do wyboru użytkownika systemu to zeby wejść w swoje konto wymagane jest hasło chociaż nigdy hasła nie ustawiałem. No i efekt taki że nie moge wejść do windowsa :frowning:


(Gutek) #5

Gdy dasz ignoruj wchodzisz?


(Tsr) #6

nie da się wejść żadnym sposobem ani na konto użytkownika ani na administrator. Odpaliłem kompa z włożonym xp do napędu chcąc z desperacji zrobić format ale podczas ładowania (gdy jest niebieski ekran) wyskakuje niebieskie tło pełne szlaczków i napisów typu skontaktuj się z kimśtam i dalej nie idzie :?


(Gutek) #7

Reinstalacja XP bez utraty danych - http://www.searchengines.pl/phpbb203/in ... ntry109540

Na niektorych komputerach problem powoduje ten klucz

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=..................

Jaki jest błąd Stop? Możesz podać?


(Tsr) #8

myslalem ze wystarczy wyczyszczenie kompa z syfu a teraz doszlo do tego ze modle sie zeby chociaz format dalo sie zrobic, bo skoro nie da sie wejsc do windowsa przez hasło to chyba tylko format pozostał?

W niebieskim oknie Instalatora windows, gdy na dole jest ze instalator ładuje pliki

wyskakuje coś takiego:

dsc00022ux0.jpg

w1600.png


(Gutek) #9

No to zobacz - http://support.microsoft.com/?kbid=330181


(Tsr) #10

Mam dwie kości RAM, wyjąć jedną i wtedy spróbować sformatować ?


(Gutek) #11

Nie formatuj tylko zrób nakładkę - http://www.searchengines.pl/phpbb203/in ... ntry109540 nic nie utracisz, spróbuj z jedną albo 2 kością :slight_smile:


(Tsr) #12

ok, spróbuję tak zrobić. A jeśli się uda to czy zrobienie nakładki usunie też te problemy z pierwszego posta czy nadal będzie się trzeba zając tymi malwarami?


(Gutek) #13

Usunie lecz kontrolnie dasz log z Combo. Czy kości masz tej samej firmy?


(Tsr) #14

jedna kingston a druga to nie wiem, jakiś kingmax


(Gutek) #15

To tą druga wyjmij kingmax i do dzieła


(Tsr) #16

Uff, wreszcie moge napisac ze swojego kompa :slight_smile:

sytuacja wygląda tak. Kość kingmax była od początku w kompie, kingstona dołożyłem w wakacje. Teraz wyjąłem tego Kingmaxa , odpaliłem kompa i gdy pojawiło się wybór trybu, awaryjny, itd, wybrałem opcję ostatnia znana dobra konfiguracja. No i wlazło do windowsa bez potrzeby wpisywania hasła.

Po zalogowaniu combofix dokanczal swoje dzielo którego rezultatem jest taki log:

http://wklej.org/id/19449/

i teraz pytanie: kontynuować działania według wczesniejszych zaleceń, tj. skasowanie C: \Qoobox. i użycie pozostałych programów, czy może robić nakładke ze względu na te problemy z formatem?

I czy moge spowotem wsadzić druga kosc ramu?


(Gutek) #17

Widzisz jest Ok klucz -

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages	REG_MULTI_SZ m s v 1 _ 0

do dzisiaj nie wiem dlaczego czasmi tak się dzieje, tą kość co wyciągnołeś musisz przetestować czy jest Ok - memtestem. Wklej do Notatnika:

File::

c:\windows\system32\pvjpcs.dll

c:\windows\system32\mxjyxovg.dll

c:\windows\system32\gpvxvncu.ini

c:\windows\system32\ucnvxvpg.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4327a260-598e-43e6-b6bb-56c1bf963bfd}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Tsr) #18

Teraz sytuacja jest taka że niezależnie od tego czy sa wsadzone oba ramy czy jeden, logowanie do windowsa wymaga hasła a start z płyty równa się błąd stop. Jedyne możliwe wejście to start z F8, bootowanie z dysku, szybki przeskok na windows cośtam recovery i wybór opcji "ostatnia znana dobra konfiguracja"

nowy log z CF:

http://wklej.org/id/19600/

po restarcie dało się wejść do windowsa bez hasła a więc chyba jest już ok. Dla pewności narazie zostawiłem włożony tylko ram kingstona. Ciekawe czy teraz dałoby się zrobić format.


(Gutek) #19
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages	REG_MULTI_SZ msv1_0 c:\windows\system32\xxyxYoPi

no niestety. Wklej do notatnika:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

00

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.


(Tsr) #20

Zrobione, czy to już wszystko?