Rootkit - zablokowany antywirus i programy diagnostyczne


(Burritos) #1

no i dopadlo mnie :confused: nie moge nic odpalic, awaryjny nie dziala :frowning: moje logi:

ftp://burrit.dyndns.org/mbam-log-2008-11-16%20(09-04-29).txt

ftp://burrit.dyndns.org/SREngLOG.log

ftp://burrit.dyndns.org/SREngLogEm.LOG

moze jakis pomysl ?


(Gutek) #2

Użyj jeszcze raz Malwarebytes' Anti-Malware

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone - tego nei zrobiłeś !!

Uruchom System Repair Engineer zakładka System Repair Browser Add-ons odszukaj i usuń

{0000000A-0000-0010-8000-00AA00389B71} 

{00000161-0000-0010-8000-00AA00389B71}

{000123B4-9B42-4900-B3F7-F4B073EFC214}

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}

{2318C2B1-4965-11D4-9B18-009027A5CD4F} 

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} 

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} 

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} 

{33CF6FC8-F227-4901-9BB9-F9E7EE8EB3D8}

{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} 

{6414512B-B978-451D-A0D8-FCFDF33E833C} 

{65D72393-E210-4A2A-B8E0-10AC45986770}

{923ED302-BF94-4028-B6FB-E44A884AA580} 

{92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} 

{AA58ED58-01DD-4D91-8333-CF10577473F7}

{B56A7D7D-6927-48C8-A975-17DF180C71AC} 

{CA8A9780-280D-11CF-A24D-444553540000}

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} 

{E2E2DD38-D088-4134-82B7-F2BA38496583}

{FB5F1910-F110-11D2-BB9E-00C04F795683}

(Burritos) #3

no i nadal bez zmian :confused: niby sie udalo

ftp://burrit.dyndns.org/mbam-log-2008-11-16%20(19-09-10).txt

wpisy usuniete z resesjtru zgodnie z zaleceniem (notabene wszystkie bez opisu byly) a komp nadal zamula :frowning: i wyskakuje blad ze nie mozna uruchomic aplikacji.

Jakies pomysly ??


(Gutek) #4

Daj nowy log z Combo


(Burritos) #5

combo nadal sie nie odpala :frowning: ale mam loga z Malwarebytes' Anti-Malware

ftp://burrit.dyndns.org/mbam-log-2008-11-16%20(22-15-38).txt

udalo mi sie odpalic na chwilke hijackthis.com i wygenerowac raport, zaraz po tem program zostaje zabity :confused:

ftp://burrit.dyndns.org/hijackthis.log


(Gutek) #6

Pobierz The Avenger.W okienku, które się otworzy wklej:

Files to delete:


C:\WINDOWS\system32\mdelk.exe

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\drivers\srosa.sys


Folders to delete:

C:\WINDOWS\system32\drivers\downld

C:\Documents and Settings\Marek\Dane aplikacji\m

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Burritos) #7

nie odpala sie :frowning: to samo co hijackthis i combofix


(Gutek) #8

W trybie awaryjnym robiłeś?


(Burritos) #9

najnowszy LOG

ftp://burrit.dyndns.org/SREngLOG%20last.log

wlasnie musze zrobic reboot`a i zobaczyc awaryjny - wczesniej sie nie odpalal :confused:


(Gutek) #10


(Burritos) #11

awaryjny nadal nie dziala :frowning: A po uzyciu SafeBootKeyRepair, mam:

ftp://burrit.dyndns.org/SAFEBOOT_REPAIR.TXT

Error: Key: system\currentcontrolset\control\safeboot\minimal does not exist!

czyli zostaje metoda step by step


(Gutek) #12

Masz Combo ściągniety? Jak tak to nie uruchamiaj tylko

Wklej do Notatnika:

File::

C:\WINDOWS\system32\drivers\winfilse.exe

C:\WINDOWS\system32\wintems.exe

c:\windows\system32\drivers\srosa2.sys


Folder::

C:\WINDOWS\system32\drivers\downld

C:\Documents and Settings\Marek\Dane aplikacji\m

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)


(Burritos) #13

niestety nie dziala :confused: probowalem juz to wczesniej, ja pikuje co to za scierwo mi sie zagniezdzilo :frowning:

no nic lece w kimke, do jutra i dzieki za help hand :slight_smile:


(Gutek) #14

Reinstalacja XP bez utraty danych

http://www.searchengines.pl/phpbb203/in ... ntry109540


(Burritos) #15

jest to dla mnie bardzo dziwna sytuacja :frowning: wywalam z pod linuxa wskazane pliki:

C:\WINDOWS\system32\wintems.exe

C:\Documents and Settings\Marek\Dane aplikacji\m\flec006.exe (caly katalog)

C:\WINDOWS\system32\drivers\winfilse.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\drivers\srosa2.sys

C:\WINDOWS\system32\mdelk.exe

odpalam potem XPeka i "od nowa polska ludowa", wirus laduje wszystkie pliki z "kosmosu" :frowning:

gdzie robie blad ??