Witam.
Za każdym razem gdy uruchomię combofixa mówi mi on że jestem zainfekowany przez tego rootkita ale nic z nim nie robi , dlatego proszę o pomoc
OTL:
Extras: http://wklej.org/id/543856/
Widzę, że przeleciałeś system wszystkim co możliwe, masz log z Combo, aby zobaczyć co pokazuje?
Proszę podać raport Gmera Jak prawidłowo przygotować system pod skan Gmerem znajdziesz tutaj http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/
Brakujące logi :
OTL:
DDS:
RSIT:
Te narzędzia tutaj nie pomogą Zobacz co sobie ściągnąłeś http://hostuje.net/file.php?id=66776bbb … 8404b13cea lub tutaj http://resources.infosecinstitute.com/z … h-rootkit/ Other Articles by giuseppe
Zobacz ten wątek http://forum.programosy.pl/nienaturalni … 41169.html Autor pisze także tutaj http://www.bleepingcomputer.com/forums/topic402710.html chyba że to Ty zakładałeś
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Użyj Panda Anti Rootkit http://www.techmixer.com/best-free-anti … e-rootkit/ Napisz czy skaner coś wykrywa
używałem już Panda Anti Rootkit oraz wielu innych skanerów i żaden nic nie wykrył 
Pobierz na pulpit Win32kDiag.exe http://www.bezpieczenstwosystemow.pl/in … pic=5944.0 Uruchom narzędzie dwuklikiem Po zakończeniu skanowania naciśnij dowolny klawisz Zaprezentuj log na forum Log będzie zapisany na pulpicie w pliku Win32kDiag.txt
Następnie pobierz na pulpit peek.bat http://download.bleepingcomputer.com/bats/peek.bat Uruchom dwuklikiem Po zakończonym skanowaniu zaprezentuj raport Log.txt
Chyba coś nie poszło…
w logu z win32diag mam jedynie coś takiego : http://wklej.org/id/544592/
A gdy włączyłem peek.bat to na sekundę pojawiło się okienko i od razu zniknęło i pokazał się pusty log.
Spróbuj uruchomić narzędzia w trybie awaryjnym windows
Niestety to samo.
Wyłącz oprogramowanie antywirusowe
Pobierz Inherit http://download.bleepingcomputer.com/sU … nherit.exe
Przeciągnij ikonkę Win32Diag na ikonkę inherit
Postępuj zgodnie z instrukcją
Po tym uruchom normalnie narzędzie Po zakończeniu pracy narzędzia pokaż log
To samo wykonaj z narzędziem peek.bat
W obydwóch przypadkach pokazał się tylko komunikat finish , kliknąłem “ok” i nic… żadnych logów nie mam
Uruchom teraz narzędzie Win32Diag dwuklikiem
To samo … dalej taki sam log
Running from: D:\Documents and Settings\Sebek\Pulpit\Win32kDiag.exe
Log file at : D:\Documents and Settings\Sebek\Pulpit\Win32kDiag.txt
WARNING: Could not get backup privileges!
Searching 'D:\WINDOWS'...
Finished!Hm znaczy, że to narzędzie nic nie wykrywa Gdzie konkretnie combofix wykrywa tego rootkita? Czy tak jak tutaj http://forum.programosy.pl/nienaturalni … 41169.html
Dokładnie tak… tylko u mnie żadnego pliczku nie usunął.
Zobacz tutaj http://support.microsoft.com/kb/299357 Jak zresetować protokół internetowy (stos TCP/IP) Przed wykonaniem Proszę utworzyć nowy punkt przywracania systemu gdyby coś poszło nie tak bo jak rozumie Ty masz internet więc nie jestem pewien czy Combofix ma racje
Dziękuję w końcu rootkit zniknął , po zresetowaniu protokołu uruchomiłem jeszcze raz combofix żeby sprawdzić i już nie wywalał jakichkolwiek komunikatów o rootkitu , komputera też nie musiał resetować ani nic tylko normalnie zadziałał , a jeszcze co do logów z otl - nie ma żadnych śmieci do usunięcia czy coś?
Pozwól że tym zajmę się jutro, bo muszę uciekać chyba że ktoś inny ma ochotę na pewno trzeba zaktualizować IE do najnowszej wersji ale to na końcu Edytuje swojego posta i napisze co i jak
– Dodane 12.06.2011 (N) 10:35 –
Proszę usunąć ręcznie narzędzia typu inherit.exe, Win32kDiag.exe, peek.bat + te foldery poniżej
Proszę odinstalować Combofixa w ten sposób:
Start - Uruchom - wpisujesz:
"D:\Documents and Settings\Sebek\Pulpit\ComboFix.exe" /uninstall
Następnie uruchom OTL klikasz Sprzątanie To usunie OTL wraz z jego kwarantanną
Teraz to Proszę sprawdzić
Masz Windowsa na dysku D a tutaj chyba jest odniesienie do dysku C
Start - Uruchom - wpisujesz regedit i Enter
Idziesz do klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
Dwuklik na wartość ServiceDll jeśli jest C:\WINDOWS\system32\wuauserv.dll zmieniasz na D :\WINDOWS\system32\wuauserv.dll
Jeśli ścieżka była prawidłowa proszę pisać bo możliwe że nie ma pliku
Do aktualizacji