Rootkit zero access


(Silver086) #1

Witam.

Za każdym razem gdy uruchomię combofixa mówi mi on że jestem zainfekowany przez tego rootkita ale nic z nim nie robi , dlatego proszę o pomoc

OTL:

Extras: http://wklej.org/id/543856/

OTL: http://wklej.org/id/543855/


(Gutek) #2

Widzę, że przeleciałeś system wszystkim co możliwe, masz log z Combo, aby zobaczyć co pokazuje?


(Silver086) #3
  1. http://wklej.org/id/543872/

  2. http://wklej.org/id/543873/

3.http://wklej.org/id/543874/


(Spandau) #4

Proszę podać raport Gmera Jak prawidłowo przygotować system pod skan Gmerem znajdziesz tutaj http://www.fixitpc.pl/topic/60-diagnost ... u-rootkit/


(Silver086) #5

Brakujące logi :

OTL:

Extras

OTL

DDS:

Attach

DDS

RSIT:

log

info

TDSSKiller

MBRCheck

GMER

Silent Runners


(Spandau) #6

Te narzędzia tutaj nie pomogą Zobacz co sobie ściągnąłeś http://hostuje.net/file.php?id=66776bbb ... 8404b13cea lub tutaj http://resources.infosecinstitute.com/z ... h-rootkit/ Other Articles by giuseppe

Zobacz ten wątek http://forum.programosy.pl/nienaturalni ... 41169.html Autor pisze także tutaj http://www.bleepingcomputer.com/forums/topic402710.html chyba że to Ty zakładałeś

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Użyj Panda Anti Rootkit http://www.techmixer.com/best-free-anti ... e-rootkit/ Napisz czy skaner coś wykrywa


(Silver086) #7

używałem już Panda Anti Rootkit oraz wielu innych skanerów i żaden nic nie wykrył :frowning:


(Spandau) #8

Pobierz na pulpit Win32kDiag.exe http://www.bezpieczenstwosystemow.pl/in ... pic=5944.0 Uruchom narzędzie dwuklikiem Po zakończeniu skanowania naciśnij dowolny klawisz Zaprezentuj log na forum Log będzie zapisany na pulpicie w pliku Win32kDiag.txt

Następnie pobierz na pulpit peek.bat http://download.bleepingcomputer.com/bats/peek.bat Uruchom dwuklikiem Po zakończonym skanowaniu zaprezentuj raport Log.txt


(Silver086) #9

Chyba coś nie poszło...

w logu z win32diag mam jedynie coś takiego : http://wklej.org/id/544592/

A gdy włączyłem peek.bat to na sekundę pojawiło się okienko i od razu zniknęło i pokazał się pusty log.


(Spandau) #10

Spróbuj uruchomić narzędzia w trybie awaryjnym windows


(Silver086) #11

Niestety to samo.


(Spandau) #12

Wyłącz oprogramowanie antywirusowe

Pobierz Inherit http://download.bleepingcomputer.com/sU ... nherit.exe

Przeciągnij ikonkę Win32Diag na ikonkę inherit

Postępuj zgodnie z instrukcją

Po tym uruchom normalnie narzędzie Po zakończeniu pracy narzędzia pokaż log

To samo wykonaj z narzędziem peek.bat


(Silver086) #13

W obydwóch przypadkach pokazał się tylko komunikat finish , kliknąłem "ok" i nic... żadnych logów nie mam


(Spandau) #14

Uruchom teraz narzędzie Win32Diag dwuklikiem


(Silver086) #15

To samo ... dalej taki sam log

Running from: D:\Documents and Settings\Sebek\Pulpit\Win32kDiag.exe


Log file at : D:\Documents and Settings\Sebek\Pulpit\Win32kDiag.txt


WARNING: Could not get backup privileges!


Searching 'D:\WINDOWS'...






Finished!

(Spandau) #16

Hm znaczy, że to narzędzie nic nie wykrywa Gdzie konkretnie combofix wykrywa tego rootkita? Czy tak jak tutaj http://forum.programosy.pl/nienaturalni ... 41169.html


(Silver086) #17

Dokładnie tak... tylko u mnie żadnego pliczku nie usunął.


(Spandau) #18

Zobacz tutaj http://support.microsoft.com/kb/299357 Jak zresetować protokół internetowy (stos TCP/IP) Przed wykonaniem Proszę utworzyć nowy punkt przywracania systemu gdyby coś poszło nie tak bo jak rozumie Ty masz internet więc nie jestem pewien czy Combofix ma racje


(Silver086) #19

Dziękuję w końcu rootkit zniknął , po zresetowaniu protokołu uruchomiłem jeszcze raz combofix żeby sprawdzić i już nie wywalał jakichkolwiek komunikatów o rootkitu , komputera też nie musiał resetować ani nic tylko normalnie zadziałał , a jeszcze co do logów z otl - nie ma żadnych śmieci do usunięcia czy coś?


(Spandau) #20

Pozwól że tym zajmę się jutro, bo muszę uciekać chyba że ktoś inny ma ochotę na pewno trzeba zaktualizować IE do najnowszej wersji ale to na końcu Edytuje swojego posta i napisze co i jak

-- Dodane 12.06.2011 (N) 10:35 --

Proszę usunąć ręcznie narzędzia typu inherit.exe, Win32kDiag.exe, peek.bat + te foldery poniżej

Proszę odinstalować Combofixa w ten sposób:

Start - Uruchom - wpisujesz:

"D:\Documents and Settings\Sebek\Pulpit\ComboFix.exe" /uninstall

Następnie uruchom OTL klikasz Sprzątanie To usunie OTL wraz z jego kwarantanną

Teraz to Proszę sprawdzić

Masz Windowsa na dysku D a tutaj chyba jest odniesienie do dysku C

Start - Uruchom - wpisujesz regedit i Enter

Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

Dwuklik na wartość ServiceDll jeśli jest C:\WINDOWS\system32\wuauserv.dll zmieniasz na D :\WINDOWS\system32\wuauserv.dll

Jeśli ścieżka była prawidłowa proszę pisać bo możliwe że nie ma pliku

Do aktualizacji

Internet Explorer 8 (XP) Java 6 Update 26