Sasser - do tego zamulony komp


(Alef333) #1

witam!

komp dlugo sie laduje, po zaladowaniu systemu po uruchomieniu jakiegokolwiek programu wiesza sie, nie przyjmuje zadnych polecen, po restarcie albo to samo, albo pracuje normalnie ale pojawia sie komunikat o zamknieciu za minute...przeskanowalem na obenosc sassera program sciagnietym ze strony symanteca,ale nic nie znalazl..oto log:

prosze o pomoc...


(system) #2

Zrób najpierw tak:

1. Ściągaj Gmer-a http://www.gmer.net/ W zakładce procesy wybierz opcje Zabij Wszystko. Następnie opcja po prawo pliki i przejdz do c:\windows\system32 i wyszukaj

_zskdmwin\AGLGBRE[XQSWYS].exe

_zskdmwin\AGLGBRE[XQSWYS].dll

zaznacz i po prawo masz opcje usun użyj jej.

Restart kompa i wejdz z powrotem w gmer-a i Zakładka procesy=>rootkit i szukaj jak gmer skończy wklej loga na forum (kopiuj i ctrl+V do posta wklej)

2. Czytasz ten przyklejony TEMAT i użyj narzędzia SmitFraudFix w trybie awaryjnym z opcji nr2(clean). Narzędzie po usuwaniu utworzy log C:\raport.txt

3. Sciągnij ten program http://www.ewido.net/en/ zrób update i przeskanuj

Po wszystkim nowe logi z Gmer'a -Rootkit=>szukaj (bez zaznaczania pokaż wszystko) , hijackthis , SmitFraudFix -C:raport.txt , i silent runners (info również w przyklejonym temacie)


(Alef333) #3

odpalilem GMERa... ale nie ma w tym katalogu plikow ktore mam skasowac..mam jechac dalej z nastepnymi krokami??


(system) #4

A soryy jest przedział jeszcze

Poszukaj dobrze w katalogu c:\windows\system32 i znajdz katalog _zskdmwin i kasuj pliki AGLGBRE[XQSWYS]

I wal reszte pkt.


(Alef333) #5

nie znalazlem tego katalogu, nawet recznie w eksplorerze, wiec robilem dalej co trzeba, to jest log z GMERa:


(Gblade) #6

Gmer czysty,

Hijack zasyfiony od góry do dołu.

Ściągnij Windows Woorms Door Cleaner, odpal>>>zmień wszystkie znaczki z disable na enable>>>po użyciu narzedzia wymagany jest reset kompa.

Zapuść smitfraudfix http://forum.dobreprogramy.pl/viewtopic.php?t=36654 w trybie awaryjnym z opcji nr 2 i wklej raport.

Przeskanuj http://www.ewido.net , skanerami online i antyvirem (również w awaryjnym) i wklej logi hijackthis + silent runners .


(Alef333) #7

zrobilem wszystko jak bylo w instrukcji..widze ze w jednym dalej sa wartosci ktorych mialo nie byc, ale te katalogi fizycznie nie istnieja...oto logi


(Gblade) #8

start>>>uruchom>>>services.msc>>>zatrzymaj i wyłącz usługę *wuauclt.exe

Wszystko wykonujesz w trybie awaryjnym z wyłączonym przywracaniem systemu:

Kasujesz pogrubione pliki ręcznie, a wpisy hijackiem

Później wklejasz logi hjt + silent + L2MFix (instalujesz>>>odpalasz>>wybierasz opcje tworzenia loga (nr 1)


(Alef333) #9


(Gblade) #10

No co jest ? , nic z poprzedniego posta nie zrobione.

Zrób to co napisałem +

Skasuj plik C:\WINDOWS\SYSTEM32\micr0st.dll

Otwórz notatnik i wklej:

Plik>>>zapisz jako>>zmień rozszerzenie z .txt na wszystkie pliki>>>zapisz pod nazwą FIX.REG i uruchom w trybie awaryjnym

Nowe logi po zabiegach


(Alef333) #11

mialem skasowac tylko te dwa wpisy + pliki, czy wszystkie wpisy z cytatu wyzej?? bo skasowalem tylko te dwa pogrubione....


(Gblade) #12

Pogrubione pliki miałeś skasowac ręcznie z dysku, a wszystkie wymienione wpisy hijackiem ( no bo po co bym je wymieniał ?) .


(Alef333) #13

wybacz, nie skojarzylem jakos ze to wszystkie...teraz juz zrobilem jak trzeba


(Gblade) #14

Otwórz notatnik i wklej:

Plik>>>zapisz jako>>zmień rozszerzenie z .txt na wszystkie pliki>>>zapisz pod nazwą FIX.REG i uruchom w trybie awaryjnym


(Alef333) #15

i to by bylo na tyle? czy jeszcze raz logi??


(Gblade) #16

tak, daj loga z silenta do kontroli,


(Alef333) #17

dzieki serdeczne za pomoc, jest jakis sposob zeby sie zabezpieczyc przed tym chlamem na przyszlosc??


(Gblade) #18

log czysty,

Wcześniej podałem ci linka do windows woorms doors cleaner , zamyka on popularne porty wykorzystywane przez robaki , oprócz tego aktywny antyvirus + firewallm, rozsądek z korzystania z sieci (nie wchodzić na pornole, cracki itp 8) )

Nie ma idealnych zabezpieczeń i nigdy nie będzie.