Trojan Kavos i rootkity, log z combofix


(A321) #1

Witajcie,

zauważyłem że coś jest nie tak po tym jak nie mogłem z GUI włączyć windzie w opcjach folderów pokazywanie plików systemowych i ukrytych.

zainstalowałem avasta...

conieco kasował, to wracało...

wyłączyłem konsole przywracania systemu, i znowu odpaliłem avasta (skanowanie przed uruchomieniem windy)

powywalał mase rzeczy, od plików autorun.inf (skubany co wchodziłem na dysk odpalał pliki mt.bat) i kiegoś odwirusa (na pewno nie windowsowski plik) mieszkającego w katalogu windows po jakieś śmieci z: recycler, system volume information i głównych katalogów dysku)

na dyski już włazić mogę, autorunów już tam nie ma... ale plików ukrytych pod windowsem ciągle nie zobacze i opcji w "opcje folderów/widok" nie zmienie.

Za to widze je doskonale total commanderem.

Odpaliłem więc Combofixa...

coś poznajdywał 3 pliki wsadził do kwarantanny i dał mi loga.

i tu moja prośba: czy ktoś mógłby go przeanalizować i powiedzieć mi co powinienem zawrzeć w pliku tekstowym który potem sie najeżdzą na ikonkę combo by skasował to i owo (nie pamietam juz jak sie go obsługuje dokładnie, dlatego bardzo proszę o solidną instrukcję i opinię)

combofix log: http://www.wklej.org/hash/139db77e64/


(Henio Mazurek) #2

Log wygląda na czysty. Wklej do notatnika

Zapisz jako, Wszystkie pliki, nazwa Fix.reg. Dwuklik na ten plik, dodajesz do rejetru, restart.

Start => uruchom => wpisz Combofix /u

Czyścisz rejestr CCleanerem

http://dobreprogramy.pl/index.php?dz=2& ... +v2.19.901

Wyłączasz na chwilę przywracanie systemu.

Skanujesz się http://www.kaspersky.pl/virusscanner.html , jeśli coś znajdzie dajesz log.

Zobacz jeszcze tu

http://www.searchengines.pl/index.php?s ... t&p=495933

Przeczyść pamięci przenośne

http://www.searchengines.pl/index.php?s ... ntry369724


(A321) #3

z CCleanerem mam nie miłe wspomnienia... :wink: a nie chce mis ie sledzic kazdej linijki jaką pokaże i myśleć czy moge usunac czy nie.

ok, usunąłem wpisy tak jak mówiłes zamiast combofixem, i odisntalowałem combofixa (co tez piszesz),

mam dziwne wrazenie ze go nie lubisz :wink: bo po co mi instrukcja odinstalowujaca z wiersza polecen? skoro mówimy o czym innym?

no i wcześniej miałem w planach uzycie go ponownie z ciekawosci jaki log powstanie, wiec jesli masz jakies zastrzeżenia co do combofixa to pisz otwarcie :razz:

Wilekie dzieki za link do FixPolices :slight_smile: pomogło w 100%, wiesz moze do czego jest ten drugi plik w paczce? (swreg.exe) podejrzewam ze robi to co drugi tylko plikiem wykonywalnym exe gdyby cmd'a ktos zablokował. ale pewnosci nie mam.

wieczorem przeczyszcze peny programikiem co podałeś i zapuszcze kacperskyego.

Dzieki za pomoc :slight_smile:


(Henio Mazurek) #4

Nie chodzi o to, że nie lubię ComboFix, ale nie było potrzeby, żeby go ponownie uruchamiać. Nie ma sensu go też trzymać na dysku.

ComboFix nie jest zabawką, zresztą poczytaj

http://www.searchengines.pl/index.php?s ... t&p=544578

Przecież możesz zrobić kopię zapasową usuwanych wpisów, ciachnąć wszystko, a jak zacznie się źle dziać to przywrócić.


(A321) #5

nieno, ja lubie wiedzieć co robie na kompie i co się dzieje, wiec "ciachnij i zobacz czy się nie popsuje" odpada.

jelsi juz to bym zaczął googlac wpis z rejestru az dotarł do tego za co on odpowiada, no ale to moze w przyszłym tygodniu :wink:


(Henio Mazurek) #6

Przecież CCleaner usuwa puste lub niepoprawne wpisy. Po co mieć śmietnik w rejestrze. W google nic nie znajdziesz. Jak się boisz to pobierasz ERUNT i robisz nim kopię zapasową

http://www.larshederer.homepage.t-online.de/erunt/

Usuwasz wszystko co wskaże CCleaner. Jak coś pójdzie nie tak to poprzez ERUNT można przywrócić rejestr nawet jak Windows się nie załącza. W linku jest też program do defragmentacji rejestru (NTREGOPT), nim też się zainteresuj.


(A321) #7

Tak mi kiedys usunał "puste wpisy" że część programów mi się nie uruchamiała :wink:

ale spoko, odpala go i popatrze co wyswietli.

no nie ważne, mam większą zagwostke.

Flash Desinfector nie usunął autoruna na jednym zpenów... a co gorsza wsadziłem pena za szybko zanim ten sie odpalił (kilka ich mam i sie spieszyłem) no i jak sie mozna domyslec zczytało mi wirusa ponownie :oops:

na szczescie juz po wczesniejszych FD poblokował mozliwosc stworzenia autorun.inf na dyskach...

niby nic nie ma... ale sie lekko obawiam :wink:

05/14/2009 21:45

Skanuj wszystkie dyski lokalne


Plik E:\Downloads\Borland C++ 5.02.rar.KUYFQKHR5IVNVFPJH2DDFYOJ74NPVYIXPOTB3YQ.dctmp\Borland C++ 5.02\mdisamp.pak Błąd 42126 {Archiwum RAR jest uszkodzone.}

Plik E:\Downloads\Unfinished\Borland C++ 5.02.rar.KUYFQKHR5IVNVFPJH2DDFYOJ74NPVYIXPOTB3YQ.dctmp\Borland C++ 5.02\mdisamp.pak Błąd 42126 {Archiwum RAR jest uszkodzone.}

Plik E:\RPG\Ksiazki\Anne McCaffrey - The Survivers.zip\Anne McCaffrey - The Survivers.txt Błąd 42125 {Archiwum ZIP jest uszkodzone.}

Plik E:\RPG\WFRP\nieuporzadowane\CZARNY.ZIP\Czarny rycerz.rtf Błąd 42125 {Archiwum ZIP jest uszkodzone.}

Plik E:\RPG\WFRP\nieuporzadowane\On.zip\plan.bmp Błąd 42125 {Archiwum ZIP jest uszkodzone.}

Plik E:\RPG\WFRP\nieuporzadowane\przesylka.zip\polanka(eskorta).jpg Błąd 42125 {Archiwum ZIP jest uszkodzone.}

Plik E:\Szkoła\mikro\wyklady.zip.001\wyklady\wyklad Micro7a.pdf Błąd 42125 {Archiwum ZIP jest uszkodzone.}

Plik E:\Szkołaiśmiecidosegregacji\pulpit\ze satrego dysku\Mariusza\Obróbki ubytkowe.part01.rar\Obróbki ubytkowe.ppt Błąd 42126 {Archiwum RAR jest uszkodzone.}

Plik E:\Szkołaiśmiecidosegregacji\WOG\allinon1.zip\wog358f.part01.exe\main1.wog\Artifact.def Błąd 42126 {Archiwum RAR jest uszkodzone.}

Plik E:\Szkołaiśmiecidosegregacji\WOG\allinon1.zip\wog358f.part04.rar\main3.wog\ZM168DG.DEF Błąd 42126 {Archiwum RAR jest uszkodzone.}

Plik E:\Szkołaiśmiecidosegregacji\WOG\allinon1.zip\wog358f.part06.rar\main5.wog\MainMenuWoG.mp3 Błąd 42126 {Archiwum RAR jest uszkodzone.}

Liczba przeszukanych katalogów: 14037

Liczba przetestowanych plików: 974600

Liczba zarażonych plików: 0

(Henio Mazurek) #8

Używałeś ComboFix, on domyślnie wyłącza autorun. FlashDisinfector robi to samo, tyle, że dodaje swój niekasowalny plik.

Jest czysto. Wirus mógł zostać wykryty ale nie zdążył się przeprowadzić na dysk.