Win32:Rootkit.agent.aaba[Rtk] - nie dziala www


(Virtual) #1

prosze o sprawdzenie loga, kaspersky wykryl rootkit.win32.agent.aaba i nie potrafil go usunac, objawy mam takie, ze nie dzialaja mi strony w obu(FF i IE)przegladarkach, a gg dziala, oto logi z OTL:

http://www.wklej.org/id/238549

i combofixa

http://www.wklej.org/id/238558/


(jessica) #2

Wklej do Notatnika :

File::

C:\WINDOWS\system32\drivers\ryotrva.sys

C:\Documents and Settings\LocalService\Dane aplikacji\fvgqad.dat

C:\Documents and Settings\Iwona\Dane aplikacji\avdrn.dat


Driver::

ryotrva


Registry::

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ryotrva]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Virtual) #3

Nie jestem pewien czy Combofix usunal te trzy pliki, bo raz ze mam chyba nieaktualna wersje, bo pytal o aktualizacje, ale jak mam ja zrobic skoro mi nie dziala internet, a dwa jak juz zaczal dzialac ze zredukowana funkcjonalnoscia, to niby usunal, potem zrestartowal kompa i po restarcie dalej cos tam konczyl, a kaspersky w miedzyczasie wykryl zagrozenie w.. combofixie, mianowicie wywalil komunikat, ze legalne oprogramowanie moze zostac wykorzystane przez cyberprzestepcow do uszkodzenia komputera bla bla bla i podal mi sciezke C:\combofix\mbr.cfxxe, a combofixa usunal z pulpitu, katalog zostal, co mam z tym zrobic? Wklejam loga po tym skanowaniu

http://www.wklej.org/id/238602/


(Serwis Komputery) #4

To ,że Kaspersky uznaje ComboFix za zagrożenie to normalne i nie ma się czym przejmować,skoro nie działają ci strony to jak udało ci się tu napisać ?


(Virtual) #5

a drugi komputer...?!


(Serwis Komputery) #6

Więc ściągnij na drugim komputerze,np skaner Dr. Weba lub Malwarebytes' Anti-Malware nagraj na penka lub płytę i przeskanuj zainfekowany komputer


(jessica) #7

Rootkita nie udało się usunąć!

Zrób najpierw to:

wyłącz "wirtuale" przy pomocy Defogger >http://www.bezpieczenstwosystemow.pl/index.php?topic=6280.0

Potem:

Zrób log z GMER http://www.gmer.net/

na ustawieniu:

>>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

EDIT:

@ saper1972 - ani MBAM, ani Dr.Web nawet nie są w stanie dostrzec tego Rootkita, a co tu mówić o usunięciu!

jessi


(Serwis Komputery) #8

uzyj Sophos Anti-Rootkit 1.5,jezeli nic nie wykryje to prawdopodobnie ComboFix usunął rootkita


(Virtual) #9

nigdy wczesniej nie uzylem tego gmera, wlaczylem go a on od razu zaczal cos skanowac, nie wiem jak mam rozumiec zeby zrobic log na ustawieniu, no ale zrobilem tak jak prosilas, defoggerem odlaczylem wirtualne cd, a potem co mam dokladnie zrobic z tym gmerem, bo zaczal skanowac i wyskoczylo okno ze "gmer znalazl modyfikacje systemu, ktore mogly zostac dokonane przez ROOTKIT'a, czy chcesz dokladnie przeszukac system - TAK i NIE?"


(jessica) #10

Kliknij "TAK" zobaczymy, czy zrobi normalny log, czy jakiś nieprzydatny.

jessi


(Virtual) #11

no i dalem TAK, bo na logike to chyba bylo trzeba przeskanowac zeby jakies logi byly i w trakcie skanowania wyskoczyl blad Problem z aplikacja i zostanie ona zamknieta, mam to skanowanie robic przy wylaczonych wszystkich programach ??


(jessica) #12

Spróbuj w Trybie Awaryjnym.

jessi


(Virtual) #13

wkleje jeszcze printscreena z gmera w momencie gdy ten komunikat wyskakuje, moze jakies informacje tam zawarte beda pomocne

EDIT: dalem jeszcze raz TAK wylaczajac wczesniej wszystkie programy, ale tez sie zawiesil, teraz sprobuje w awaryjnym

EDIT2: wyglada na to, ze pod awaryjnym sie skanuje wszystko ladnie, ale troche to potrwa z tego co wiem, odezwe sie jak skonczy i dodam logi


(jessica) #14

Pierwsze dwie modyfikacje, to Kaspersky, tylko ostatnia, to Rootkit

jessi


(Virtual) #15

Gmer skonczyl skanowac i pod zakladka rootkit/malware nic wiecej nie pokazywal procz tego co jest na printscreenie, wiec co dalej z tym rootkitem?


(jessica) #16

jakiś log powstał po tym skanowaniu?

jessi


(Virtual) #17

no wlasnie jesli powstal to nie wiem gdzie jest, wrocilem do Twojego poprzedniego postu na temat gmera i probowalem rozkminic co dalej z tym zrobic, no i przez glupote chyba nacisnalem "szukaj", potem "kopiuj", zamiast od razu "zapisz..." gmer zaczal skanowac od nowa i wtedy sie zorientowalem ze popelnilem najwieksza glupote... 1.5h na marne, dlaczego ten program nie robi loga samodzielnie?:frowning:


(jessica) #18

Zatrzymaj go.

potem

>>gmer.exe

Rozwiń>>>zakładka CMD >>zaznacz CMD ---w górne czarne pole wklej to:

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

I wtedy zrobisz ten log.

jessi


(Virtual) #19

po kliknieciu Uruchom dostaje na dole komunikat "Nazwa "gmer" nie jest rozpoznawalna jako polecenie wewnetrzne lub zewnetrzne, program wykonywalny lub plik wsadowy", chyba dlatego, ze odpalilem awaryjny bez wiersza polecen, zaraz to poprawie i dam znac jak poszlo, btw: Ogromnie Ci dziekuje za pomoc, mam nadzieje, ze uda nam sie to swinstwo wytepic:)


(jessica) #20

Nie, to nie o to chodzi. Ja chciałam zobaczyć ten log tylko po to, by zobaczyć, pod jaką nazwą został zapisany GMER, bo bez tego "nazwa nie jest rozpoznowalna.

Podaj nazwę, jaką ma GMER.

jessi