Wirus blokuje ComboFix. Log z HijackThis


(Marcjaho) #1

Witam.

Mam problem, o którym czytałem już parę tematów niżej. A mianowicie złośliwy rootkit blokuje wszystkie programy związane z bezpieczeństwem. Nie działa także ComboFix. Po zmianie nazwy na Combo, uruchomił się i wyświetlił się komunikat: "Combofix detected the presence of rootkit activity and needs to reboot the machine" i po każdym uruchomieniu to samo. Proszę o analizę loga z HijackThis 1.99, a także o wrzucenie programu The Avenger na jakiś zewnętrzny serwer, gdyż rootkit blokuje pobieranie.

Oto log:

http://www.wklej.org/id/47671/


(Gutek) #2

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

O2 - BHO: C:\WINDOWS\system32\gsdrgfdrrgnd.dll - {d5bf4552-94f1-42bd-f434-3604812c807d} - C:\WINDOWS\system32\gsdrgfdrrgnd.dll

O4 - HKLM\..\Run: [lrijh8s73jhbfgfd] C:\DOCUME~1\Tata\USTAWI~1\Temp\winlognn.exe

O4 - HKCU\..\Run: [lrijh8s73jhbfgfd] C:\DOCUME~1\Tata\USTAWI~1\Temp\winlognn.exe

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

usuń wpisy HJT

Daj log z ComboFix


(Marcjaho) #3

Usunąłem podane wpisy, lecz dalej nie mogę uruchomić ComboFixa.


(Leon$) #4

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

potem spróbuj uruchomić Combofixa

:slight_smile:


(Marcjaho) #5

A mógłby ktoś wrzucić The Avengera na np. rapidshare? Bo przez tego wirusa nie mogę pobrać z w/w linku.


(Gutek) #6

Pobierz program SDFix

-


(Marcjaho) #7

Niestety nie mogę pobrać także SDFix. :confused: Prosiłbym na rapida.

Combo mam, ale nawet po zmianie na 123.com wyskakuje: "Combofix detected the presence of rootkit activity and needs to reboot the machine"


(Leon$) #8

start >> uruchom >> cmd

sc stop tdssserv >> Enter

sc delete tdssserv >> Enter

wejdź do trybu awaryjnego i usuń jak znajdziesz te pliki

wejdź do rejestru

i usuń te klucze

zamknij edytor rejestru >> restart

potem spróbuj uruchomić Combofix

:slight_smile:


(Marcjaho) #9

Pobrałem The Avengera. Oto plik avenger.txt

http://wklej.org/id/48233/


(Leon$) #10

usunięty driver i dwa klucze rotkita

spróbuj Combofix

:slight_smile:


(Marcjaho) #11

ComboFix uruchamia się już bez zmiany nazwy, ale dalej ten sam komunikat...


(Kambor4) #12

W takim razie daj log z RSITa/DSSa.

========

K.


(Marcjaho) #13

Log z RSITa:

http://wklej.org/id/48255/


(Kambor4) #14

Nieźle się dorobiłeś. :wink:

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5BF4552-94F1-42BD-F434-3604812C807D}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG**** >>> plik uruchom(dwuklik i OK- zgódź się na dodanie do Rejestru). Zrestartuj komputer. 2) Pobierz ---> The AvengerWklej do niego ten tekst:

Files to delete:

C:\WINDOWS\tasks\At1.job

C:\WINDOWS\tasks\At10.job

C:\WINDOWS\tasks\At100.job

C:\WINDOWS\tasks\At101.job

C:\WINDOWS\tasks\At102.job

C:\WINDOWS\tasks\At103.job

C:\WINDOWS\tasks\At104.job

C:\WINDOWS\tasks\At105.job

C:\WINDOWS\tasks\At106.job

C:\WINDOWS\tasks\At107.job

C:\WINDOWS\tasks\At108.job

C:\WINDOWS\tasks\At109.job

C:\WINDOWS\tasks\At11.job

C:\WINDOWS\tasks\At110.job

C:\WINDOWS\tasks\At111.job

C:\WINDOWS\tasks\At112.job

C:\WINDOWS\tasks\At113.job

C:\WINDOWS\tasks\At114.job

C:\WINDOWS\tasks\At115.job

C:\WINDOWS\tasks\At116.job

C:\WINDOWS\tasks\At117.job

C:\WINDOWS\tasks\At118.job

C:\WINDOWS\tasks\At119.job

C:\WINDOWS\tasks\At12.job

C:\WINDOWS\tasks\At120.job

C:\WINDOWS\tasks\At121.job

C:\WINDOWS\tasks\At122.job

C:\WINDOWS\tasks\At123.job

C:\WINDOWS\tasks\At124.job

C:\WINDOWS\tasks\At125.job

C:\WINDOWS\tasks\At126.job

C:\WINDOWS\tasks\At127.job

C:\WINDOWS\tasks\At128.job

C:\WINDOWS\tasks\At129.job

C:\WINDOWS\tasks\At13.job

C:\WINDOWS\tasks\At130.job

C:\WINDOWS\tasks\At131.job

C:\WINDOWS\tasks\At132.job

C:\WINDOWS\tasks\At133.job

C:\WINDOWS\tasks\At134.job

C:\WINDOWS\tasks\At135.job

C:\WINDOWS\tasks\At136.job

C:\WINDOWS\tasks\At137.job

C:\WINDOWS\tasks\At138.job

C:\WINDOWS\tasks\At139.job

C:\WINDOWS\tasks\At14.job

C:\WINDOWS\tasks\At140.job

C:\WINDOWS\tasks\At141.job

C:\WINDOWS\tasks\At142.job

C:\WINDOWS\tasks\At143.job

C:\WINDOWS\tasks\At144.job

C:\WINDOWS\tasks\At145.job

C:\WINDOWS\tasks\At146.job

C:\WINDOWS\tasks\At147.job

C:\WINDOWS\tasks\At148.job

C:\WINDOWS\tasks\At149.job

C:\WINDOWS\tasks\At15.job

C:\WINDOWS\tasks\At150.job

C:\WINDOWS\tasks\At151.job

C:\WINDOWS\tasks\At152.job

C:\WINDOWS\tasks\At153.job

C:\WINDOWS\tasks\At154.job

C:\WINDOWS\tasks\At155.job

C:\WINDOWS\tasks\At156.job

C:\WINDOWS\tasks\At157.job

C:\WINDOWS\tasks\At158.job

C:\WINDOWS\tasks\At159.job

C:\WINDOWS\tasks\At16.job

C:\WINDOWS\tasks\At160.job

C:\WINDOWS\tasks\At161.job

C:\WINDOWS\tasks\At162.job

C:\WINDOWS\tasks\At163.job

C:\WINDOWS\tasks\At164.job

C:\WINDOWS\tasks\At165.job

C:\WINDOWS\tasks\At166.job

C:\WINDOWS\tasks\At167.job

C:\WINDOWS\tasks\At168.job

C:\WINDOWS\tasks\At169.job

C:\WINDOWS\tasks\At17.job

C:\WINDOWS\tasks\At170.job

C:\WINDOWS\tasks\At171.job

C:\WINDOWS\tasks\At172.job

C:\WINDOWS\tasks\At173.job

C:\WINDOWS\tasks\At174.job

C:\WINDOWS\tasks\At175.job

C:\WINDOWS\tasks\At176.job

C:\WINDOWS\tasks\At177.job

C:\WINDOWS\tasks\At178.job

C:\WINDOWS\tasks\At179.job

C:\WINDOWS\tasks\At18.job

C:\WINDOWS\tasks\At180.job

C:\WINDOWS\tasks\At181.job

C:\WINDOWS\tasks\At182.job

C:\WINDOWS\tasks\At183.job

C:\WINDOWS\tasks\At184.job

C:\WINDOWS\tasks\At185.job

C:\WINDOWS\tasks\At186.job

C:\WINDOWS\tasks\At187.job

C:\WINDOWS\tasks\At188.job

C:\WINDOWS\tasks\At189.job

C:\WINDOWS\tasks\At19.job

C:\WINDOWS\tasks\At190.job

C:\WINDOWS\tasks\At191.job

C:\WINDOWS\tasks\At192.job

C:\WINDOWS\tasks\At2.job

C:\WINDOWS\tasks\At20.job

C:\WINDOWS\tasks\At21.job

C:\WINDOWS\tasks\At22.job

C:\WINDOWS\tasks\At23.job

C:\WINDOWS\tasks\At24.job

C:\WINDOWS\tasks\At25.job

C:\WINDOWS\tasks\At26.job

C:\WINDOWS\tasks\At27.job

C:\WINDOWS\tasks\At28.job

C:\WINDOWS\tasks\At29.job

C:\WINDOWS\tasks\At3.job

C:\WINDOWS\tasks\At30.job

C:\WINDOWS\tasks\At31.job

C:\WINDOWS\tasks\At32.job

C:\WINDOWS\tasks\At33.job

C:\WINDOWS\tasks\At34.job

C:\WINDOWS\tasks\At35.job

C:\WINDOWS\tasks\At36.job

C:\WINDOWS\tasks\At37.job

C:\WINDOWS\tasks\At38.job

C:\WINDOWS\tasks\At39.job

C:\WINDOWS\tasks\At4.job

C:\WINDOWS\tasks\At40.job

C:\WINDOWS\tasks\At41.job

C:\WINDOWS\tasks\At42.job

C:\WINDOWS\tasks\At43.job

C:\WINDOWS\tasks\At44.job

C:\WINDOWS\tasks\At45.job

C:\WINDOWS\tasks\At46.job

C:\WINDOWS\tasks\At47.job

C:\WINDOWS\tasks\At48.job

C:\WINDOWS\tasks\At49.job

C:\WINDOWS\tasks\At5.job

C:\WINDOWS\tasks\At50.job

C:\WINDOWS\tasks\At51.job

C:\WINDOWS\tasks\At52.job

C:\WINDOWS\tasks\At53.job

C:\WINDOWS\tasks\At54.job

C:\WINDOWS\tasks\At55.job

C:\WINDOWS\tasks\At56.job

C:\WINDOWS\tasks\At57.job

C:\WINDOWS\tasks\At58.job

C:\WINDOWS\tasks\At59.job

C:\WINDOWS\tasks\At6.job

C:\WINDOWS\tasks\At60.job

C:\WINDOWS\tasks\At61.job

C:\WINDOWS\tasks\At62.job

C:\WINDOWS\tasks\At63.job

C:\WINDOWS\tasks\At64.job

C:\WINDOWS\tasks\At65.job

C:\WINDOWS\tasks\At66.job

C:\WINDOWS\tasks\At67.job

C:\WINDOWS\tasks\At68.job

C:\WINDOWS\tasks\At69.job

C:\WINDOWS\tasks\At7.job

C:\WINDOWS\tasks\At70.job

C:\WINDOWS\tasks\At71.job

C:\WINDOWS\tasks\At72.job

C:\WINDOWS\tasks\At73.job

C:\WINDOWS\tasks\At74.job

C:\WINDOWS\tasks\At75.job

C:\WINDOWS\tasks\At76.job

C:\WINDOWS\tasks\At77.job

C:\WINDOWS\tasks\At78.job

C:\WINDOWS\tasks\At79.job

C:\WINDOWS\tasks\At8.job

C:\WINDOWS\tasks\At80.job

C:\WINDOWS\tasks\At81.job

C:\WINDOWS\tasks\At82.job

C:\WINDOWS\tasks\At83.job

C:\WINDOWS\tasks\At84.job

C:\WINDOWS\tasks\At85.job

C:\WINDOWS\tasks\At86.job

C:\WINDOWS\tasks\At87.job

C:\WINDOWS\tasks\At88.job

C:\WINDOWS\tasks\At89.job

C:\WINDOWS\tasks\At9.job

C:\WINDOWS\tasks\At90.job

C:\WINDOWS\tasks\At91.job

C:\WINDOWS\tasks\At92.job

C:\WINDOWS\tasks\At93.job

C:\WINDOWS\tasks\At94.job

C:\WINDOWS\tasks\At95.job

C:\WINDOWS\tasks\At96.job

C:\WINDOWS\tasks\At97.job

C:\WINDOWS\tasks\At98.job

C:\WINDOWS\tasks\At99.job

C:\WINDOWS\system32\gsdrgfdrrgnd.dll

C:\WINDOWS\ntbtlog.txt

C:\matjsjvbhjdrv.txt

C:\WINDOWS\system32\8vYp6Q66.exe.a_a

C:\WINDOWS\system32\8vYp6Q66.exe

C:\WINDOWS\system32\msxml71.dll


Folders to delete:

C:\found.000

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Teraz spróbuj odpalić ComboFixa. :slight_smile:

==============

K.


(Marcjaho) #15

Udało się uruchomić ComboFixa.

Oto plik avenger.txt:

http://wklej.org/id/48267/

A tutaj jest log z ComboFixa:

http://wklej.org/id/48268/


(Kambor4) #16

Wklej do Notatnika :

File:

c:\windows\system32\gsdrgfdrrgnd.dll

c:\windows\system32\drivers\c3914a77.sys

c:\windows\system32\8vYp6Q66.exe

C:\WINDOWS\tasks\At1.job

C:\WINDOWS\tasks\At10.job

C:\WINDOWS\tasks\At100.job

C:\WINDOWS\tasks\At101.job

C:\WINDOWS\tasks\At102.job

C:\WINDOWS\tasks\At103.job

C:\WINDOWS\tasks\At104.job

C:\WINDOWS\tasks\At105.job

C:\WINDOWS\tasks\At106.job

C:\WINDOWS\tasks\At107.job

C:\WINDOWS\tasks\At108.job

C:\WINDOWS\tasks\At109.job

C:\WINDOWS\tasks\At11.job

C:\WINDOWS\tasks\At110.job

C:\WINDOWS\tasks\At111.job

C:\WINDOWS\tasks\At112.job

C:\WINDOWS\tasks\At113.job

C:\WINDOWS\tasks\At114.job

C:\WINDOWS\tasks\At115.job

C:\WINDOWS\tasks\At116.job

C:\WINDOWS\tasks\At117.job

C:\WINDOWS\tasks\At118.job

C:\WINDOWS\tasks\At119.job

C:\WINDOWS\tasks\At12.job

C:\WINDOWS\tasks\At120.job

C:\WINDOWS\tasks\At121.job

C:\WINDOWS\tasks\At122.job

C:\WINDOWS\tasks\At123.job

C:\WINDOWS\tasks\At124.job

C:\WINDOWS\tasks\At125.job

C:\WINDOWS\tasks\At126.job

C:\WINDOWS\tasks\At127.job

C:\WINDOWS\tasks\At128.job

C:\WINDOWS\tasks\At129.job

C:\WINDOWS\tasks\At13.job

C:\WINDOWS\tasks\At130.job

C:\WINDOWS\tasks\At131.job

C:\WINDOWS\tasks\At132.job

C:\WINDOWS\tasks\At133.job

C:\WINDOWS\tasks\At134.job

C:\WINDOWS\tasks\At135.job

C:\WINDOWS\tasks\At136.job

C:\WINDOWS\tasks\At137.job

C:\WINDOWS\tasks\At138.job

C:\WINDOWS\tasks\At139.job

C:\WINDOWS\tasks\At14.job

C:\WINDOWS\tasks\At140.job

C:\WINDOWS\tasks\At141.job

C:\WINDOWS\tasks\At142.job

C:\WINDOWS\tasks\At143.job

C:\WINDOWS\tasks\At144.job

C:\WINDOWS\tasks\At145.job

C:\WINDOWS\tasks\At146.job

C:\WINDOWS\tasks\At147.job

C:\WINDOWS\tasks\At148.job

C:\WINDOWS\tasks\At149.job

C:\WINDOWS\tasks\At15.job

C:\WINDOWS\tasks\At150.job

C:\WINDOWS\tasks\At151.job

C:\WINDOWS\tasks\At152.job

C:\WINDOWS\tasks\At153.job

C:\WINDOWS\tasks\At154.job

C:\WINDOWS\tasks\At155.job

C:\WINDOWS\tasks\At156.job

C:\WINDOWS\tasks\At157.job

C:\WINDOWS\tasks\At158.job

C:\WINDOWS\tasks\At159.job

C:\WINDOWS\tasks\At16.job

C:\WINDOWS\tasks\At160.job

C:\WINDOWS\tasks\At161.job

C:\WINDOWS\tasks\At162.job

C:\WINDOWS\tasks\At163.job

C:\WINDOWS\tasks\At164.job

C:\WINDOWS\tasks\At165.job

C:\WINDOWS\tasks\At166.job

C:\WINDOWS\tasks\At167.job

C:\WINDOWS\tasks\At168.job

C:\WINDOWS\tasks\At169.job

C:\WINDOWS\tasks\At17.job

C:\WINDOWS\tasks\At170.job

C:\WINDOWS\tasks\At171.job

C:\WINDOWS\tasks\At172.job

C:\WINDOWS\tasks\At173.job

C:\WINDOWS\tasks\At174.job

C:\WINDOWS\tasks\At175.job

C:\WINDOWS\tasks\At176.job

C:\WINDOWS\tasks\At177.job

C:\WINDOWS\tasks\At178.job

C:\WINDOWS\tasks\At179.job

C:\WINDOWS\tasks\At18.job

C:\WINDOWS\tasks\At180.job

C:\WINDOWS\tasks\At181.job

C:\WINDOWS\tasks\At182.job

C:\WINDOWS\tasks\At183.job

C:\WINDOWS\tasks\At184.job

C:\WINDOWS\tasks\At185.job

C:\WINDOWS\tasks\At186.job

C:\WINDOWS\tasks\At187.job

C:\WINDOWS\tasks\At188.job

C:\WINDOWS\tasks\At189.job

C:\WINDOWS\tasks\At19.job

C:\WINDOWS\tasks\At190.job

C:\WINDOWS\tasks\At191.job

C:\WINDOWS\tasks\At192.job

C:\WINDOWS\tasks\At2.job

C:\WINDOWS\tasks\At20.job

C:\WINDOWS\tasks\At21.job

C:\WINDOWS\tasks\At22.job

C:\WINDOWS\tasks\At23.job

C:\WINDOWS\tasks\At24.job

C:\WINDOWS\tasks\At25.job

C:\WINDOWS\tasks\At26.job

C:\WINDOWS\tasks\At27.job

C:\WINDOWS\tasks\At28.job

C:\WINDOWS\tasks\At29.job

C:\WINDOWS\tasks\At3.job

C:\WINDOWS\tasks\At30.job

C:\WINDOWS\tasks\At31.job

C:\WINDOWS\tasks\At32.job

C:\WINDOWS\tasks\At33.job

C:\WINDOWS\tasks\At34.job

C:\WINDOWS\tasks\At35.job

C:\WINDOWS\tasks\At36.job

C:\WINDOWS\tasks\At37.job

C:\WINDOWS\tasks\At38.job

C:\WINDOWS\tasks\At39.job

C:\WINDOWS\tasks\At4.job

C:\WINDOWS\tasks\At40.job

C:\WINDOWS\tasks\At41.job

C:\WINDOWS\tasks\At42.job

C:\WINDOWS\tasks\At43.job

C:\WINDOWS\tasks\At44.job

C:\WINDOWS\tasks\At45.job

C:\WINDOWS\tasks\At46.job

C:\WINDOWS\tasks\At47.job

C:\WINDOWS\tasks\At48.job

C:\WINDOWS\tasks\At49.job

C:\WINDOWS\tasks\At5.job

C:\WINDOWS\tasks\At50.job

C:\WINDOWS\tasks\At51.job

C:\WINDOWS\tasks\At52.job

C:\WINDOWS\tasks\At53.job

C:\WINDOWS\tasks\At54.job

C:\WINDOWS\tasks\At55.job

C:\WINDOWS\tasks\At56.job

C:\WINDOWS\tasks\At57.job

C:\WINDOWS\tasks\At58.job

C:\WINDOWS\tasks\At59.job

C:\WINDOWS\tasks\At6.job

C:\WINDOWS\tasks\At60.job

C:\WINDOWS\tasks\At61.job

C:\WINDOWS\tasks\At62.job

C:\WINDOWS\tasks\At63.job

C:\WINDOWS\tasks\At64.job

C:\WINDOWS\tasks\At65.job

C:\WINDOWS\tasks\At66.job

C:\WINDOWS\tasks\At67.job

C:\WINDOWS\tasks\At68.job

C:\WINDOWS\tasks\At69.job

C:\WINDOWS\tasks\At7.job

C:\WINDOWS\tasks\At70.job

C:\WINDOWS\tasks\At71.job

C:\WINDOWS\tasks\At72.job

C:\WINDOWS\tasks\At73.job

C:\WINDOWS\tasks\At74.job

C:\WINDOWS\tasks\At75.job

C:\WINDOWS\tasks\At76.job

C:\WINDOWS\tasks\At77.job

C:\WINDOWS\tasks\At78.job

C:\WINDOWS\tasks\At79.job

C:\WINDOWS\tasks\At8.job

C:\WINDOWS\tasks\At80.job

C:\WINDOWS\tasks\At81.job

C:\WINDOWS\tasks\At82.job

C:\WINDOWS\tasks\At83.job

C:\WINDOWS\tasks\At84.job

C:\WINDOWS\tasks\At85.job

C:\WINDOWS\tasks\At86.job

C:\WINDOWS\tasks\At87.job

C:\WINDOWS\tasks\At88.job

C:\WINDOWS\tasks\At89.job

C:\WINDOWS\tasks\At9.job

C:\WINDOWS\tasks\At90.job

C:\WINDOWS\tasks\At91.job

C:\WINDOWS\tasks\At92.job

C:\WINDOWS\tasks\At93.job

C:\WINDOWS\tasks\At94.job

C:\WINDOWS\tasks\At95.job

C:\WINDOWS\tasks\At96.job

C:\WINDOWS\tasks\At97.job

C:\WINDOWS\tasks\At98.job

C:\WINDOWS\tasks\At99.job


Folder::

C:\found.000


Driver::

c3914a77

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->CFScript-8a-4.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

===============

K.


(Marcjaho) #17

Log, który powstał w trakcie usuwania:

http://wklej.org/id/48290/


(Leon$) #18

powtórz to jeszcze raz usuwanie się nie odbyło

:slight_smile:


(Marcjaho) #19

A teraz?

http://wklej.org/id/48311/


(Kambor4) #20

Też nic, jeszcze raz.

========

K.