Wirus rootkit Pomoc

Dla specjalistów Bezpieczeństwo
#1

Witam mam problem mianowicie z nagrywarka uruchamiajac imgburn wyswietla mi tekst : E 16:50:21 CreateFile Failed! - Device: ‘\.\CdRom0’ (E:)

E 16:50:21 Reason: Przekroczono maksymalną liczbę haseł, które mogą być przechowywane w pojedynczym systemie.

E 16:50:23 CreateFile Failed! - Device: ‘\.\CdRom1’ (G:)

E 16:50:23 Reason: Przekroczono maksymalną liczbę haseł, które mogą być przechowywane w pojedynczym systemie.

E 16:50:25 CreateFile Failed! - Device: ‘\.\CdRom2’ (F:)

E 16:50:25 Reason: Przekroczono maksymalną liczbę haseł, które mogą być przechowywane w pojedynczym systemie.

W 16:50:25 Errors were encountered when trying to access 3 drives.

W 16:50:25 These drives will not be visible in the program.

E 16:50:25 You’ve got a virus/rootkit (or similar) blocking access to the drives via SPTI.

E 16:50:25 Try using one or more of the following freeware tools to remove it from your system:

E 16:50:25 1. GMER - http://www.gmer.net/

E 16:50:25 2. RootRepeal - http://rootrepeal.googlepages.com/

E 16:50:25 3. avast! Antivirus Home Edition - http://www.avast.com/

E 16:50:25 4. Malwarebytes’ Anti-Malware - http://www.malwarebytes.org/

E 16:50:25 Removal instructions can be found here: http://forum.imgburn.com/index.php?showtopic=10650

niewiem co to znaczy wiec wklejam log z hijack http://wklej.org/id/152770/

#2

Akurat HiJackThis nigdy nie pokaże rootkita. Nawet sam ImgBurn Ci podpowiada, jakimi narzędziami masz się posłużyć. #-o

Pokaż logi OTL

(Na Windows Vista uruchamiamy program z menu Uruchom jako Administrator… ), GMER

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj ,

oraz SREng.

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

#3

deFco247 mam mały problem poniewaz gdy uruchamiam gmer to wyskakuje niebieski ekran i restart kompa ale wklejam log SREng http://wklej.to/n1Z5 i OTL : LOG http://wklej.to/uPyg

#4

Na tego typu infekcję zastosuj Combofix - już w czasie pobierania zmień mu nazwę na losową z rozszerzeniem .com

Pokaż log.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

#5

Po scanie Combo fixem niemam loga !!

#6

Nie ma go we wskazanej przez Combofix lokalizacji? (zwykle C:\Combofix.txt )

#7

szukalem nawet wyszukiwarka i niema loga combofixa

#8

W takim razie pokaż nowe logi OTL i RootRepeal.

W RoorRepeal: zakładka Report -> Scan -> zaznaczasz wszystko -> OK i wklejasz powstały log.

#9

Oto Log RootRepeal: http://wklej.to/fg3C oraz LOG OTL : http://wklej.to/TF7I . Help

Dodane 20.09.2009 (N) 20:08

Sprawdzi mi ktos te logi

#10

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O4 - HKU\S-1-5-21-484763869-920026266-725345543-1003..\Run: [ALLUpdate] File not found

O4 - HKU\S-1-5-21-484763869-920026266-725345543-1003..\Run: [AutoStartNPSAgent] File not found

O4 - HKU\S-1-5-21-484763869-920026266-725345543-1003..\Run: [DAEMON Tools Lite] File not found

O4 - HKU\S-1-5-21-484763869-920026266-725345543-1003..\Run: [MSMSGS] File not found

O4 - HKU\S-1-5-21-484763869-920026266-725345543-1003..\Run: [Nowe Gadu-Gadu] File not found

O4 - HKU\S-1-5-21-484763869-920026266-725345543-1003..\Run: [UberIcon] File not found


:Files

C:\Qoobox

C:\Documents and Settings\All Users\Dane aplikacji\ovaruwum.exe

C:\Documents and Settings\Laptopeczek\Dane aplikacji\habokiq.db

C:\Documents and Settings\Laptopeczek\Dane aplikacji\ukyjyxe.com

C:\WINDOWS\tolibyga._sy

C:\Documents and Settings\All Users\Dane aplikacji\utabyd._dl

C:\Program Files\Common Files\uhibox.reg

C:\WINDOWS\System32\ipivokyk.bat

C:\WINDOWS\ixaca.vbs

C:\Documents and Settings\All Users\Dane aplikacji\ubojenuh.reg

C:\WINDOWS\yfocomyjil.inf

C:\WINDOWS\ukorigaze.sys

C:\Documents and Settings\Laptopeczek\Ustawienia lokalne\Dane aplikacji\dusexus.com

C:\Documents and Settings\Laptopeczek\Ustawienia lokalne\Dane aplikacji\yroliduha.bin

C:\Documents and Settings\All Users\Dokumenty\qogabehet.ban

C:\WINDOWS\omeq._dl

C:\Documents and Settings\Laptopeczek\Dane aplikacji\fumejydu.inf

C:\WINDOWS\uhelow.dat

C:\Documents and Settings\Laptopeczek\Dane aplikacji\uryhe.bin

C:\WINDOWS\itoxyz.bin

C:\WINDOWS\System32\dimiqyg.reg

C:\Documents and Settings\Laptopeczek\Dane aplikacji\opunudyt.vbs

C:\WINDOWS\wabovut.lib

C:\Documents and Settings\Laptopeczek\Ustawienia lokalne\Dane aplikacji\qalurodomi.exe

C:\WINDOWS\System32\qanu.ban

C:\Program Files\Common Files\ocuvy.vbs

C:\WINDOWS\System32\oseguz.sys

C:\Documents and Settings\All Users\Dane aplikacji\fyxadi.inf

C:\WINDOWS\System32\ybuc._dl

C:\Documents and Settings\Laptopeczek\Dane aplikacji\ozoc.reg

C:\Documents and Settings\All Users\Dokumenty\azolacosyn.exe

C:\Documents and Settings\All Users\Dane aplikacji\adygezu.inf

C:\Program Files\Common Files\uzasezybid.dll

C:\Documents and Settings\Laptopeczek\Ustawienia lokalne\Dane aplikacji\bydyhigy.db

C:\Program Files\Common Files\odajebado.bin

C:\Documents and Settings\All Users\Dane aplikacji\kipecew.bat

C:\WINDOWS\System32\yponiwule.exe

C:\Documents and Settings\All Users\Dokumenty\soven.exe

C:\Documents and Settings\Laptopeczek\Dane aplikacji\hexymosuxy.pif

C:\Program Files\Common Files\govik.dat

C:\Documents and Settings\All Users\Dane aplikacji\humoxom.vbs

C:\Documents and Settings\Laptopeczek\Ustawienia lokalne\Dane aplikacji\durawisugu.db


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BearFlix"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NPSStartup"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"sXe Injected"=-


:Commands

[emptytemp]

[start explorer]

[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi