Wolno działający Internet. Możliwy Rootkit


(Sebas3k1) #1

Witam

Problem polega na tym ,iż posiadam neta 8MB i na komputerze stacjonarnym nie mogę osiągnąć pełni transferu a na laptopie działa jak należy. Daje logi ze wszystkiego co jest dostępne w necie i licze na pomoc

Logi :

http://wklej.org/hash/affb6117ad/

http://wklej.org/hash/53527e4309/

http://wklej.org/hash/0896f360bd/

http://wklej.org/hash/b06cce1807/


(Isiek06) #2

Przeskanuj kompa skanerem antywirusowym najlepiej Kaspersky antyvirus albo mks chodzi o intenetowe skanery(linki mozesz znależć na stronie głownej dobreprogramy) jak coś wyrkyje to bedziesz wiedział z czym problem


(jessica) #3

Jest fałszywy "soundman.exe" - jest w innej lokalizacji, niż normalny.

Wklej do Notatnika :

File::

c:\windows\pages.sys

c:\windows\system32\wpass.exe

c:\windows\system32\retry.bat

c:\windows\system32\netloss.exe

C:\WINDOWS\system32\dllcache\SOUNDMAN.exe

C:\WINDOWS\pages.sys


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="explorer.exe" 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SOUNDMAN]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"SOUNDMAN"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Sebas3k1) #4

http://wklej.org/hash/c6c1abbe10/

A ten wpis jak sądzisz :

"Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvatabus.sys spui.sys >>UNKNOWN [0x8678D938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\atapi -> 0x867db1f8

Warning: possible MBR rootkit infection !

user & kernel MBR OK

Use "Recovery Console" command "fixmbr" to clear infection !"


(jessica) #5

Log wygląda na czysty.

Prawdę mówiąc, to sama jeszcze nie wiem, czy to nie fałszywy alarm.

Ale na wszelki wypadek użyj > mbr.exe >http://www.searchengines.pl/index.php?show...mp;#entry470953 (scan trwa tylko 2 sekundy)

Wykonaj wszystkie cztery punkty.

Nawiasem mówiąc: zauważyłam, że na forum, z którego będziesz korzystał z tego mbr.exe, jest to usuwane, a więc jest traktowane jako Rootkit w sektorze MBR.

jessi