Witam. “Złapałem” trojana Rootkit.AgentODG w pamięci operacyjnej. Zrobiłem wg Waszej instrukcji i zamieszczam poniżej kod. Tylko co ja mam teraz usunąć z tego to nie wiem. Nie mam zielonego pojęcia, czy wszystko? Proszę o pomoc. :o
Na innym forum wyczytałem, że powinno tych punktów być 50 a tu są tylko 23. Czy to wystarczy?
Ponieważ jadę zaraz do pracy dziś mogę już nie być na forum.
I jeszcze jedno, kiedy mam wyłączyć przywracanie systemu w menadżer urządzeń i czy później je włączać bo i tak z niego nie korzystam bo chyba nie działa jak chciałem przywrócić system. I co po wyłączeniu zrobić, czym zeskanować?
OK. Źle zrozumiałem z tymi kodami i wpisami. Już poprawiłem. (Taki sposób jest podany na filmikach w tym dziale). Ale poprawione i chyba teraz jest prawidłowo?
Natomiast do “jessi” . Jestem zielony w tym temacie i nie wiem co mam zrobić z tym co tam jest. Prosiłbym o wytłumaczenie łopatologicznie. Oraz czy z tym Combofix to mam zrobić wg tej strony?: http://www.bleepingcomputer.com/combofi … a-combofix . To aż mnie ciarki przechodzą. Proszę o wytłumaczenie , bo jestem kompletnie zielony i jeszcze te wirusy… ![-o<
Jak pisałem wczoraj przez wiatr mam problem z netem (radiówka).
Dodam jeszcze, że kłopoty z wirusami zaczęły się jak zacząłem szukać przyczyny , że Nero przestało widzieć nagrywarkę.Wgrywałem różne Nera, następnie Ashampoo. Bez zmian.Później pojawiło się info o brakującym pliku advrcntr2.dll. Więc zrobiłem tak : post1027775.html?hilit=brakuj%C4%85cy%20plik%20advrcntr2.dll#p1027775.
Potem wgrałem ASPI. Później zaczęły pojawiać się komunikat o odwoływaniu się do pamięci a ona nie może być “read”. Piszę to wszystko, bo to może być przyczyną zainfekowania i ułatwi lokalizację i usunięcie wirusów. Jeśli nie to opiszę to w innym poście. A teraz link. Nie wiem, czy dobrze zrozumiałem Cię i wkleiłem wszystkie (HijThis, OTL i SRENG) w nowy link bo nie wiedziałem jak tam dodać:
Przy wklejaniu wszystkich zawsze obcina mi końcówkę wpisu dlatego dodam ją oddzielnie.(prawdopodobnie przez g… internet lub wirus spowalnia a w biurze netu mają mnie już dosyć):
Myślę, że może tak być. Aha jak otwierałem SRENG-a to pojawił się jakiś komunikat, chyba ściągnęło nowe szczepionki a potem przekierowało mnie na stronę k- coś tam i chyba chciało nową wersję. Piszę chyba bo nie znam anglika.
I to by było na tyle. Oby udało Ci się wyleczyć mojego kompa. Idę się przespać. Nie wiem czy będzie później net? Pozdro.
Wkleiłem wszystko pod przecinkami w dół. Wyskoczył komunikat, że jakiś błąd OTL i zostanie zamknięty > zawiesił się. Zresetowałem i był komunikat o aplikacji drwtsn32.exe ale notatnik z wpisem skopiowałem. Internet się zawiesił albo awaria. Nie mogłem wejść na stronę. Cały czas jest jeszcze gorzej z netem. Tak jakby brak połączenia. Podaję pierwszy link:
Około 21.30 wyjeżdżam do pracy i boję się o połączenia netu. Dlatego jeżeli się nie odezwę to nie z niechęci tylko z w/w przyczyn.
Jeżeli będzie taka potrzeba to z combofixem powalczę ale jutro o ile będzie net. Teraz już nie wiem czy to jest wina dostawcy netu czy kompa.?
Aha jeszcze jedno. Te programy otwierają się w Moje Dokumenty > Pobieranie (nie mogę ustawić na pulpit tak jak było), tak jakoś się pomieszało ostatnio oraz powstało po tych skanowaniach sporo folderów, katalogów czy plików (nie znam się na tym) bezpośrednio na dysku C. To później można będzie usunąć.?
Witam ponownie. Już po pracy. Wczoraj w RunFix też zaznaczyłem z boku te pozycje z prawej strony Use…,skip…,Lop…,purity…(nie wiem czy dobrze?. Przy uruchamianiu OTL znowu poinformował mnie o bibliotece coś tam…Oto linki:
Po włączeni SRENG-a pojawił się komunikat o konieczności wejścia na stronę KZTechs.com i chyba pobraniu nowych szczepionek, po rozszerzeniu opisu tej treści : API Hook Detection Reports:
Nie wiem już co pisałem bo mi po Gmer-ze wyłącza system. Po dwukliku uruchamia się automatycznie, skanuje i po chwili jest info, że Rotkit dokonał zmian w systemie, czy chcę dokładnie przeskanować komputer? Naciskam TAK i po chwili wyłącza system a teraz przestawiło klawiaturę.
Spróbuję RSIT i Combofix ale najpierw się prześpię, żeby mieć pojęcie co robię (jeszcze nie spałem po nocy)- co mam do stracenia. W razie czego reinstalka systemowego C wystarczy czy C,D,E (mam akurat 3 partycje)?
Mam jeszcze tylko pytanie , czy internet po tych restartach nie chce chodzić przez te wirusy czy z winy operatora?. Bo oni twierdzą, że u nich jest wszystko OK. Teraz “chodzi” dobrze powiedziałbym nawet bdb.(chwilami)
Jeszcze raz uruchomiłem Gmera ale nie naciskałem Skanuj wszystko i skopiowałem to a potem zeskanowałem usługi i też zeskanowałem i otrzymałem info, że Gmer zlokalizował Rootkita. Może jeszcze to coś da? Jak masz jeszcze ochotę i czas to zerknij.
Rozwiń>>>zakładka CMD >>zaznacz CMD —w górne czarne pole wklej to:
Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.
Znów Gmer >>> tym razem zakładka CMD i zaznaczyć w niej opcję REGEDIT a do okna wkleić:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Kliknąć na Uruchom.
Potem nowe logi:
GMER na ustawieniu:>>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>
No to jest beznadziejna sytuacja: Rootkita widzi tylko GMER, inne narzędzia nie mogą go zobaczyć, a więc nie mogą go usunąc. A GMER nie jest postrzegany przez System, więc też nie może usunąć.
Spróbuję RSIT i Combofix ale najpierw się prześpię, żeby mieć pojęcie co robię (jeszcze nie spałem po nocy)- co mam do stracenia. W razie czego reinstalka systemowego C wystarczy czy C,D,E (mam akurat 3 partycje)?