Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

antywirus wykrył rootkita, podaję logi z Hjt i combofix

#1
antywirus wykrył rootkita, podaję logi z Hjt i combofix
avast informuje mnie że na komputer wkradł mi się jakiś rotkit o nazwie: Wi... problem polega na tym że nie wiem jak go usunąć.
proszę o pomoc ze szczegółowymi infornacjami ponieważ nie wiem co, jak i gdzie trzeba zrobić by się go pozbyć. Proszę o szybkie zainteresowanie
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#2
RE: problem z rotkitem
W jakim pliku/plikach znajdywana jest infekcja ?
Wykonaj logi z Hijacthis oraz Combofix - szczegóły w wątkach przyklejonych. Na czas działania Combofix wyłącz ochronę rezydentną Avasta (to już Twój problem, jak to zrobić Wesoły)
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#3
RE: problem z rotkitem
log z HiJackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:53:25, on 2002-01-19
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\neostrada tp\neostradatp.exe
C:\Program Files\neostrada tp\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Toaster.exe
C:\PROGRA~1\NEOSTR~1\Inactivity.exe
C:\PROGRA~1\NEOSTR~1\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\neostrada tp\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\QuickTime\QuickTimePlayer.exe
C:\DOCUME~1\kom\USTAWI~1\Temp\Katalog tymczasowy 1 dla HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl/szukajneo.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Oprogramowanie Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Badanie - {92780b25-18cc-41c8-b9be-3c9c571a8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: Atxpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{31A3C60D-5FDE-4E5A-9CAC-BFC5AF2BF9C3}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{31A3C60D-5FDE-4E5A-9CAC-BFC5AF2BF9C3}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Usługa inteligentnego transferu w tle (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Aktualizacje automatyczne (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 6006 bytes
ComboFix 09-04-04.01 - kom 2002-01-19 21:14:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.1983.1575 [GMT 1:00]
Uruchomiony z: c:\program files\ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 090408-0] *On-access scanning disabled* (Updated)
* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\kom\Dane aplikacji\ShoppingReport
c:\documents and settings\kom\Dane aplikacji\ShoppingReport\cs\Config.xml
c:\documents and settings\kom\Dane aplikacji\ShoppingReport\cs\db\Aliases.dbs
c:\documents and settings\kom\Dane aplikacji\ShoppingReport\cs\db\Sites.dbs
c:\documents and settings\kom\Dane aplikacji\ShoppingReport\cs\dwld\WhiteList.xip
c:\documents and settings\kom\Dane aplikacji\ShoppingReport\cs\report\aggr_storage.xml
c:\documents and settings\kom\Dane aplikacji\ShoppingReport\cs\report\send_storage.xml
c:\documents and settings\kom\Dane aplikacji\ShoppingReport\cs\res2\WhiteList.dbs
c:\documents and settings\kom\Dane aplikacji\wiaserva.log
c:\program files\ShoppingReport
c:\program files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
c:\program files\ShoppingReport\Uninst.exe
c:\windows\IE4 Error Log.txt
c:\windows\system32\3.tmp
c:\windows\system32\4.tmp
c:\windows\system32\5.tmp
c:\windows\system32\6.tmp
c:\windows\system32\7.tmp
c:\windows\system32\crypts.dll
c:\windows\system32\setup.ini

.
((((((((((((((((((((((((( Pliki utworzone od 2009-03-04 do 2009-04-04 )))))))))))))))))))))))))))))))
.

2009-03-19 00:32 . 2008-04-14 01:15 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2009-03-19 00:19 . 2009-03-19 00:19 <DIR> d-------- c:\windows\Downloaded Installations
2009-03-15 15:46 . 2009-03-15 15:46 <DIR> d-------- c:\program files\Zoner
2009-03-15 15:46 . 2009-03-15 15:46 <DIR> d-------- c:\documents and settings\kom\Dane aplikacji\Zoner
2009-03-15 13:54 . 2009-03-15 13:54 <DIR> d-------- c:\documents and settings\kom\Dane aplikacji\Ahead
2009-03-15 13:54 . 2003-03-29 16:45 89,184 --a------ c:\windows\system32\drivers\imagedrv.sys
2009-03-15 13:54 . 2003-09-15 14:56 57,344 --a------ c:\windows\system32\ImageDrive.cpl
2009-03-15 13:53 . 2009-03-15 13:53 <DIR> d-------- c:\program files\Common Files\Ahead
2009-03-15 13:53 . 2009-03-15 13:53 <DIR> d-------- c:\program files\Ahead
2009-03-15 13:53 . 2001-07-06 14:41 569,344 --a------ c:\windows\system32\imagr5.dll
2009-03-15 13:53 . 2001-07-06 12:44 544,768 --a------ c:\windows\system32\imagx5.dll
2009-03-15 13:53 . 2001-07-06 18:24 283,920 --a------ c:\windows\system32\ImagXpr5.dll
2009-03-15 13:53 . 2001-07-09 11:50 155,648 --a------ c:\windows\system32\NeroCheck.exe
2009-03-15 13:53 . 2001-06-26 08:15 38,912 --a------ c:\windows\system32\picn20.dll
2009-03-15 13:14 . 2009-03-15 13:14 <DIR> d-------- c:\program files\Sweet Home 3D
2009-03-15 11:44 . 2009-03-15 11:44 <DIR> d--h----- c:\documents and settings\All Users\Dane aplikacji\CanonIJEGV
2009-03-15 11:43 . 2008-04-14 01:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-03-15 11:43 . 2008-04-14 01:17 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-03-15 11:39 . 2009-03-15 11:39 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2009-03-15 11:39 . 2009-03-15 11:39 <DIR> d--h----- c:\program files\CanonBJ
2009-03-15 11:39 . 2009-03-15 11:39 <DIR> d--h----- c:\documents and settings\All Users\Dane aplikacji\CanonBJ
2009-03-15 11:39 . 2008-03-11 07:00 230,912 --a------ c:\windows\system32\CNMLM9M.DLL
2009-03-15 11:38 . 2009-03-15 11:50 <DIR> d-------- c:\program files\Canon
2009-03-14 21:07 . 2009-03-14 21:07 <DIR> d-------- c:\documents and settings\kom\.gstreamer-0.10
2009-03-14 20:48 . 2002-01-04 19:52 <DIR> d-------- c:\program files\Nowe Gadu-Gadu
2009-03-14 20:48 . 2002-01-15 21:02 <DIR> d-------- c:\documents and settings\kom\Dane aplikacji\Nowe Gadu-Gadu
2009-03-14 20:34 . 2009-03-14 20:34 <DIR> d-------- c:\documents and settings\kom\Dane aplikacji\Apple Computer
2009-03-14 20:33 . 2009-03-14 20:33 <DIR> d-------- c:\documents and settings\kom\Dane aplikacji\Skinux
2009-03-14 20:32 . 2009-03-14 20:32 <DIR> d-------- c:\program files\QuickTime
2009-03-14 20:31 . 2009-03-14 20:31 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Apple Computer
2009-03-14 20:30 . 2009-03-14 20:31 <DIR> d-------- c:\program files\Common Files\Kodak
2009-03-14 20:27 . 2009-03-14 20:31 <DIR> d-------- c:\program files\Kodak
2009-03-14 20:25 . 2009-03-14 20:32 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Kodak
2009-03-14 20:22 . 2009-03-14 20:22 <DIR> d-------- c:\program files\MarBit
2009-03-14 20:01 . 2008-04-14 23:50 159,232 --a------ c:\windows\system32\ptpusd.dll
2009-03-14 20:01 . 2008-04-14 01:15 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-03-14 20:01 . 2008-04-14 01:15 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2009-03-14 20:01 . 2001-10-26 18:29 5,632 --a------ c:\windows\system32\ptpusb.dll
2009-03-14 19:47 . 2003-06-19 02:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-03-14 19:47 . 2002-01-16 15:44 421 --a------ c:\windows\ODBC.INI
2009-03-14 19:30 . 2008-04-14 22:51 221,184 --a------ c:\windows\system32\wmpns.dll

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-04 19:20 83,294 ----a-w c:\windows\system32\drivers\1b7986aa.sys
2009-04-04 19:18 --------- d-----w c:\program files\neostrada tp
2009-03-18 22:19 --------- d-----w c:\program files\Common Files\InstallShield
2002-01-19 19:43 3,067,803 ----a-r c:\program files\ComboFix.exe
2002-01-19 19:24 318,369 ----a-w c:\program files\HiJackThis.zip
2002-01-18 18:45 737,280 ----a-w c:\program files\gromozon rootkit.exe
2002-01-18 14:07 278,161 ----a-w c:\program files\gmer.zip
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-02-27 9339496]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-02-01 385024]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-04 1848648]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-06-15 c:\windows\SkyTel.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\alcwzrd.exe]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]
"AdslTaskBar"="stmctrl.dll" [2006-06-02 c:\windows\system32\stmctrl.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2008-04-14 c:\windows\system32\advpack.dll]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 29696]
Oprogramowanie Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-05-10 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2002-01-01 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2002-01-01 20560]
R3 Stmatm;ATM/ADSL miniport;c:\windows\system32\drivers\stmatm.sys [2002-01-01 60255]
R3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\drivers\torususb.sys [2002-01-01 684265]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);c:\windows\system32\drivers\k510bus.sys [2002-01-02 58288]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;c:\windows\system32\drivers\k510obex.sys [2002-01-02 83344]
.
Zawartość folderu 'Zaplanowane zadania'

2009-03-14 c:\windows\Tasks\EasyShare Registration Task.job
- c:\docume~1\ALLUSE~1\DANEAP~1\Kodak\EasyShareSetup\$REGIS~1\Registration_7.8.20.2.sxt _RegistrationOfferAt16 []
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.neostrada.pl
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
IE: {{C5428486-50A0-4a02-9D20-520B59A9F9B3} - {A16AD1E9-F69A-45af-9462-B1C286708842} -
TCP: {31A3C60D-5FDE-4E5A-9CAC-BFC5AF2BF9C3} = 194.204.159.1 217.98.63.164
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-04 21:20:47
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1b7986aa]
"ImagePath"="\SystemRoot\System32\drivers\1b7986aa.sys"
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\progra~1\NEOSTR~1\TaskBarIcon.exe
c:\program files\Nowe Gadu-Gadu\spellchecker_gg.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Czas ukończenia: 2009-04-04 21:22:07 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-04-04 19:22:04

Przed: 5 623 738 368 bajtów wolnych
Po: 6,239,911,936 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

175
nie wiem czy dobrze to zrobiłam ale inaczej nie potrafięSmutek
jeśli coś jest źle to proszę napisać co to postaram się to zmienić
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#4
RE: problem z rotkitem
to jest znajdowane w pliku:
c:\Windows\System32\drivers\1b7986aa.sys
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#5
RE: problem z rotkitem
W HJT fixnij pliki
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
Ja się dopiero uczę więc zanim to zrobisz niech się wypowie ktoś inny. Czytałaś? http://forum.pcformat.pl/thread-8504.html
 System operacyjny: windows_xp_2003 Przeglądarka: ie8
#6
RE: problem z rotkitem
W HJT fix:
Kod:
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
HJT może nie usunąć wpisów 09 - nie szkodzi - wtedy zrobimy to ręcznie.
Widać uszkodzone usługi BITS oraz Aktualizacje Automatyczne - zostawiamy do naprawy na koniec.

Do notatnika wklej:
Kod:
Driver::
1b7986aa

File::
c:\windows\system32\drivers\1b7986aa.sys

FileLook::
c:\windows\system32\dllcache\usbstor.sys
c:\windows\system32\usbstor.sys
c:\windows\system32\mdimon.dll
c:\windows\system32\dllcache\mdimon.dll
c:\windows\system32\wmpns.dll
c:\windows\system32\dllcache\wmpns.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1b7986aa]

DirLook::
c:\program files\Zoner
Plik zapisz jako CFScript.txt
CFScript.txt przeciągnij i upuść na ikonkę Combofix.exe
Rozpocznie się usuwanie. Wrzuć log z usuwania.
Na czas działania Combofix wyłącz rezydentną ochronę antywirusową.
Wykonaj log z SDFix w trybie awaryjnym (pierwszy wynik z google)
Wykonaj log z GMERa:
Cytat:kamel16 napisał
1. z prawej strony zaznacz usługi, oraz Pokazuj wszystko, szukaj-> kopiuj-> Wklej zawartość do notatnika i podaj na forum
2. z prawej strony zaznacz tylko usługi -> szukaj-> kopiuj-> Wklej zawartość do notatnika i podaj na forum
Jeśli wystąpi BSOD odznacz ptaszka przy "Sekcje" - reszta jak wyżej.
Na koniec nowy log z Hijacthis.

Logi podaj w formie załączników.
Znasz ta aplikację:
c:\program files\gromozon rootkit.exe
?
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#7
RE: problem z rotkitem
tą aplikacją chciałam pozbyć się tego ale informacji jaka sie wyświetliła nie zrozumiałam bo była w inym języku
wstawiam jeszcze raz log z HJT bo nie mogę znajeść tych plików co mam je usunąć. być może dlatego że wczoraj w avast usunęłam jakieś 2 elementy
a więc dzisiejszy log z HJT
http://www.wklejto.pl/30824
A tu mam log z Combofix już po po przeciągnięciu zawartości notatki na Combofix.exe

http://www.wklejto.pl/30826
a co mam wpisać w google żeby wykonąć log z SDFix w trybie awaryjnym?
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#8
RE: problem z rotkitem
(09.04.2009, 14:39)mariol_ka napisał(a): bo nie mogę znajeść tych plików co mam je usunąć.

(09.04.2009, 14:39)mariol_ka napisał(a): Nie wiem o czym mówisz.
a co mam wpisać w google żeby wykonąć log z SDFix w trybie awaryjnym?
Sorry...ale to jakiś żart ?
google <= SDFix
Instrukcja jest w pierwszym linku. Trochę samodzielności. Log wykonujesz w trybie awaryjnym.
Przypominam o logu z GMERa.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: linux Przeglądarka: firefox
#9
RE: problem z rotkitem
Przepraszam ale to nie był żart! wczoraj tej strony nie mogłam otworzyć, cały czas wyświetlało się żeby ją odświeżyć ale odświeżałam i nic, więc pomyślałam że moze trzeba wpisać coś innego i chciałam sie upewnić.
log z SDFix http://www.wklejto.pl/30910
stosując się do cytatu Kamela16:
1. http://www.wklejto.pl/30912
2. wyskakuje informacja : "GMER nie odnalazł żadnych modyfikacji systemu"
i na koniec jak kazałeś z HJT:
http://www.wklejto.pl/30918
 System operacyjny: windows_xp_2003 Przeglądarka: ie
#10
RE: problem z rotkitem
OK. Kroki końcowe.

Otwórz notatnik i wklej do niego:
Kod:
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{C5428486-50A0-4a02-9D20-520B59A9F9B3}]
Plik zapisz jako rejestr.reg
Dwuklik na rejestr.reg i import do rejestru.
Metoda alternatywna: start, uruchom, regedit.exe
odnajdujesz pogrubiony klucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{C5428486-50A0-4a02-9D20-520B59A9F9B3}
i usuwasz go (tylko ten pogrubiony).

Start, uruchom, regedit.exe
Znajdujesz klucz:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
prawoklik na BITS, uprawnienia, Dodaj, wklepujesz swoją nazwę użytkownika, wciskasz sprawdzenie nazwy, a następnie przyznajesz sobie pełne prawa do klucza BITS.
W okienku po prawo masz wartość:
ImagePath=%fystemRoot%\system32\svchost.exe -k netsvcs
Proszę to przerobić na:
ImagePath=%SystemRoot%\system32\svchost.exe -k netsvcs

(czyli zmiana znaku f na S).
Jak to zrobisz, znowu prawoklik na BITS, uprawnienia i usuwasz nazwę użytkownika, która przed chwilą dodałaś (tylko i wyłącznie nazwę użytkownika dodaną przez Ciebie !).
To samo robisz w gałęziach:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS (jeśli istnieje)
oraz:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv (jeśli istnieje)

Na koniec: start, uruchom, services.msc
i sprawdzasz czy bez problemu możesz zastartować usługi:
Usługa Inteligentnego Transferu w tle
Aktualizacje Automatyczne
(w takiej kolejności w jakiej podałem)
Na koniec pokaż nowy log z Hijackthis
(ale tym razem wrzuć go na http://wklej.org)
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Podobne wątki (antywirus wykrył rootkita, podaję logi z Hjt i combofix)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
Sad antywirus klik17 7 490 11.10.2021, 11:01
Ostatni post: klik17
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 116 307028 09.10.2021, 17:22
Ostatni post: klik17
  Kaspersky niemoże usunąć rootkita Ymir6066 4 1754 03.06.2018, 16:48
Ostatni post: morderca

Skocz do: