Gość: Wojtek IP: *.neoplus.adsl.tpnet.pl 05.05.08, 21:14 antywirus wykryl rootkita MBR: \\.\PHYSICALDRIVE0, prosze o pomoc wklej.org/id/e4f091e747 Odpowiedz Link Zgłoś czytaj wygodnie posty
Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 05.05.08, 21:29 Zrob skan przy pomocy Dr. Web CureIt, napraw/usun co znajdzie. Nastepnie sciagnij i uruchom: www2.gmer.net/mbr/mbr.exe po uzyciu utowrzy sie plik mbr.log, ktorego zawartosc wklej na forum. Uzyj tez combofix: Utworz na pulpicie plik CFScript.txt i wklej do niego: Driver:: {DEF85C80-216A-43ab-AF70-1665EDBE2780} File:: C:\WINDOWS\TEMP\B.tmp Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c600e2a-b869-11dc-8fc4-000e50db0884}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae9f7405-e2d1-11dc-902e-000e50db0884}] [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}] Zapisz i przeciagnij na ikone combofix.exe Odpowiedz Link Zgłoś
Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 05.05.08, 22:28 zrobielm skan i Dr.Web znalazl i usunal BackDoor.MaosBoot nastepnie otrzymalem plik Stealth MBR rootkit detector 0.2.4 by Gmer, www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully malicious code @ sector 0x1749ddc1 size 0x1ca ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. przeciagnalem go wedle instrukcji i combofix rozpoczal skanowanie po czym antywirus wyskoczyl z informacja o znalezieniu wirusa plik: C:\ComboFix\SysPart0A Nazwa pasożyta: Win32:MBRoot-G [Rtk] Typ pasożyta: Rootkit Wersja VPS: 080504-0, 2008-05-04 po czym sie uruchomil ponownie usowajac combofiksa z c prosze o dalsze instrukcje Odpowiedz Link Zgłoś
Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 06.05.08, 02:46 Powinienes wylaczyc antywirus przed uzyciem combofix. Sciagnij go jeszcze raz i wykonaj to co napisalem przy wylaczonym antywirusie. Uruchom tez tryb awaryjny z wierszem polecen i uruchom: mbr.exe -f Odpowiedz Link Zgłoś
Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 06.05.08, 20:29 podaje brakujacego loga z combofixa otrzymanego po przecignieciu pliku CFScript.txt za chwile bede uruchamial komputer w trybie awaryjnym wedele wskazowek wklej.org/id/8bbf5b45b2 Odpowiedz Link Zgłoś
Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 06.05.08, 21:15 niestety wszytkie proby wejscia w tryb awaryjnu nie powiodly sie F8 nie dziala mimo iz rytmicznie i szybko wciskam jedynie uruchamiany jest bios Odpowiedz Link Zgłoś
Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 07.05.08, 06:36 Masz klawiature pod usb czy ps/2? Odpowiedz Link Zgłoś
Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 07.05.08, 13:25 Sandardowa klawiatura 101/102 klawisze lub Microsoft Natural Keyboard PS/2 Odpowiedz Link Zgłoś
Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 07.05.08, 20:39 Sprobuj zresetowac komputer podczas startu systemu (na samym poczatku) powinno samo wlaczyc sie menu wyboru trybu uruchomienia. Odpowiedz Link Zgłoś
Gość: ja Re: Prosze o sprawdzenie loga IP: 84.38.160.* 07.05.08, 21:36 Czesc, pisze w imieniu Wojtka. Podczas uruchamiania sie komputera wcisnal reset. nie udalo sie uruchomic trybu awaryjnego. Nie moze teraz nawiazac polaczenia z internetem. Caly czas wyskakuja mu bledy. sprawdzil polaczenie sieciowe i parametry identyfikacyjne - wszystko jest ok ale internetu wciaz brak. Czy to jest spowodowane tym resetem czy moze to tylko przypadek i faktycznie jakies przeciazenie neostrady i dlatego brak netu. Pozdrawiam Odpowiedz Link Zgłoś
Gość: ja Re: Prosze o sprawdzenie loga IP: 84.38.160.* 07.05.08, 21:54 Udalo mu sie wejsc w tryb awaryjny z wierszem polecen. Jednak jest problem z uruchomieniem mbr.exe -f Wyswietla sie komuniakt "nazwa mbr.exe -f nie jest rozpoznawalna jako wewnetrzne lub zewnetrzne polecenie lub plik wsadowy" Odpowiedz Link Zgłoś
Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 07.05.08, 22:51 Plik mbr.exe musi byc na C:\ i dopiero trzeba uruchomic. Odpowiedz Link Zgłoś
Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 08.05.08, 06:34 Plik mbr.exe znajduje sie na pulpicie i w trzybie awaryjnym z wiersza polecen nie daje sie uruhomic Odpowiedz Link Zgłoś
Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 08.05.08, 08:48 Dlatego napisalem zebys zgral plik mbr.exe na C:\, wtedy latwo Ci bedzie go uruchomic bez zmiany katalogu. Odpowiedz Link Zgłoś
Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 08.05.08, 12:22 Po uruchomieniu mbr.exe w trybie awaryjnym otrzymalem: c:\Documents and Settings\aga>mbr.exe -f Stealth MBR rootkit detector 0.2.4 by Gmer, www.gmer.net device:opened successfully user:MBR read successfully kernel:MBR read successfully ser&hernel MBR OK malicious code @ sector 0x1749 ddci size 0xica! copy MBR has been found in sector 62! Odpowiedz Link Zgłoś
Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 08.05.08, 16:33 Daj jeszcze log z combofix o ktory prosilem, do tego zrob skan przy pomocy Dr.Web CureIt i sprawdz czy cos wykryje. Odpowiedz Link Zgłoś
Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 08.05.08, 22:05 Loga juz podawalem wczesniej: forum.gazeta.pl/forum/72,2.html? f=430&w=79180039&a=79224279 , chyba ze mam podac nowego? a oto rapot z DR.Web img.wklej.org/v.php?id=47327raport.JPG Odpowiedz Link Zgłoś
Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 08.05.08, 22:16 jeszcze raz podajes tego loga wklej.org/id/8bbf5b45b2 Odpowiedz Link Zgłoś
Gość: ja Re: Prosze o sprawdzenie loga IP: 84.38.160.* 08.05.08, 22:24 jeszcze raz: wklej.org/id/8bbf5b45b2 Odpowiedz Link Zgłoś
Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 09.05.08, 08:40 Masz dac nowy log. Do tego wylacz na chwile przywracanie systemu, nastepnie mozesz utworzyc nowy punkt. Odpowiedz Link Zgłoś
Gość: ja Re: Prosze o sprawdzenie loga IP: 84.38.160.* 09.05.08, 08:52 przywracanie systemu wylaczyc przed uzyciem combofixa czy po? Odpowiedz Link Zgłoś