Prosze o sprawdzenie loga

IP: *.neoplus.adsl.tpnet.pl 05.05.08, 21:14
antywirus wykryl rootkita MBR: \\.\PHYSICALDRIVE0, prosze o pomoc
wklej.org/id/e4f091e747
    • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 05.05.08, 21:29
      Zrob skan przy pomocy Dr. Web CureIt, napraw/usun co znajdzie.
      Nastepnie sciagnij i uruchom: www2.gmer.net/mbr/mbr.exe po uzyciu utowrzy sie plik mbr.log, ktorego zawartosc wklej na forum.

      Uzyj tez combofix:
      Utworz na pulpicie plik CFScript.txt i wklej do niego:

      Driver::
      {DEF85C80-216A-43ab-AF70-1665EDBE2780}

      File::
      C:\WINDOWS\TEMP\B.tmp

      Registry::
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c600e2a-b869-11dc-8fc4-000e50db0884}]
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae9f7405-e2d1-11dc-902e-000e50db0884}]
      [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

      Zapisz i przeciagnij na ikone combofix.exe
      • Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 05.05.08, 22:28
        zrobielm skan i Dr.Web znalazl i usunal BackDoor.MaosBoot
        nastepnie otrzymalem plik
        Stealth MBR rootkit detector 0.2.4 by Gmer, www.gmer.net

        device: opened successfully
        user: MBR read successfully
        kernel: MBR read successfully
        malicious code @ sector 0x1749ddc1 size 0x1ca !
        copy of MBR has been found in sector 62 !
        MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

        przeciagnalem go wedle instrukcji i combofix rozpoczal skanowanie po
        czym antywirus wyskoczyl z informacja o znalezieniu wirusa

        plik: C:\ComboFix\SysPart0A
        Nazwa pasożyta: Win32:MBRoot-G [Rtk]
        Typ pasożyta: Rootkit
        Wersja VPS: 080504-0, 2008-05-04

        po czym sie uruchomil ponownie usowajac combofiksa z c
        prosze o dalsze instrukcje
        • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 06.05.08, 02:46
          Powinienes wylaczyc antywirus przed uzyciem combofix. Sciagnij go jeszcze raz i wykonaj to co napisalem przy wylaczonym antywirusie.
          Uruchom tez tryb awaryjny z wierszem polecen i uruchom: mbr.exe -f
          • Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 06.05.08, 20:29
            podaje brakujacego loga z combofixa otrzymanego po przecignieciu
            pliku CFScript.txt
            za chwile bede uruchamial komputer w trybie awaryjnym wedele
            wskazowek
            wklej.org/id/8bbf5b45b2
            • Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 06.05.08, 21:15
              niestety wszytkie proby wejscia w tryb awaryjnu nie powiodly sie
              F8 nie dziala mimo iz rytmicznie i szybko wciskam
              jedynie uruchamiany jest bios
              • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 07.05.08, 06:36
                Masz klawiature pod usb czy ps/2?
                • Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 07.05.08, 13:25
                  Sandardowa klawiatura 101/102 klawisze lub Microsoft Natural
                  Keyboard PS/2
                  • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 07.05.08, 20:39
                    Sprobuj zresetowac komputer podczas startu systemu (na samym poczatku) powinno samo wlaczyc sie menu wyboru trybu uruchomienia.
                    • Gość: ja Re: Prosze o sprawdzenie loga IP: 84.38.160.* 07.05.08, 21:36
                      Czesc, pisze w imieniu Wojtka. Podczas uruchamiania sie komputera wcisnal reset.
                      nie udalo sie uruchomic trybu awaryjnego. Nie moze teraz nawiazac polaczenia z
                      internetem. Caly czas wyskakuja mu bledy. sprawdzil polaczenie sieciowe i
                      parametry identyfikacyjne - wszystko jest ok ale internetu wciaz brak. Czy to
                      jest spowodowane tym resetem czy moze to tylko przypadek i faktycznie jakies
                      przeciazenie neostrady i dlatego brak netu. Pozdrawiam
                      • Gość: ja Re: Prosze o sprawdzenie loga IP: 84.38.160.* 07.05.08, 21:54
                        Udalo mu sie wejsc w tryb awaryjny z wierszem polecen. Jednak jest problem z
                        uruchomieniem mbr.exe -f
                        Wyswietla sie komuniakt "nazwa mbr.exe -f nie jest rozpoznawalna jako wewnetrzne
                        lub zewnetrzne polecenie lub plik wsadowy"
                        • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 07.05.08, 22:51
                          Plik mbr.exe musi byc na C:\ i dopiero trzeba uruchomic.
                          • Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 08.05.08, 06:34
                            Plik mbr.exe znajduje sie na pulpicie i w trzybie awaryjnym z
                            wiersza polecen nie daje sie uruhomic
                            • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 08.05.08, 08:48
                              Dlatego napisalem zebys zgral plik mbr.exe na C:\, wtedy latwo Ci bedzie go uruchomic bez zmiany katalogu.
                              • Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 08.05.08, 12:22
                                Po uruchomieniu mbr.exe w trybie awaryjnym otrzymalem:

                                c:\Documents and Settings\aga>mbr.exe -f
                                Stealth MBR rootkit detector 0.2.4 by Gmer, www.gmer.net
                                device:opened successfully
                                user:MBR read successfully
                                kernel:MBR read successfully
                                ser&hernel MBR OK
                                malicious code @ sector 0x1749 ddci size 0xica!
                                copy MBR has been found in sector 62!
                                • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 08.05.08, 16:33
                                  Daj jeszcze log z combofix o ktory prosilem, do tego zrob skan przy pomocy Dr.Web CureIt i sprawdz czy cos wykryje.
            • Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 08.05.08, 22:05
              Loga juz podawalem wczesniej: forum.gazeta.pl/forum/72,2.html?
              f=430&w=79180039&a=79224279 , chyba ze mam podac nowego?
              a oto rapot z DR.Web
              img.wklej.org/v.php?id=47327raport.JPG
              • Gość: Wojtek Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 08.05.08, 22:16
                jeszcze raz podajes tego loga wklej.org/id/8bbf5b45b2
                • Gość: ja Re: Prosze o sprawdzenie loga IP: 84.38.160.* 08.05.08, 22:24
                  jeszcze raz: wklej.org/id/8bbf5b45b2
                  • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 09.05.08, 08:40
                    Masz dac nowy log. Do tego wylacz na chwile przywracanie systemu, nastepnie mozesz utworzyc nowy punkt.
                    • Gość: ja Re: Prosze o sprawdzenie loga IP: 84.38.160.* 09.05.08, 08:52
                      przywracanie systemu wylaczyc przed uzyciem combofixa czy po?
Pełna wersja