Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    proszę o pomoc - rootkit

    IP: *.irk.ru 20.09.08, 05:05
    Avast zgłasza mi, że mam rootkita, ale go nie usuwa. Ściągnęłam gmera, ale użytkowanie go mnie przekracza, mimo przeczytania instrukcji na forum - to jedyny program, który widzi to paskudztwo.
    To nie jest mój komputer, poproszono mnie o pomoc, bo nie udawało się go włączyć. Przyczyną wg mnie było nadmierne zawirusowanie. Windowsy są rosyjskie. Większość programów działa mi po angielsku. Trochę mi przekracza to nieustanne przełączanie się między tymi językami, zwłaszcza, że nie do końca znam terminologię w tych językach.
    Jestem laikiem, który po prosto stara się czytać ze zrozumieniem, ale nie wszystko się mi udaje.
    Załączam logi:
    z ComboFixa:
    wklej.org/id/5343/
    z hijackthis:
    wklej.org/id/5345/
    i z gmera:
    wklej.org/id/5346/
    Obserwuj wątek
      • Gość: Kolobos Re: proszę o pomoc - rootkit IP: *.escom.net.pl 20.09.08, 08:51
        Pomysl o zmianie systemu plikow na NTFS, unikniesz wtedy tworzenia sie katalogow FOUND.xx. Uzyj ATF Clenaer i usun wszystko z temp itd.

        Utworz na pulpicie plik CFScript.txt i wklej do niego:

        Driver::
        chm73.sys
        Ins38.sys
        Ins73.sys
        lqV84.sys
        Tye05.sys
        chm73
        Ins38
        lqV84
        60d48b49
        kbd
        fhpnpyxb
        memsweep2
        11484aae
        appmgmtrsvp
        spfhlp.sys
        systems
        "microsoft internet service"

        Folder::
        C:\FOUND.017
        C:\FOUND.016
        C:\FOUND.015
        C:\FOUND.014
        C:\FOUND.013
        C:\FOUND.012
        C:\FOUND.011
        C:\FOUND.010
        C:\FOUND.009
        C:\FOUND.008
        C:\FOUND.007

        File::
        C:\WINDOWS\system32\drivers\ios.sys
        C:\systime.sys
        C:\WINDOWS\regadd.exe
        C:\WINDOWS\reg.reg
        C:\WINDOWS\tk.exe
        C:\WINDOWS\tl.exe
        C:\WINDOWS\system32\admdll.dll
        C:\WINDOWS\system32\autorun.bin
        C:\autorun.bin
        C:\WINDOWS\system32\cmpbk3.dll
        C:\Windows\System32\drivers\11484aae.sys
        C:\WINDOWS\system32\12.tmp
        C:\Windows\system32\drivers\wbkuhafe.dat

        Registry::
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2580b8da-424b-11dd-978f-0007e96e1ff7}]
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecee124-62a8-11dd-97a5-0007e96e1ff7}]
        [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ee4c4355-4709-4b03-a429-41993a3db586}]

        Zapisz i przeciagnij go na ikone combofix.exe
        Nastepnie uzyj w trybie awaryjnym SDFix, po wykonaniu daj logi z obu programow.
        Zrob tez skan przy pomocy AVPTool oraz Dr.WebCureIt
        • Gość: filoru Re: proszę o pomoc - rootkit IP: *.irk.ru 21.09.08, 17:35
          Jak pisałam, nie mój komp, więc wszystkiego nie dam rady zrobić. Za kilka dni
          znikam, a mam jeszcze inne plany na te dni.
          ATF Cleaner - zrobione
          Plik CFDcript - zrobione
          SDFix - nie chce mi ruszyć
          AVPtool - zrobione
          Dr.WebCureIt - nie chce się załadować
          Może ja nie mam cirpliwości, albo już na oczy nie widzę. Sorry, u mnie już
          poniedziałek.
          Teraz logi:

          wklej.org/id/5654/
          wklej.org/id/5655/
          • Gość: Kolobos Re: proszę o pomoc - rootkit IP: *.escom.net.pl 21.09.08, 18:29
            Uruchom gmera, kliknij prawym przyciskiem na wszystkich:
            SSDT \SystemRoot\System32\drivers11484aae.sys i wybierz przywroc ssdt. Nastepnie w zakladce uslugi usun:
            Service System32\drivers\11484aae.sys Service System32\drivers\wbkuhafe.dat lub rwawnmym.dat
            (w razie problemow wybierz w gmerze z zakladki procesy zabij wszystko i dopiero wykonaj co napisalem)

            Nastepnie uzyj nowego CFScript.txt:

            Driver::
            11484aae

            File::
            C:\WINDOWS\system32\drivers\rwawnmym.dat
            C:\WINDOWS\system32\drivers\11484aae.sys

            Registry::
            [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\chm73.sys]
            [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ins38.sys]
            [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ins73.sys]
            [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lqV84.sys]
            [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tye05.sys]
            [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\11484aae]

            Po wykonaniu daj nowy log z combofix i sprobuj uzyc sdfix.
            • Gość: filoru Re: proszę o pomoc - rootkit IP: *.irk.ru 22.09.08, 03:23
              Uruchom gmera, kliknij prawym przyciskiem na wszystkich:
              > SSDT \SystemRoot\System32\drivers11484aae.sys i wybierz przywroc ssdt.
              Zrobilam
              Nastepni
              > e w zakladce uslugi usun:
              > Service System32\drivers\11484aae.sys
              Nie chce dac sie usunac. Otrzymuje komunikat o bledzie: taka sciezka nie istnieje
              Service Sys
              > tem32\drivers\wbkuhafe.dat lub rwawnmym.dat
              Tego nie znalazlam.

              >Nastepnie uzyj nowego CFScript.txt:
              Zrobilam, ale nie wiem, czy to mialo sens, skoro wczesniejszy punkt sie nie udal.
              Log:
              wklej.org/id/5771/
              >sprobuj uzyc sdfix.
              Nadal bez powodzenia
              • Gość: Kolobos Re: proszę o pomoc - rootkit IP: *.escom.net.pl 22.09.08, 08:51
                W takim razie uruchom konsole odzyskiwania z plyty instalacyjnej windows'a i wpisz:
                del C:\WINDOWS\system32\drivers\11484aae.sys
                Mozesz tez uzyc jakiegos linuksa livecd i przy jego pomocy usunac plik. Po kasacji daj nowy log z combofix.
                • Gość: filoru Re: proszę o pomoc - rootkit IP: *.irk.ru 22.09.08, 13:35
                  Sorry, ale to pirat. Płyty instalacyjne nie istnieją. A ja tu nic swojego nie
                  mam, więc tak się nie da. Niestety takie tu obyczaje...
                  • Gość: Paweł Re: proszę o pomoc - rootkit IP: *.neoplus.adsl.tpnet.pl 22.09.08, 14:48
                    Tu masz konsolę odzyskiwania do wypalenia na płycie (weź ten link z www.chomikuj.pl)
                    www.searchengines.pl/index.php?showtopic=14270&st=0&p=441907&#entry441907
                    www.chomikuj.pl/Chomik.aspx?id=Picasso_SE
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.