Proszę o sprawdzenie loga

23.10.08, 10:35
W trakcie działania ff się zamknął i od tej pory ani IE, ani ff nie
daje się uruchomić. Komunikat: IE, ff wygenerowało błędy i nastąpi
zamknięcie aplikacji: błąd(IE 0000005).Norton nic nie pokazuje,
reinstalacja ff nic nie daje.Czuję,że mi dziecię coś ściągnęło, bo
minę ma nietęgą.

wklej.org/hash/cfdfddf592/
    • brunnet Re: Proszę o sprawdzenie loga 23.10.08, 11:44
      teraz zauważyłem, że po skanie combofixem zniknęły mi wszystkie
      konta w batmanie, może wiesz gdzie mogą być ich kopie arch. bo taką
      opcję podaje batman przy starcie?
    • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 23.10.08, 11:45
      Zrob skan przy pomocy Dr.WebCureIt oraz AVPTool i usun co znajda.
      Nastepnie uzyj SDFix w trybie awaryjnym, na koniec combofix i daj logi z tych programow.
      • brunnet Re: Proszę o sprawdzenie loga 23.10.08, 18:01
        > Zrob skan przy pomocy Dr.WebCureIt oraz AVPTool i usun co znajda.

        Każdy z nich znalazł po jednej infekcji i usunął, IE oraz ff zaczęły działać.
        W trakcie SDFix komunikat:"nie można zaimportować assosfix, mogła nastąpić
        awaria systemowa dysku lub pliku:
        Logi:
        wklej.org/id/12443/
        wklej.org/id/12446/
        Mam kilka pytań:
        dlaczego combofix (ten poranny)
        1. wywalił winrara
        2. wywalił konta z The Bat ( to tragedia, bo co prawda kopie są na
        serwerach, ale do nich zapomniałem haseł, czy jest możliwość nadpisania tego
        co usunął combo.

        3. w opcjach folderów brak możliwości pokazania ukrytych, po prostu
        nie ma czego zaptaszyć!

        Dzięki za dotychczasową pomoc i w miarę możliwości proszę o dalszą.
        • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 23.10.08, 20:08
          Czy rootkit z mbr zostal juz usuniety przy dr.webcureit?

          > 1. wywalił winrara

          Poniewaz miales go w katalogu glownym dysku, a nie w podkatalogu.

          > 2. wywalił konta z The Bat ( to tragedia, bo co prawda kopie są na
          > serwerach, ale do nich zapomniałem haseł, czy jest możliwość
          > nadpisania tego co usunął combo.

          Nic takiego nie usunal. Jezeli cos sie uszkodzilo to w the bat dodaj nowe konto wskazujac na katalog z danymi Twojego starego konta wtedy wszystko doda sie tak jak bylo wczesniej.

          > 3. w opcjach folderów brak możliwości pokazania ukrytych, po
          > prostu nie ma czego zaptaszyć!

          Nic dziwnego skoro infekcja dalej jest.

          Utworz na pulpicie plik CFScript.txt i wklej do niego:

          File::
          C:\WINNT\ghdc.dat
          C:\WINNT\system32\cont_offersfortoday-remove.exe
          C:\WINNT\system32\nss11A.dll

          Registry::
          [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c07b2f16-66c8-7fe4-20a9-1e5b775fe589}]

          Zapisz i przeciagnij go na ikone combofix.exe, po wykonaniu daj nowy log.
          • brunnet Re: Proszę o sprawdzenie loga 23.10.08, 20:56
            Czy rootkit z mbr zostal juz usuniety przy dr.webcureit?

            usunął BackDoor.MaosBoot, ale gdzie on był nie pamiętam.

            wklej.org/id/12501/
            • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 23.10.08, 21:10
              Wyglada juz ok ale dla pewnosci daj nowy log zrobiony po resecie komputera.
              • brunnet Re: Proszę o sprawdzenie loga 23.10.08, 22:30
                wklej.org/id/12525/
                Jak mogę się dostać do ukrytych plików, bo tamta opcja dalej nie dzia la?
                Dzięki za wszystko.
                • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 23.10.08, 22:56
                  Dlaczego combofix ciagle usuwa tego winrar'a? Sam go tam co chwile przegrywasz?

                  System dalej wyglada na zainfekowany caly czas tworzy sie katalog C:\WINNT\t\, daj log z gmera zakladki rootkit.
                  • brunnet Re: Proszę o sprawdzenie loga 23.10.08, 23:30
                    Z winrar'em powinno już być ok.

                    wklej.org/id/12539/
                    Za wcześnie się cieszyłem.
                    • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 24.10.08, 14:30
                      Czy katalog C:\Winnt\t\ dalej sie tworzy? Co sie w nim znajduje?
                      • brunnet Re: Proszę o sprawdzenie loga 24.10.08, 16:21
                        Jest tam plik "t" 0 bajtów, utworzony w 2006 roku w czasie instal. systemu.
Inne wątki na temat:
Pełna wersja