proszę o sprawdzenie loga

IP: *.pools.arcor-ip.net 09.11.08, 15:32
Bardzo proszę o sprawdzenie logów

wklej.org/id/16443/
Długo nie mogłam się uporać z rootkitem, ale wydaje mi się, że tego problemu
już się pozbyłam. Mimo to komputer zamula i wydaje mi się, że kilka procesów
jest niepotrzebnych, ale to tylko moje przypuszczenia, bo jestem zupełną
blondynką w kwestii komputerów;) Po zastosowaniu Combofixu zgodnie z tym, co
znalazłam na różnych forach usunęłam kwarantannę, wyłączyłam przywracanie
systemu i zrobiłam skan Malwerbytes'em, który nie wykrył żadnych
zainfekowanych plików.

Dzięki:)
    • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 09.11.08, 15:55
      Rootkit jak byl tak dalej jest.

      Uzyj Flash Disinfector.

      Utworz na pulpicie plik CFscript.txt i wklej do niego:

      Driver::
      4df1A

      File::
      C:\WINDOWS\system32\drivers\TDSSmxoe.sys
      C:\DOCUME~1\IDA\USTAWI~1\Temp\TDSS9f55.tmp
      C:\DOCUME~1\IDA\USTAWI~1\Temp\TDSS9fb3.tmp
      C:\WINDOWS\system32\TDSSktpa.dll
      C:\WINDOWS\system32\TDSSwupe.dat
      C:\WINDOWS\system32\TDSSirxy.dll
      C:\WINDOWS\system32\TDSSyavu.dll
      C:\WINDOWS\system32\TDSSacun.dll
      C:\WINDOWS\system32\TDSSqqcn.dll
      C:\WINDOWS\system32\TDSSwghd.log

      Registry::
      [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys]
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22bbdb34-7178-11db-b5fc-0016367afdec}]
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51bbb7dc-9b3a-11dc-b789-4d6564696130}]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=-

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "Antivirus Pro 2009"=-
      "brastk"=-

      Zapisz i przeciagnij go na ikone combofix.exe, daj nowy log.
      Daj tez log z SDFix wykonany w trybie awaryjnym.
      • Gość: zuza Re: proszę o sprawdzenie loga IP: *.pools.arcor-ip.net 09.11.08, 16:32
        Dziękuję za szybką odpowiedź.

        Zrobiłam wszystko, jak napisałeś. Tu są nowe logi:
        wklej.org/id/16458/
        • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 09.11.08, 16:37
          Z tego co widze to dalas ten sam log z combofix co wczesniej, a masz dac nowy po uzyciu CFScript.txt.
          • Gość: zuza Re: proszę o sprawdzenie loga IP: *.pools.arcor-ip.net 09.11.08, 16:40
            sprawdziłam, to jest nowy log - usunięte zostały inne pliki
            • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 09.11.08, 16:46
              Nie, to nie jest nowy log, wiec pewnie dalas nie ten plik.
              Przeciez widze daty utworzenia obu logow i ich zawartosc:
              ComboFix 08-10-21.02 - IDA 2008-11-09 12:26:44.1
              ComboFix 08-10-21.02 - IDA 2008-11-09 12:26:44.1
              Dalej twierdzisz, ze dalas wlasciwy log?
              • Gość: zuza Re: proszę o sprawdzenie loga IP: *.pools.arcor-ip.net 09.11.08, 16:51
                Proszę, tu jest link, gdzie są wklejone oba logi z ComboFix - jednen pod drugim.
                Czas jest ten sam, ale logi inne (jak się włącza ComboFix to wyświetla się
                komunikat -nie pytaj czemu - że program zmienia ustawienia zegara, a po
                dokończeniu zadania przywróci poprzednie).
                Pozdrawiam;)

                wklej.org/id/16470/
                • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 09.11.08, 17:02
                  Teraz w koncu dalas nowy log i dalej nie widzisz, ze wczesniej dwa razy dalas ten sam stary log? Ale co z tego skoro widze, ze nie zostal uzyty CFScript.txt, ktory podalem.

                  Skoro tak to bedzie wiecej roboty.
                  Wpisz w Start->Uruchom: sc delete 4df1A

                  Wklej do notatnika:
                  REGEDIT4

                  [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
                  "Antivirus Pro 2009"=-
                  "brastk"=-

                  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22bbdb34-7178-11db-b5fc-0016367afdec}]

                  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51bbb7dc-9b3a-11dc-b789-4d6564696130}]

                  Zapisz jako fix.reg i uruchom.

                  Usun z dysku katalog: C:\FOUND.019

                  Po wszystkim daj NOWY log z combofix.
                  • Gość: zuza Re: proszę o sprawdzenie loga IP: *.pools.arcor-ip.net 09.11.08, 17:12
                    nowy log: wklej.org/id/16476/
                    • Gość: Kolobos Re: proszę o sprawdzenie loga IP: *.escom.net.pl 09.11.08, 17:19
                      Wyglada ok.
                      • Gość: zuza Re: proszę o sprawdzenie loga IP: *.pools.arcor-ip.net 09.11.08, 17:19
                        Dziękuję:)
Inne wątki na temat:
Pełna wersja