wir boot ?

[aventia]

Moj administrator sieci przyblokowal mi Internet, poniewaz automat wykryl taki plik 'wir_boot. sh' . Ktos sie spotkal, wie, co to i moze mi pomoc?

Nie mam juz sil, ad-avare ani nic mi go nawet nie wykrywa

[CatchMe]

Pomóc owszem. Wklej komplet logów do kontroli:

- HijackThis

- Silent Runners

- ComboFix

- Gmer (z 2 opcji).

* Wszystkie logi wklej na www.wklej.org

[aventia]

Hmm...

Hijack this -> http://wklej.org/id/f8810a4e34

Silent Runners -> nie znalazłam

Combo Fix -> wtf is that? Nie dość, że nagle zrestartował mi się komputer (co samo w sobie jest irytujące), plik z logiem jest jako MS-DOS... :/

Gmer -> nie znalazłam (??)

Sorx, szukałam, próbowałam... może nie doszłam, ale nie znam się aż tak na kompach :562:

Dzięki za odzew - może chociaż z hijack'a coś wiadomo?

Najlepsze jest to, że z 10 razy skanowałam ad-awarem. Admin mi polecił. Rozmawiałam z nim dzisiaj i powiedział, że skoro go nie wykrywa, tzn., że go tymczasowo nie ma... Tzn., że potrzebuje jakiegoś programu aby się znów uaktywnić... Ciekawe ile razy jeszcze mi przyblokuje Internet za coś, czego nie mogę złapać?

[CatchMe]

Ten cały ComboFix ratuje Ci tyłek :lol:

Masz strasznie zasyfiony komputer ale poradzimy sobie.

1. Ściągnij: WWDC

- Zmień wszystkie opcje z disable na enable i uruchom ponownie komputer.

- Prawidłowy układ portów przedstawia zdjęcie:

http://www.firewallleaktester.com/images_site/wwdc.jpg

* NetBIOS może być żółty.

Pobierz i uruchom narzędzie : The Avenger

Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Files to delete:

C:WINDOWSSystem32rpcc.exe

C:WINDOWSSystem32rpcc.dll

C:WINDOWSsystem3255394512ld.exe

C:WINDOWSsystem3245332642ld.exe

C:WINDOWSsystem3235316852ld.exe

C:WINDOWSsystem3225286232ld.exe

C:WINDOWSsystem321525452ld.exe

C:WINDOWSsystem325184672ld.exe

C:WINDOWSsystem323018142ld.exe

C:WINDOWSsystem3220129362ld.exe

C:WINDOWSsystem321085612ld.exe

C:WINDOWSsystem32047482ld.exe

C:WINDOWSsystem325007482ld.exe

C:WINDOWSsystem323956922ld.exe

C:WINDOWSsystem3229531862ld.exe

C:WINDOWSsystem3219502802ld.exe

C:WINDOWSsystem329467172ld.exe

C:WINDOWSsystem3259435302ld.exe

C:WINDOWSsystem3249387172ld.exe

C:WINDOWSsystem3239352642ld.exe

C:WINDOWSsystem3229293422ld.exe

C:WINDOWSsystem3219247172ld.exe

C:WINDOWSsystem329196552ld.exe

C:WINDOWSsystem3259148112ld.exe

C:WINDOWSsystem324993582ld.exe

C:WINDOWSsystem323946552ld.exe

C:WINDOWSsystem322901232ld.exe

C:WINDOWSsystem321855452ld.exe

C:WINDOWSsystem328508732ld.exe

C:WINDOWSsystem3258458732ld.exe

C:WINDOWSsystem3248415302ld.exe

C:WINDOWSsystem3238366862ld.exe

C:WINDOWSsystem3228323422ld.exe

C:WINDOWSsystem3218282332ld.exe

C:WINDOWSsystem328223112ld.exe

C:WINDOWSsystem3258177172ld.exe

C:WINDOWSsystem3248126552ld.exe

C:WINDOWSsystem323878892ld.exe

C:WINDOWSsystem322842802ld.exe

C:WINDOWSsystem321809052ld.exe

C:WINDOWSsystem327562332ld.exe

C:WINDOWSsystem325752452ld.exe

C:WINDOWSsystem3247484672ld.exe

C:WINDOWSsystem3237444362ld.exe

C:WINDOWSsystem3227374052ld.exe

C:WINDOWSsystem321734922ld.exe

C:WINDOWSsystem327292952ld.exe

C:WINDOWSsystem3257245302ld.exe

C:WINDOWSsystem3247177022ld.exe

C:WINDOWSsystem3237132172ld.exe

C:WINDOWSsystem322786862ld.exe

C:WINDOWSsystem321746392ld.exe

C:WINDOWSsystem326533272ld.exe

C:WINDOWSsystem3256442482ld.exe

C:WINDOWSsystem323582482ld.exe

C:WINDOWSsystem3253566232ld.exe

C:WINDOWSsystem3243535762ld.exe

C:WINDOWSsystem323351762ld.exe

:WINDOWSsystem3223487632ld.exe

C:WINDOWSsystem3213449352ld.exe

C:WINDOWSsystem32342602ld.exe

C:WINDOWSsystem3253347162ld.exe

C:WINDOWSsystem3221561862ld.exe

C:WINDOWSsystem3211514042ld.exe

C:WINDOWSsystem321447642ld.exe

C:WINDOWSsystem3251402792ld.exe

C:WINDOWSsystem324135452ld.exe

C:WINDOWSsystem3231298582ld.exe

C:WINDOWSsystem322125142ld.exe

C:WINDOWSsystem3211174672ld.exe

C:WINDOWSsystem327241232ld.exe

C:WINDOWSsystem3257192792ld.exe

C:WINDOWSsystem3247158732ld.exe

C:WINDOWSsystem3237114042ld.exe

C:WINDOWSsystem322773262ld.exe

C:WINDOWSsystem321727792ld.exe

C:WINDOWSsystem326567012ld.exe

C:WINDOWSsystem3256514202ld.exe

C:WINDOWSsystem3246457952ld.exe

C:WINDOWSsystem3236352792ld.exe

C:WINDOWSsystem3226194362ld.exe

C:WINDOWSsystem321617322ld.exe

C:WINDOWSsystem325523422ld.exe

C:WINDOWSsystem3255472792ld.exe

C:WINDOWSsystem3245402172ld.exe

C:WINDOWSsystem3235338262ld.exe

C:WINDOWSsystem3225259202ld.exe

C:WINDOWSsystem3215208262ld.exe

C:WINDOWSsystem325158892ld.exe

C:WINDOWSsystem3255108422ld.exe

C:WINDOWSsystem324545292ld.exe

C:WINDOWSsystem3234582322ld.exe

C:WINDOWSsystem3224539362ld.exe

C:WINDOWSsystem321446762ld.exe

C:WINDOWSsystem324394512ld.exe

C:WINDOWSsystem325432452ld.exe

C:WINDOWSsystem3244242952ld.exe

C:WINDOWSsystem3234175292ld.exe

C:WINDOWSsystem3224127642ld.exe

C:WINDOWSsystem321492642ld.exe

C:WINDOWSsystem32442482ld.exe

C:WINDOWSsystem3253569982ld.exe

Klikasz Done, a następnie zielone światełko i zgadzasz się na restart klikając OK.

Po restarcie w HijackThis usuwasz wpis/wpisy:

# R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.bearshare.com/intl/

# O4 - HKLM..Run: [WindowsHive] C:WINDOWSSystem32rpcc.exe

# O20 - Winlogon Notify: rpcc - C:WINDOWSSystem32rpcc.dll

Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport: C:avenger.txt + log z HijackThis + log z Silent Runners + log z ComboFix+ GMER:

Ściagnij: Gmer`a

* Rootkit >>> zaznaczone Pokaż wszystko >>> wskazane tylko Usługi >>> Szukaj >>> Kopiuj >>> CTRL+V na www.wklej.org

* Rootkit >>> odznaczone Pokaż wszystko >>> wskazane wszystkie obiekty do skanu >>> Szukaj>>> Kopiuj >>> CTRL+V na www.wklej.org

- W rezultacie otrzymujemy 2 logi, które wklejamy na www.wklej.org a linki podajemy na forum.

[aventia]

Wow. Wielki ukłon w Twoją stronę, zarówno w podzięce, jak i w podziwie.

Dzięki wielkie za wszystkie pliki. Trochę miałam problemów ze zrozumieniem, ale jakoś sobie poradziłam. Przynajmniej z Hijack, Combo i GMER, bo chciały mnie słuchać

Wynik taki:

HijackThis: http://wklej.org/id/b8775dab65

Combo: http://wklej.org/id/555787b2b7

Silent Runners - otwiera mi się w edHTML-u :/

Avenger - hmm... nie znaleziono pliku C:/avenger.txt , mimo że zrobiłam tak, jak napisałeś

GMER:

a) http://wklej.org/id/60c94e70d0

B) http://wklej.org/id/a6a35d6f19

[CatchMe]

Nic nie zrobiłeś... więc zrobimy inaczej:

Ściągnij OTMoveIt

* Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

C:WINDOWSSystem32rpcc.exe

C:WINDOWSSystem32rpcc.dll

C:WINDOWSsystem3255394512ld.exe

C:WINDOWSsystem3245332642ld.exe

C:WINDOWSsystem3235316852ld.exe

C:WINDOWSsystem3225286232ld.exe

C:WINDOWSsystem321525452ld.exe

C:WINDOWSsystem325184672ld.exe

C:WINDOWSsystem323018142ld.exe

C:WINDOWSsystem3220129362ld.exe

C:WINDOWSsystem321085612ld.exe

C:WINDOWSsystem32047482ld.exe

C:WINDOWSsystem325007482ld.exe

C:WINDOWSsystem323956922ld.exe

C:WINDOWSsystem3229531862ld.exe

C:WINDOWSsystem3219502802ld.exe

C:WINDOWSsystem329467172ld.exe

C:WINDOWSsystem3259435302ld.exe

C:WINDOWSsystem3249387172ld.exe

C:WINDOWSsystem3239352642ld.exe

C:WINDOWSsystem3229293422ld.exe

C:WINDOWSsystem3219247172ld.exe

C:WINDOWSsystem329196552ld.exe

C:WINDOWSsystem3259148112ld.exe

C:WINDOWSsystem324993582ld.exe

C:WINDOWSsystem323946552ld.exe

C:WINDOWSsystem322901232ld.exe

C:WINDOWSsystem321855452ld.exe

C:WINDOWSsystem328508732ld.exe

C:WINDOWSsystem3258458732ld.exe

C:WINDOWSsystem3248415302ld.exe

C:WINDOWSsystem3238366862ld.exe

C:WINDOWSsystem3228323422ld.exe

C:WINDOWSsystem3218282332ld.exe

C:WINDOWSsystem328223112ld.exe

C:WINDOWSsystem3258177172ld.exe

C:WINDOWSsystem3248126552ld.exe

C:WINDOWSsystem323878892ld.exe

C:WINDOWSsystem322842802ld.exe

C:WINDOWSsystem321809052ld.exe

C:WINDOWSsystem327562332ld.exe

C:WINDOWSsystem325752452ld.exe

C:WINDOWSsystem3247484672ld.exe

C:WINDOWSsystem3237444362ld.exe

C:WINDOWSsystem3227374052ld.exe

C:WINDOWSsystem321734922ld.exe

C:WINDOWSsystem327292952ld.exe

C:WINDOWSsystem3257245302ld.exe

C:WINDOWSsystem3247177022ld.exe

C:WINDOWSsystem3237132172ld.exe

C:WINDOWSsystem322786862ld.exe

C:WINDOWSsystem321746392ld.exe

C:WINDOWSsystem326533272ld.exe

C:WINDOWSsystem3256442482ld.exe

C:WINDOWSsystem323582482ld.exe

C:WINDOWSsystem3253566232ld.exe

C:WINDOWSsystem3243535762ld.exe

C:WINDOWSsystem323351762ld.exe

C:WINDOWSsystem3223487632ld.exe

C:WINDOWSsystem3213449352ld.exe

C:WINDOWSsystem32342602ld.exe

C:WINDOWSsystem3253347162ld.exe

C:WINDOWSsystem3221561862ld.exe

C:WINDOWSsystem3211514042ld.exe

C:WINDOWSsystem321447642ld.exe

C:WINDOWSsystem3251402792ld.exe

C:WINDOWSsystem324135452ld.exe

C:WINDOWSsystem3231298582ld.exe

C:WINDOWSsystem322125142ld.exe

C:WINDOWSsystem3211174672ld.exe

C:WINDOWSsystem327241232ld.exe

C:WINDOWSsystem3257192792ld.exe

C:WINDOWSsystem3247158732ld.exe

C:WINDOWSsystem3237114042ld.exe

C:WINDOWSsystem322773262ld.exe

C:WINDOWSsystem321727792ld.exe

C:WINDOWSsystem326567012ld.exe

C:WINDOWSsystem3256514202ld.exe

C:WINDOWSsystem3246457952ld.exe

C:WINDOWSsystem3236352792ld.exe

C:WINDOWSsystem3226194362ld.exe

C:WINDOWSsystem321617322ld.exe

C:WINDOWSsystem325523422ld.exe

C:WINDOWSsystem3255472792ld.exe

C:WINDOWSsystem3245402172ld.exe

C:WINDOWSsystem3235338262ld.exe

C:WINDOWSsystem3225259202ld.exe

C:WINDOWSsystem3215208262ld.exe

C:WINDOWSsystem325158892ld.exe

C:WINDOWSsystem3255108422ld.exe

C:WINDOWSsystem324545292ld.exe

C:WINDOWSsystem3234582322ld.exe

C:WINDOWSsystem3224539362ld.exe

C:WINDOWSsystem321446762ld.exe

C:WINDOWSsystem324394512ld.exe

C:WINDOWSsystem325432452ld.exe

C:WINDOWSsystem3244242952ld.exe

C:WINDOWSsystem3234175292ld.exe

C:WINDOWSsystem3224127642ld.exe

C:WINDOWSsystem321492642ld.exe

C:WINDOWSsystem32442482ld.exe

C:WINDOWSsystem3253569982ld.exe

* Następnie wciśnij przycisk MoveIt!

* Wyskoczy komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów - wciśnij Yes.

* Po restarcie usuń ręcznie folder C:_OTMoveIt (Prawoklik >>> Usuń >>> Opróżnij Kosz).

- Następnie daj nowy komplet logów. Masz już WWDC dobrze ustawione?

[aventia]

Nie no, rozbraja mnie ten grat.

File/Folder C:i tu występuje cała lista, którą mi kazałeś skopiować not found.

Nic mi nie wyskoczyło. 3 razy próbowałam. [ a propos - uzupełniłam dane o sobie, kobietka jestem trochę ciężko kapująca, i ogólnie puch marny, ale kobietka. ]

Zrestartować samodzielnie czy od razu kasować katalog?

PS tak, wwdc czy jak tam ^^ jest dobrze ustawione.

[CatchMe]

Dobra tam ... pokaż logi lepiej :lol:

[itgregory]

i zainstaluj sobie antywira koniecznie !! Bo to ze usuniesz ten syf, ktory masz to nic ci nie da jak nie bedziesz miala antywira

[aventia]

i zainstaluj sobie antywira koniecznie !! Bo to ze usuniesz ten syf, ktory masz to nic ci nie da jak nie bedziesz miala antywira

Się rozumie. Narazie firewall -> ZoneAlarm [ chociaż działa trochę cienko jakby... ale może się nie znam... ] ; antywir -> hmm, no coś tam było chyba.. Miałam cały pakiecik [kolega - przyszły bdb informatyk - podesłał], ale jakoś nie dawał o sobie znać.. więc chyba wyrzuciłam... avast! będzie dobry?

Logi [ huh ^^ ]:

GMER:

- wsio/nie pokazuj -> http://wklej.org/id/b058f516e0

- usługi/pokazuj -> http://wklej.org/id/05fa3a9f56

HIJACK:

http://wklej.org/id/69e407dae0

COMBO:

http://wklej.org/id/9eaf0589f4

[itgregory]

Troche syfku zostalo (w winsystem32), ale Avast czy AVG czy NOD (mowie o antywirusach) powinien sobie z tym poradzic bez problemu. Ja uzywam AVG i dziala calkiem niezle.

Sciagnij -> zainstaluj -> zaktualizuj -> przeskanuj -> usun badziew

[CatchMe]

NIC NIE JEST ZROBIONE. Rób powoli i dokładnie wszystko... Wykonaj mój 2 post tylko, że w trybie awaryjnym (F8).

[aventia]

Kasujesz ręcznie z dysku plik: C:Avengerbackup.zip i wklejasz na forum raport:

C:avenger.txt + log z Silent Runners + log z ComboFix+ GMER

## Na awaryjnym, wreszcie mi się udało!

avenger => http://wklej.org/id/a9d62bdb11

HIJACKTHIS => http://wklej.org/id/647d7c7974

SILENT RUNNERS => how??

COMBOFIX => http://wklej.org/id/20f5530039

+ znalazłam coś takiego w pliku ' ComboFix quarantine-files '

2006-01-26 09:53	  0	--a------	C:QooboxQuarantineCWINDOWShosts.virZmienna PATH folderuNumer seryjny woluminu: 71F5E346 A404:D4DEC:QOOBOX---Quarantine	+---Registry_backups	---C		---WINDOWS			|   hosts.vir			|   			---system32

usunąć czy zostawić?

GMER => how? nie da rady na awaryjnym. przynajmniej nie u mnie. Na normalnym trybie, once again:

a) wsio - http://wklej.org/id/1bfe51a9c1

B) usługi - http://wklej.org/id/79f738cc5f

## Sprawdziłam logi z Hijack.. hmm... usuwać ręcznie z loga czy jak? nie chcę Was przemęczać, może lepiej byłoby zrobić po prostu reinstalkę C... albo od razu format... ^^ ale podobno to wyjście dla tych, co im się nic nie chce robić... Przepraszam za zwłokę, miałam po prostu problemy z wejściem w tryb awaryjny.. haha, rządzę po prostu. A w międzyczasie przeskanowałam Avastem i wyrzuciłam to, co mi podsunął.. ^^ ale to chyba jeszcze nie koniec, co?

Tak jest, jak się ściąga śmieci :-/

[CatchMe]

Wklej loga jeszcze tylko z ComboFix bo w tym zestawie go nie ma.

[aventia]

ups:D

http://wklej.org/id/26dabccdd1 - combo

a tak żeby komplecik był, screen ze stanu ZoneAlarm - kompletnie się na nim nie rozumiem, jakby ktośkolwiek looknął i powiedział, czy jest dobrze, to będę wdzięczna, ale chyba bardziej mi zależy na stanie tamtych skanów i czego tam jeszcze ^^

http://img526.imageshack.us/img526/5158/zoniksr7.jpg

[CatchMe]

Wyłącz przywracanie systemu. Użyj w trybie awaryjnym: http://cybertrash.pl/images/tata/ATF/ATF.html

Pogubione wpisy usuwasz z dysku ręcznie:

# 2007-04-11 14:35:307,560----a-wC:WINDOWSsystem3235287012ld.exe

# 2007-04-04 14:35:201,260----a-wC:WINDOWSsystem3235193582ld.exe

# 2007-04-01 11:57:261,260----a-wC:WINDOWSsystem3257235142ld.exe

- Wklejasz nowy log z ComboFix.

[aventia]

http://wklej.org/id/b2693da2f1 - combo

[CatchMe]

OK. Jest czysto.

[aventia]

Ojej :-) jak miło :-) dziękuję Ci raz jeszcze bardzo za pomoc, za każdy post i każdą chwilę, którą mi poświęciłeś :-) pewnie dla Ciebie to pikuś, bo jesteś tak nieprzeciętnie zdolny i wiesz tyle o tych programach i w ogóle, ale i tak jestem pełna podziwu i wdzięczności :-)

wirtualne dla Ciebie, a moderację proszę o zamknięcie tematu

[CatchMe]

Cała przyjemność po mojej stronie Pozdrawiam.