lucas1987 utworzono 9 listopada 2009 utworzono 9 listopada 2009 (edytowane) Witam serdecznie wszystkich, ostatnio mój program antywirusowy avast przy każdym uruchomieniu komputera informuje mnie, że mój system jest zarażony przez rootkit. Po przejrzeniu, więc forum ściągnąłem sobie program HijackThis i przeskanowałem komputer. Wyszedł mi oto taki raport: http://www.wklej.org/hash/4f2b0c4c2a/ Co to oznacza? Jaki rodzaj rootkita zainfekował mój komputer? A przede wszystkim jak się go pozbyć? Proszę bardzo o pomoc, gdyż w kwestii komputerów nie jestem zbytnio obeznany. Z góry dziękuje za wszelkie rady. pozdrawiam Łukasz
Psycholandia komentarz 9 listopada 2009 komentarz 9 listopada 2009 Komputer jest zainfekowany, potrzebuję loga z OTL: http://www.forumpc.pl/index.php?showtopic=104338 wtedy usuniemy wirusy
lucas1987 komentarz 9 listopada 2009 Autor komentarz 9 listopada 2009 [quote name='Andziorka' date='09 listopad 2009 - 12:19 ' timestamp='1257765549' post='896666'] Komputer jest zainfekowany, potrzebuję loga z OTL: http://www.forumpc.pl/index.php?showtopic=104338 wtedy usuniemy wirusy [/quote]
Psycholandia komentarz 9 listopada 2009 komentarz 9 listopada 2009 W okienko OTL wklej poniższy skrypt i klik na Run Fix: [code]:Processes explorer.exe :OTL O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file) O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) O4 - Startup: ctfmon.exe O23 - Service: WSYS - Sysinternals - www.sysinternals.com - C:\Users\UKASZG~1\AppData\Local\Temp\WSYS.exe O33 - MountPoints2\{0921916d-80ab-11dd-874d-001e37e901ae}\Shell - "" = AutoRun O33 - MountPoints2\{0921916d-80ab-11dd-874d-001e37e901ae}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found O33 - MountPoints2\{73d99593-4f57-11de-8070-001e37e901ae}\Shell - "" = AutoRun O33 - MountPoints2\{73d99593-4f57-11de-8070-001e37e901ae}\Shell\AutoRun\command - "" = G:\autorun6e.exe -- File not found O33 - MountPoints2\{740ba40d-0fd4-11de-b3c8-001e37e901ae}\Shell - "" = AutoRun O33 - MountPoints2\{740ba40d-0fd4-11de-b3c8-001e37e901ae}\Shell\AutoRun\command - "" = F:\autorun_PES2008.exe -- File not found O33 - MountPoints2\{79638ec4-96c2-11de-88c8-001e685a849a}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found O33 - MountPoints2\{9143da70-80a6-11dd-a1a3-001e37e901ae}\Shell - "" = AutoRun O33 - MountPoints2\{9143da70-80a6-11dd-a1a3-001e37e901ae}\Shell\AutoRun\command - "" = G:\PdtStart.exe -- File not found O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\AutoRun\command - "" = F:\ph.com -- File not found O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\explore\Command - "" = F:\ph.com -- File not found O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\open\Command - "" = F:\ph.com -- File not found O33 - MountPoints2\{d04bcb1a-b590-11de-af22-001e37e901ae}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found O33 - MountPoints2\G\Shell - "" = AutoRun O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\PdtStart.exe -- File not found :Files C:\Recycled :Commands [emptytemp] [start explorer] [Reboot][/code] Otwórz notatnik tekstowy i wklej do niego poniższy tekst: [code]Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [/code] Zapisz jako->Wybierz [b]Wszystkie pliki[/b]->wpisz [b]Fix.reg[/b]->Następnie kliknij na zapisany plik i uruchom komputer ponownie. Przeskanuj komputer tym: [url="http://www.programosy.pl/program,malwarebytes-anti-malware.html"]Malware[/url] usuń wszystko co znajdzie i daj loga po kasowaniu (loga z Malware)
lucas1987 komentarz 9 listopada 2009 Autor komentarz 9 listopada 2009 (edytowane) Oto jescze log z wklej.org: http://wklej.org/id/200274/ to powinno być wszystko czekam na jakieś instrukcje pozdrawiam [color="#FF0000"]//Wyżej masz już[/color]Hey wiesz co przy tym O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) komp mi sie zawiesza i pisze program OTL ZE BRAK ODPOWIEDZI? CO TO OZNACZA?
Psycholandia komentarz 9 listopada 2009 komentarz 9 listopada 2009 [code]:Processes explorer.exe :OTL O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file) O4 - Startup: ctfmon.exe O23 - Service: WSYS - Sysinternals - www.sysinternals.com - C:\Users\UKASZG~1\AppData\Local\Temp\WSYS.exe O33 - MountPoints2\{0921916d-80ab-11dd-874d-001e37e901ae}\Shell - "" = AutoRun O33 - MountPoints2\{0921916d-80ab-11dd-874d-001e37e901ae}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found O33 - MountPoints2\{73d99593-4f57-11de-8070-001e37e901ae}\Shell - "" = AutoRun O33 - MountPoints2\{73d99593-4f57-11de-8070-001e37e901ae}\Shell\AutoRun\command - "" = G:\autorun6e.exe -- File not found O33 - MountPoints2\{740ba40d-0fd4-11de-b3c8-001e37e901ae}\Shell - "" = AutoRun O33 - MountPoints2\{740ba40d-0fd4-11de-b3c8-001e37e901ae}\Shell\AutoRun\command - "" = F:\autorun_PES2008.exe -- File not found O33 - MountPoints2\{79638ec4-96c2-11de-88c8-001e685a849a}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found O33 - MountPoints2\{9143da70-80a6-11dd-a1a3-001e37e901ae}\Shell - "" = AutoRun O33 - MountPoints2\{9143da70-80a6-11dd-a1a3-001e37e901ae}\Shell\AutoRun\command - "" = G:\PdtStart.exe -- File not found O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\AutoRun\command - "" = F:\ph.com -- File not found O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\explore\Command - "" = F:\ph.com -- File not found O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\open\Command - "" = F:\ph.com -- File not found O33 - MountPoints2\{d04bcb1a-b590-11de-af22-001e37e901ae}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found O33 - MountPoints2\G\Shell - "" = AutoRun O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\PdtStart.exe -- File not found :Files C:\Recycled :Commands [emptytemp] [start explorer] [Reboot][/code] Wklej powyższy skrypt
lucas1987 komentarz 9 listopada 2009 Autor komentarz 9 listopada 2009 Hey wielkie dzięki chyba powinno być już wszystko w porządku bo malware nic nie wykrył, ale dla pewności wysyłam jeszcze log. Chociaż przed chwilą avast poinformował mnie że nadal mam rootkit- dziwne. Mam jescze pytanko jak się w przyszłości chronić przed takimi rootkiami? jescze raz dzieki prosze jeszcze tylko o analize czy wszystko na pewno ok
Psycholandia komentarz 9 listopada 2009 komentarz 9 listopada 2009 Przeskanuj komputer Combofixem: http://www.forumpc.pl/index.php?showtopic=120614 i daj z niego loga na forum
lucas1987 komentarz 9 listopada 2009 Autor komentarz 9 listopada 2009 [quote name='Andziorka' date='09 listopad 2009 - 19:48 ' timestamp='1257792483' post='897073'] Przeskanuj komputer Combofixem: http://www.forumpc.pl/index.php?showtopic=120614 i daj z niego loga na forum [/quote] zrobiłem jak mi kazano powyżej ale zaden log nie został wygenerowany przynajmniej mnie o tym nie poinformowano, scaning został zakończiny, przed chwilą znow sie pojawilo okienko o rootkitcie: Nazwa pasożyta:Win32:VB-EAA [Trj], typ pasożyta: proces. co mam robić teraz już tracę nadzieję? proszę o dalsze wskazówki
Psycholandia komentarz 9 listopada 2009 komentarz 9 listopada 2009 Na dysku C powinien się utworzyć log z Combofixa, powinien nazywać się log.txt daj też nowego loga z OTL
lucas1987 komentarz 9 listopada 2009 Autor komentarz 9 listopada 2009 [quote name='Andziorka' date='09 listopad 2009 - 21:00 ' timestamp='1257796824' post='897155'] Na dysku C powinien się utworzyć log z Combofixa, powinien nazywać się log.txt daj też nowego loga z OTL [/quote] w załączniku podaje log z OTL, MOZE PO PROSTU JEST COS NIE TAK Z AVAST SKORO WSZYSTKO POSZŁO OK ? ??? a tego logu z combofix za chuby nie mogę znalezc? jak go szukac w vista?
Psycholandia komentarz 9 listopada 2009 komentarz 9 listopada 2009 Wykonaj: http://www.forumpc.pl/index.php?showtopic=99152 + to: http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=369539&#entry369539 skan SDFix'em według poleceń, daj logi z obydwu programów.
lucas1987 komentarz 9 listopada 2009 Autor komentarz 9 listopada 2009 [quote name='Andziorka' date='09 listopad 2009 - 21:25 ' timestamp='1257798342' post='897187'] Wykonaj: http://www.forumpc.pl/index.php?showtopic=99152 + to: http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=369539&#entry369539 skan SDFix'em według poleceń, daj logi z obydwu programów. [/quote] ponizej zamiesczam log z tego pierwszego ale tam pisze zeby nie uzywac sdf do visty a ja mam viste; log z mbr.exe: http://wklej.org/id/200485/ niestety mbr nic nie pomogło pisalo ze poleceni nie jest wewnetrznne czy cos takiego
Psycholandia komentarz 9 listopada 2009 komentarz 9 listopada 2009 czy avast dalej Cię informuje o zagrożeniu? podaj ścieżkę i plik który jest niby zagrożony
lucas1987 komentarz 9 listopada 2009 Autor komentarz 9 listopada 2009 Ta informacja pojawia się tylko jakiś czas po ponownym włączeniu kompa, jakieś 5-10 minut po włączeniu : "Znaleziono oprogramowanie typu rootkit!!! W systemie wykryto podejrzany, ukryty obiekt (rootkit). Może to oznaczać zarażenie szkodliwym oprogramowaniem. Zaleca się natychmiastowe usunięcie obiektu. Plik :C:\recycled\recycled\ctfmon.exe typ: Rootkit: ukryty proces Nazwa pasożyta: Win32:VB-EAA [Trj]" Nistety wciskam przycisk usuń i nic się nie dzieje. Co zrobić?
Psycholandia komentarz 9 listopada 2009 komentarz 9 listopada 2009 Opróżnij kosz. Wyłącz i włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl Wklej poniższe do notatnika, [code]Folder:: C:\Recycled[/code] Plik -> zapisz jako -> [b]CFScript.txt[/b] Przeciągnij i upuść ikonkę [b]CFScript.txt[/b] na ikonkę [b]ComboFix.exe[/b] dajesz loga po usuwaniu.
lucas1987 komentarz 10 listopada 2009 Autor komentarz 10 listopada 2009 [quote name='Andziorka' date='09 listopad 2009 - 23:21 ' timestamp='1257805308' post='897301'] Opróżnij kosz. Wyłącz i włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl Wklej poniższe do notatnika, [code]Folder:: C:\Recycled[/code] Plik -> zapisz jako -> [b]CFScript.txt[/b] Przeciągnij i upuść ikonkę [b]CFScript.txt[/b] na ikonkę [b]ComboFix.exe[/b] dajesz loga po usuwaniu. [/quote] Hej juz wszystko w porzadku przynajmniej na razie kolega kolobos pomogl mi na innym forum. Wielkie dzięki za wszystkie wskazówki i pomoc:) pozdrawiam
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.