x-kom hosting

Czy to jakiś rootkit?

lucas1987
utworzono
utworzono (edytowane)

Witam serdecznie wszystkich,
ostatnio mój program antywirusowy avast przy każdym uruchomieniu komputera informuje mnie, że mój system jest zarażony przez rootkit. Po przejrzeniu, więc forum ściągnąłem sobie program HijackThis i przeskanowałem komputer. Wyszedł mi oto taki raport: http://www.wklej.org/hash/4f2b0c4c2a/ Co to oznacza? Jaki rodzaj rootkita zainfekował mój komputer? A przede wszystkim jak się go pozbyć? Proszę bardzo o pomoc, gdyż w kwestii komputerów nie jestem zbytnio obeznany. Z góry dziękuje za wszelkie rady.
pozdrawiam Łukasz

Psycholandia
komentarz
komentarz

Komputer jest zainfekowany, potrzebuję loga z OTL: http://www.forumpc.pl/index.php?showtopic=104338 wtedy usuniemy wirusy

lucas1987
komentarz
komentarz

[quote name='Andziorka' date='09 listopad 2009 - 12:19 ' timestamp='1257765549' post='896666']
Komputer jest zainfekowany, potrzebuję loga z OTL: http://www.forumpc.pl/index.php?showtopic=104338 wtedy usuniemy wirusy
[/quote]

Psycholandia
komentarz
komentarz

W okienko OTL wklej poniższy skrypt i klik na Run Fix:

[code]:Processes
explorer.exe

:OTL
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - Startup: ctfmon.exe
O23 - Service: WSYS - Sysinternals - www.sysinternals.com - C:\Users\UKASZG~1\AppData\Local\Temp\WSYS.exe
O33 - MountPoints2\{0921916d-80ab-11dd-874d-001e37e901ae}\Shell - "" = AutoRun
O33 - MountPoints2\{0921916d-80ab-11dd-874d-001e37e901ae}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found
O33 - MountPoints2\{73d99593-4f57-11de-8070-001e37e901ae}\Shell - "" = AutoRun
O33 - MountPoints2\{73d99593-4f57-11de-8070-001e37e901ae}\Shell\AutoRun\command - "" = G:\autorun6e.exe -- File not found
O33 - MountPoints2\{740ba40d-0fd4-11de-b3c8-001e37e901ae}\Shell - "" = AutoRun
O33 - MountPoints2\{740ba40d-0fd4-11de-b3c8-001e37e901ae}\Shell\AutoRun\command - "" = F:\autorun_PES2008.exe -- File not found
O33 - MountPoints2\{79638ec4-96c2-11de-88c8-001e685a849a}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{9143da70-80a6-11dd-a1a3-001e37e901ae}\Shell - "" = AutoRun
O33 - MountPoints2\{9143da70-80a6-11dd-a1a3-001e37e901ae}\Shell\AutoRun\command - "" = G:\PdtStart.exe -- File not found
O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\AutoRun\command - "" = F:\ph.com -- File not found
O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\explore\Command - "" = F:\ph.com -- File not found
O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\open\Command - "" = F:\ph.com -- File not found
O33 - MountPoints2\{d04bcb1a-b590-11de-af22-001e37e901ae}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\PdtStart.exe -- File not found

:Files
C:\Recycled

:Commands
[emptytemp]
[start explorer]
[Reboot][/code]

Otwórz notatnik tekstowy i wklej do niego poniższy tekst: [code]Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[/code]
Zapisz jako->Wybierz [b]Wszystkie pliki[/b]->wpisz [b]Fix.reg[/b]->Następnie kliknij na zapisany plik i uruchom komputer ponownie.

Przeskanuj komputer tym: [url="http://www.programosy.pl/program,malwarebytes-anti-malware.html"]Malware[/url] usuń wszystko co znajdzie i daj loga po kasowaniu (loga z Malware)

lucas1987
komentarz
komentarz (edytowane)

Oto jescze log z wklej.org: http://wklej.org/id/200274/
to powinno być wszystko czekam na jakieś instrukcje pozdrawiam

[color="#FF0000"]//Wyżej masz już[/color]

Hey wiesz co przy tym O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) komp mi sie zawiesza i pisze program OTL ZE BRAK ODPOWIEDZI? CO TO OZNACZA?

Psycholandia
komentarz
komentarz

[code]:Processes
explorer.exe

:OTL
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O4 - Startup: ctfmon.exe
O23 - Service: WSYS - Sysinternals - www.sysinternals.com - C:\Users\UKASZG~1\AppData\Local\Temp\WSYS.exe
O33 - MountPoints2\{0921916d-80ab-11dd-874d-001e37e901ae}\Shell - "" = AutoRun
O33 - MountPoints2\{0921916d-80ab-11dd-874d-001e37e901ae}\Shell\AutoRun\command - "" = F:\setup.exe -- File not found
O33 - MountPoints2\{73d99593-4f57-11de-8070-001e37e901ae}\Shell - "" = AutoRun
O33 - MountPoints2\{73d99593-4f57-11de-8070-001e37e901ae}\Shell\AutoRun\command - "" = G:\autorun6e.exe -- File not found
O33 - MountPoints2\{740ba40d-0fd4-11de-b3c8-001e37e901ae}\Shell - "" = AutoRun
O33 - MountPoints2\{740ba40d-0fd4-11de-b3c8-001e37e901ae}\Shell\AutoRun\command - "" = F:\autorun_PES2008.exe -- File not found
O33 - MountPoints2\{79638ec4-96c2-11de-88c8-001e685a849a}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{9143da70-80a6-11dd-a1a3-001e37e901ae}\Shell - "" = AutoRun
O33 - MountPoints2\{9143da70-80a6-11dd-a1a3-001e37e901ae}\Shell\AutoRun\command - "" = G:\PdtStart.exe -- File not found
O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\AutoRun\command - "" = F:\ph.com -- File not found
O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\explore\Command - "" = F:\ph.com -- File not found
O33 - MountPoints2\{a4c2f356-917f-11dd-bf04-001e685a849a}\Shell\open\Command - "" = F:\ph.com -- File not found
O33 - MountPoints2\{d04bcb1a-b590-11de-af22-001e37e901ae}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\PdtStart.exe -- File not found

:Files
C:\Recycled

:Commands
[emptytemp]
[start explorer]
[Reboot][/code]
Wklej powyższy skrypt

lucas1987
komentarz
komentarz

Hey wielkie dzięki chyba powinno być już wszystko w porządku bo malware nic nie wykrył, ale dla pewności wysyłam jeszcze log. Chociaż przed chwilą avast poinformował mnie że nadal mam rootkit- dziwne. Mam jescze pytanko jak się w przyszłości chronić przed takimi rootkiami? jescze raz dzieki prosze jeszcze tylko o analize czy wszystko na pewno ok

Psycholandia
komentarz
komentarz

Przeskanuj komputer Combofixem: http://www.forumpc.pl/index.php?showtopic=120614 i daj z niego loga na forum

lucas1987
komentarz
komentarz

[quote name='Andziorka' date='09 listopad 2009 - 19:48 ' timestamp='1257792483' post='897073']
Przeskanuj komputer Combofixem: http://www.forumpc.pl/index.php?showtopic=120614 i daj z niego loga na forum
[/quote]
zrobiłem jak mi kazano powyżej ale zaden log nie został wygenerowany przynajmniej mnie o tym nie poinformowano, scaning został zakończiny, przed chwilą znow sie pojawilo okienko o rootkitcie: Nazwa pasożyta:Win32:VB-EAA [Trj], typ pasożyta: proces. co mam robić teraz już tracę nadzieję? proszę o dalsze wskazówki

Psycholandia
komentarz
komentarz

Na dysku C powinien się utworzyć log z Combofixa, powinien nazywać się log.txt
daj też nowego loga z OTL

lucas1987
komentarz
komentarz

[quote name='Andziorka' date='09 listopad 2009 - 21:00 ' timestamp='1257796824' post='897155']
Na dysku C powinien się utworzyć log z Combofixa, powinien nazywać się log.txt
daj też nowego loga z OTL
[/quote]
w załączniku podaje log z OTL, MOZE PO PROSTU JEST COS NIE TAK Z AVAST SKORO WSZYSTKO POSZŁO OK ? ???
a tego logu z combofix za chuby nie mogę znalezc? jak go szukac w vista?

Psycholandia
komentarz
komentarz

Wykonaj: http://www.forumpc.pl/index.php?showtopic=99152 + to: http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=369539&#entry369539 skan SDFix'em według poleceń, daj logi z obydwu programów.

lucas1987
komentarz
komentarz

[quote name='Andziorka' date='09 listopad 2009 - 21:25 ' timestamp='1257798342' post='897187']
Wykonaj: http://www.forumpc.pl/index.php?showtopic=99152 + to: http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=369539&#entry369539 skan SDFix'em według poleceń, daj logi z obydwu programów.
[/quote]
ponizej zamiesczam log z tego pierwszego ale tam pisze zeby nie uzywac sdf do visty a ja mam viste;
log z mbr.exe: http://wklej.org/id/200485/ niestety mbr nic nie pomogło pisalo ze poleceni nie jest wewnetrznne czy cos takiego

Psycholandia
komentarz
komentarz

czy avast dalej Cię informuje o zagrożeniu?
podaj ścieżkę i plik który jest niby zagrożony

lucas1987
komentarz
komentarz

Ta informacja pojawia się tylko jakiś czas po ponownym włączeniu kompa, jakieś 5-10 minut po włączeniu :

"Znaleziono oprogramowanie typu rootkit!!!

W systemie wykryto podejrzany, ukryty obiekt (rootkit). Może to oznaczać zarażenie szkodliwym oprogramowaniem.
Zaleca się natychmiastowe usunięcie obiektu.

Plik :C:\recycled\recycled\ctfmon.exe
typ: Rootkit: ukryty proces
Nazwa pasożyta: Win32:VB-EAA [Trj]"

Nistety wciskam przycisk usuń i nic się nie dzieje. Co zrobić?

Psycholandia
komentarz
komentarz

Opróżnij kosz.
Wyłącz i włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Wklej poniższe do notatnika,
[code]Folder::
C:\Recycled[/code]
Plik -> zapisz jako -> [b]CFScript.txt[/b]
Przeciągnij i upuść ikonkę [b]CFScript.txt[/b] na ikonkę [b]ComboFix.exe[/b]

dajesz loga po usuwaniu.

lucas1987
komentarz
komentarz

[quote name='Andziorka' date='09 listopad 2009 - 23:21 ' timestamp='1257805308' post='897301']
Opróżnij kosz.
Wyłącz i włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Wklej poniższe do notatnika,
[code]Folder::
C:\Recycled[/code]
Plik -> zapisz jako -> [b]CFScript.txt[/b]
Przeciągnij i upuść ikonkę [b]CFScript.txt[/b] na ikonkę [b]ComboFix.exe[/b]

dajesz loga po usuwaniu.
[/quote]
Hej juz wszystko w porzadku przynajmniej na razie kolega kolobos pomogl mi na innym forum.
Wielkie dzięki za wszystkie wskazówki i pomoc:)
pozdrawiam

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.