Skocz do zawartości
Nadchodzące zmiany w logowaniu

rogerwest

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    3

  • Dołączył

  • Ostatnia wizyta

  1. rogerwest
    Jedynym powtarzającym się błędem w systemie jest to że czasami nie mogę wejść na żadem z dysków lokalnych(restart z reguły pomaga) oraz to że odznaczona w opcjach folderów - widok opcja: pokaż ukryte pliki i foldery restaruje się samoczynnie kilka uruchomień później. Zapewne jest to wina szajsowatej wersji systemu jaką posiadam. Noszę się z zamiarem instalacji innej wersji XP i zastanawia mnie pewna rzecz. Otóż czy ostatnie użycie Combofixa definitywnie zabiło robale?, czy też powrócą jakby nigdy nic po formacie jak to miało miejsce wcześniej? Jeśli powrócą to czy jest jakaś mozliwość definitywnego usunięcia ich z dysku przed instalacją nowego systemu? Czy infekcja tego typu czyni dysk twardy bezużytecznym(niemożliwym do oczyszczenia) i jedynym dającym 100% pewność rozwiązaniem problemu jest kupno nowego?.
  2. rogerwest
    Przepraszam za wklejenie raportu z combofixa. Raporty z OLT są obszerne dlatego też zamieszczam je jako załączniki. Musze się również przyznać że combofixa pobrałem z pierwszej lepszej strony a nie z autoryzowanego źródła o którym mowa w "dezynfekcja: narzędzie ComboFix" za co również przepraszam. Czy znaczy to że powinieniem ponownie go pobrać, tym razem z dobrego źródła i przeprowadzić skan ponownie? Skan z Gmer jest krótszy więc zamieszczam go poniżej: GMER 2.1.19163 - http://www.gmer.net Rootkit scan 2013-06-10 05:15:25 Windows 5.1.2600 Dodatek Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-6 SAMSUNG_HD502HJ rev.1AJ10001 465,76GB Running: 60ckwn30.exe; Driver: C:\DOCUME~1\PATHFI~1\USTAWI~1\Temp\kfndafoc.sys ---- System - GMER 2.1 ---- SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xA832B606] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xA832B05A] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xA832AD3C] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xA832C652] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xA832AE46] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xA832AF30] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xA832B8CC] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xA832B362] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwSetValueKey [0xA832ABBA] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwTerminateProcess [0xA832B814] SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwWriteFile [0xA832B494] ---- User code sections - GMER 2.1 ---- .text C:\Program Files\Mozilla Firefox\firefox.exe[2688] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 015C9CF0 C:\Program Files\Mozilla Firefox\xul.dll .text C:\Program Files\Mozilla Firefox\firefox.exe[2688] kernel32.dll!lstrlenW + 43 7C809ADC 7 Bytes JMP 01B7542B C:\Program Files\Mozilla Firefox\xul.dll .text C:\Program Files\Mozilla Firefox\firefox.exe[2688] kernel32.dll!MapViewOfFileEx + 6A 7C80B990 7 Bytes JMP 01B75408 C:\Program Files\Mozilla Firefox\xul.dll .text C:\Program Files\Mozilla Firefox\firefox.exe[2688] kernel32.dll!ValidateLocale + B1E8 7C8449F8 7 Bytes JMP 015D369E C:\Program Files\Mozilla Firefox\xul.dll .text C:\Program Files\Mozilla Firefox\firefox.exe[2688] GDI32.dll!SetDIBitsToDevice + 209 77F19E04 7 Bytes JMP 01B75389 C:\Program Files\Mozilla Firefox\xul.dll ---- EOF - GMER 2.1 ---- OTL.Txt Extras.Txt
  3. rogerwest
    Witam serdecznie. Moja niemiła przygoda z rotkitami zaczęła się około tydzień temu kiedy to wczytywanie stron w przeglądarce masakrycznie zwolniło. Jak zwykle w tego typu przypadkach uznałem że to wina operatora(do tej pory tak było) i zadzwonilem do pomocy technicznej. Usłyszałem że mają awarię i w tej chwili mi nie pomogą: "proszę poczekać kilka godzin to napewno wszytko wróci do normy". Uzbroiłem się w cierpliwość i poczekałem 2 dni ale problem nie zniknął więc zadzwoniłem ponownie. Koleś z PT stwierdził że problem nie leży po ich stronie i że z moim połączeniem jest wszytko ok. Przy użyciu super wolnego internetu rozpocząłem poszukiwania rozwiązania mojego problemu. Po wpisaniu w wyszukiwarce frazy "wirusy spowalniające internet" natrafiłem na informacje o rotkitach i programie combofix. Pobrałem program i przeprowadziłem skanowanie w wyniku którego okazało się że mój komputer zostal zainfekowany przez rotkita:(. Combofix usunął wirusa i wszystko wrócilo do normy. Przez następne kilka dni był spokój po czym podczas przeglądania internetu pojawił się słynny komunikat: "komputer został zablokowany przez policję". Jako że nie posiadam pendriva z zainstalowanym combofixem byłem zmuszony zrobić formata. Zaraz po postawieniu systemu odpaliłem combofixa który znalazł i rzekomo usunął rotkita(niestety nie posiadam raportu z tego skanu). Napisałem rzekomo ponieważ problem wcale nie zniknąl. Zyskałem jedynie 2 dni spokoju. W dniu dzisiejszym ok 2.00 w trakcie grania w grę MMO dokonałem w niej pewnych modyfikacji(wyłączyłem czat głosowy) w wyniku czego myszka zdechła:). Standardowo zrestartowałem kompa co postawiło mychę na nogi, ale z kolei uniemożliwilo mi dostęp do mojego komputera. Po kolejnym restarcie okazało się że na żadną z partycji nie mogę wejść. Kliknięcie na dany dysk lokalny powodowalo jedynie wyświetlenie ogólnych informacji. Po kilku irytujących restartach w końcu udało mi się dostać do dysku lokalnego D i odpalić combofixa. Oto co znalazł: ComboFix 13-06-06.04 - PATHFINDER 2013-06-07 1:26.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.2013.1714 [GMT 2:00] Uruchomiony z: d:\nowe\ComboFix.exe . . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\host32.exe c:\windows\system32\ntos.exe c:\windows\system32\sdra64.exe c:\windows\system32\twext.exe . . ((((((((((((((((((((((((( Pliki utworzone od 2013-05-06 do 2013-06-06 ))))))))))))))))))))))))))))))) . . . . . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-06-02 22:08 . 2008-04-14 20:50 219648 ----a-w- c:\windows\system32\uxtheme.dll . . ------- Sigcheck ------- Note: Unsigned files aren't necessarily malware. . [-] 2008-05-08 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys . [7] 2008-04-14 . 9A19BA6D99B8EC3DB5B3EFF71B0A0BB5 . 112128 . . [5.4.3790.5512] . . c:\windows\erdnt\cache\wuauclt.exe [-] 2008-04-14 . E1A9A883950ADB8F0536E2201A3C2A00 . 101888 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe [-] 2008-04-14 . E1A9A883950ADB8F0536E2201A3C2A00 . 101888 . . [5.4.3790.5512] . . c:\windows\system32\dllcache\wuauclt.exe . [7] 2008-05-08 . C6EC2493346ED8888A549F59210A8ED3 . 3578368 . . [7.00.5730.13] . . c:\windows\erdnt\cache\mshtml.dll [-] 2008-05-08 . 1B70DB042A98B52BBBFEA5CBF8AF3FD2 . 3851264 . . [7.00.5730.13] . . c:\windows\system32\mshtml.dll [-] 2008-05-08 . 1B70DB042A98B52BBBFEA5CBF8AF3FD2 . 3851264 . . [7.00.5730.13] . . c:\windows\system32\dllcache\mshtml.dll . [7] 2008-05-08 . A4A0FC92358F39538A6494C42EF99FE9 . 818688 . . [7.00.5730.13] . . c:\windows\erdnt\cache\wininet.dll [-] 2008-05-08 . F284A6225A3057A1E19985E1D4B47ADA . 809472 . . [7.00.5730.13] . . c:\windows\system32\wininet.dll [-] 2008-05-08 . F284A6225A3057A1E19985E1D4B47ADA . 809472 . . [7.00.5730.13] . . c:\windows\system32\dllcache\wininet.dll . [-] 2008-04-14 . F042E3426D45D86D9BB55F6A79AB441A . 977408 . . [6.00.2900.5512] . . c:\windows\explorer.exe [7] 2008-04-14 . C791ED9EAC5E76D9525E157B1D7A599A . 1035264 . . [6.00.2900.5512] . . c:\windows\erdnt\cache\explorer.exe [-] 2008-04-14 . F042E3426D45D86D9BB55F6A79AB441A . 977408 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe . [-] 2008-04-14 . AA16572097E544B985D6B5CBD4CB164C . 227328 . . [5.1.2600.5512] . . c:\windows\regedit.exe [7] 2008-04-14 . FD317A23C3EB2A856E74279FBE04B9C2 . 149504 . . [5.1.2600.5512] . . c:\windows\erdnt\cache\regedit.exe [-] 2008-04-14 . AA16572097E544B985D6B5CBD4CB164C . 227328 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\regedit.exe . [-] 2008-05-08 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2009-10-16 18782720] "SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2013-06-02 2867200] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-10-31 129536] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-10-31 163328] "Persistence"="c:\windows\system32\igfxpers.exe" [2011-10-31 139264] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-05-11 958576] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] . c:\documents and settings\PATHFINDER\Menu Start\Programy\Autostart\ RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784] . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= "c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "56364:TCP"= 56364:TCP:Pando Media Booster "56364:UDP"= 56364:UDP:Pando Media Booster . R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2013-06-02 141312] R3 L1c;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [2013-06-02 45056] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2013-06-02 1684736] . Zawartość folderu 'Zaplanowane zadania' . 2013-06-06 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-04 23:03] . . ------- Skan uzupełniający ------- . IE: Crawler Search - tbr:iemenu TCP: DhcpNameServer = 86.63.64.48 86.63.64.49 Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll FF - ProfilePath - c:\documents and settings\PATHFINDER\Dane aplikacji\Mozilla\Firefox\Profiles\fgdmz7hl.default\ FF - ExtSQL: 2013-06-02 22:29; {4B3803EA-5230-4DC3-A7FC-33638F3D3542}; c:\program files\Crawler\Toolbar\firefox FF - ExtSQL: 2013-06-02 23:19; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\documents and settings\PATHFINDER\Dane aplikacji\Mozilla\Firefox\Profiles\fgdmz7hl.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2013-06-07 01:28 Windows 5.1.2600 Dodatek Service Pack 3 NTFS . skanowanie ukrytych procesów ... . skanowanie ukrytych wpisów autostartu ... . skanowanie ukrytych plików ... . skanowanie pomyślnie ukończone ukryte pliki: 0 . ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- . - - - - - - - > 'lsass.exe'(760) c:\windows\system32\scecli.dll . Czas ukończenia: 2013-06-07 01:29:23 ComboFix-quarantined-files.txt 2013-06-06 23:29 ComboFix2.txt 2013-06-02 20:54 . Przed: 86 778 253 312 bajtów wolnych Po: 86 835 994 624 bajtów wolnych . - - End Of File - - BD5A760BA275B638FC9CA68695526372 32052574BF9F325AE309ABC7BFD04460 Dodam że mój WIn to wersja korporacyjna bez klucza zassana z torrentów. Nie korzystam z zapory systemowej oraz aktualizacji automatycznych. Do tej pory używałem jedynie Spyware terminatora i nigdy nie miałem żadnych problemów z tego typu robactwem. zdaje sobie że nie jest to jakis super program antywirusowy, ale jak wpomniałem wczesniej do tej pory nie bylo problemów. Prosze o radę w kwesti doboru oprogramowania antywirusowego(skutecznego i nie mulącego kompa) Chciałbym się raz na zawsze pozbyć problemu. Z góry dziękuje za wszelkie rady i pomoc
×
×
  • Dodaj nową pozycję...