Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Rootkit?

Lynx

Przez Lynx
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Lynx

Lynx

Opublikowano
Opublikowano

Witam wszystkich forumowiczów.

 

 

Dopadło mnie jakieś badziewie, szperając w internecie znalazłem info, że może być to Rootkit tdsserv.

 

Prosze o pomoc w usunięciu.

 

Objawy są następujące:

 

1. Nie mogę odwiedzić stron z antywirusami

2. Rozłączanie internetu (blueconnect)

3. Wolna praca komputera

 

Poniżej zamieszczam logi.

 

Pozdrawiam

mbr.txt

OTL.txt

Extras_OTL.Txt

gmer.txt

catchme.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

1. Otwórz Notatnik i wklej w nim:

 

Rootkit::
C:\WINDOWS\system32\vnxtaihg.dll
 
Driver::
pvenh
 
NetSvc::
pvenh
 
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2477:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EXPLORER.EXE]

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

2. Do oceny: log powstały z prawy ComboFix oraz nowa seria logów z OTL opcji Skanuj.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Mogę wejść już na strony internetowe, jednak zauważyłem ze system nie trzyma niektórych zmian, np.

W opcjach folderu zmienie atrybut żeby pokazywał ukryte pliki, i pokazuje do momentu restartu komputera.

Po restarcie wraca do ustawień domyślnych.

 

Spróbuj zwyczajnego importu zapisów rejestru, ustawiających widzialność wszystkich plików (w tym i ukrytych systemu operacyjnego). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system i zdaj mi relację jak jest z widzialnością ukrytych.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Przy tamtym pierwszym komputerze jeszcze nie koniec. Należy posprzątać i wykonać globalny skan:

 

  • Zaktualizuj wersje programów Firefox i Java: INSTRUKCJE.
  • W Start > Uruchom > wklej polecenie "c:\documents and settings\er!\Pulpit\ComboFix.exe" /uninstall
  • Wykonaj końcowy skan przez Malwarebytes' Anti-Malware i jeśli coś zostanie znalezione, pokaż wyniki.

 

*********************************************************

 

Drugi komputer ma podobnego rootkita.

 

1. Uruchom Avenger i w oknie wklej:

 

Drivers to delete:
feqzlhp
 
Files to delete:
C:\WINDOWS\system32\qckdycm.dll
 
Registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\feqzlhp
 
Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List | 6560:TCP

 

Klik w Execute, zatwierdź restart komputera. Restarty mogą być dwa, bo jest komenda usuwania sterownika rootkit. Po restarcie otrzymasz log.

 

2. Po restarcie wykonaj skan z OTL na dodatkowych warunkach. W oknie Własne opcje skanowania / skrypt wklej:

 

netsvcs


type F:\autorun.inf /C


type G:\autorun.inf /C

 

Klik w Skanuj (a nie Wykonaj skrypt!). Wynikowy log zaprezentuj. Dołącz log powstały z usuwania przez Avenger.

 

 

Nawiasem: logi z MBR.EXE i Catchme są zbędne...

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Rootkit pomyślnie usunięty. Zostały do kasacji pliki autorun.inf z dysków. Ale: załączyłam do skanu wartość netsvcs, a nie ma żadnych wyników z tego, czy Ty na pewno wkleiłeś to w skanie?

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
autorun.inf /alldrives
recycler /alldrives
recycled /alldrives
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{C4069E3A-68F1-403E-B40E-20066696354B}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

 

Rozpocznij przez Wykonaj skrypt. Będzie restart. Otrzymasz log z usuwania.

 

2. Następnie proszę wykonaj jeszcze raz log z OTL wklejając w sekcji Własne opcje skanowania / skrypt słowo netsvcs i klik w Skanuj. Dołącz log z usuwania OTL powstały w punkcie 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Usunięte.

 

1. Drobna poprawka, w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
NetSvcs: feqzlhp -  File not found
O4 - HKLM..\Run: []  File not found

 

Jak poprzednio: Wykonaj skrypt. Nie będzie restartu. Po ukończeniu pracy wywołaj w OTL funkcję Sprzątanie.

 

2. Do aktualizacji: Firefox i Adobe Reader: INSTRUKCJE.

 

3. I tu również wykonaj skan przez Malwarebytes' Anti-malware i zgłoś się z wynikami.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...