lukaszmaq Opublikowano 18 Listopada 2010 Zgłoś Udostępnij Opublikowano 18 Listopada 2010 witam serdecznie wszystkich sprawa wyglada tak moja jest komputer w którym po uruchomieniu wyskakuje taki komunikat zapobieganie wykonywaniu danych aby pomoc w ochronie tego komputera system windows zamknął generic host process for win32 services gdzy zamknę ten komunikat komputer odrazu sie wylacza jesli nie zamkne kego komunikaty pracuje ale do 20 min max zamulony strasznie wczesniej wsykakuwal jeszcze taki blad windows/kesenjangansosial.exe po tym bledzie komputer sie zawieszal i widac bylo tylko tapete z pulpitu gdy zalaczalem combofixa pracowal doslownie min i sie wylaczal caly komputer logi jakie udalo mi sie zrobic brontoka tez mi szaleje na kompie da sie cos jeszcze z tego zrobic czy musze formata?? prosze o pomoc OTL.Txt Extras.Txt DDS.txt Attach.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2010 Zgłoś Udostępnij Opublikowano 18 Listopada 2010 Rozmnożone logi standardowe, ale brak loga z rootkit detekcji. Obowiązkowo się podaje OTL (lub DDS / najmniejsze znaczenie ma tu RSIT jako bazujący na niepełnosprawnym HijackThis) + GMER (a jeśli nie da się go uruchomić to z Root Repeal). Podane tu nie są specjalizowane w rootkitach. Wstępny rzut oka i sytuacja mocno nieciekawa, skomasowanie różnych szkodników (ów Brontok też), ale na czoło wychodzi infekcja wirusem Sality: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\mfpkhl.sys -- (abp470n5) Infekcja rozmnaża się poprzez pliki wykonywalne, psuje wszystkie na wszystkich dyskach. Spróbujmy coś tu zrobić jeszcze, ale to może być ciężkie... 1. Wstępnie próba sprzątnięcia tego co jest "naokoło" Sality + całkowite zablokowanie odczytu pliku autorun.inf w systemie (stąd wszedł conajmniej jeden typ infekcji). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services abp470n5 :Files autorun.inf /alldrives 2u.com /alldrives SYSTEM /alldrives C:\WINDOWS\System32\gasretyw0.dll C:\WINDOWS\System32\acovcnt.exe C:\WINDOWS\System32\cmd-brontok.exe C:\WINDOWS\KesenjanganSosial.exe C:\WINDOWS\ShellNew\RakyatKelaparan.exe C:\WINDOWS\System32\Ola's Setting.scr C:\Documents and Settings\Ola\Dane aplikacji\sysdate32.exe C:\Documents and Settings\Ola\Dane aplikacji\sysdate.dll C:\Documents and Settings\Ola\Moje dokumenty\Moje dokumenty.exe C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\inetinfo.exe C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\csrss.exe C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\ListHost15.txt C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\Bron.tok.* C:\Documents and Settings\Ola\Menu Start\Programy\Autostart\Empty.pif :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "api32"=- "kamsoft"=- "systemadd"=- "Tok-Cirrhatus"=- "Tok-Cirrhatus-1827" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "E:\2u.com"=- "C:\WINDOWS\Explorer.exe"=- :Commands [resethosts] [emptyflash] [emptytemp] Uruchom przez Wykonaj skrypt. Nastąpi restart i otrzymasz z tego log. Zachowaj go. 2. Natychmiast po ukończeniu pracy OTL zastosuj szczepionkę SalityKiller: KLIK / KLIK (drugi link podany, jeśli nie otworzy się pierwszy). Zanotuj ile i co jest naprawiane. 3. Po ukończeniu prac wygeneruj nowe logi OTL + GMER + USBFix z opcji Listing. Dołącz także log powstały z usuwania OTL w punkcie 1. . Odnośnik do komentarza
lukaszmaq Opublikowano 18 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2010 niestety nie udalo otl po tym jak wleilem co co mi kazales pracował pare sekund a potem sie zawiesil gmer.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2010 Zgłoś Udostępnij Opublikowano 19 Listopada 2010 (edytowane) To log z USBFix z błędnej opcji, miało być Listing. otl po tym jak wleilem co co mi kazales pracował pare sekund a potem sie zawiesil Zróbmy to inaczej, usuwanie będzie prowadzone z poziomu izolowanego środowiska. Zakładam, że SalityKiller już jest pobrany. Zaopatrz się w płytę OTLPE. Zastartuj z tej płyty i wykonaj log wstępny do prezentacji. Na podstawie tego wyniku podam przeobrażone instrukcje. Edytowane 16 Czerwca 2011 przez picasso 21.12.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi