luzacko Opublikowano 21 Marca 2011 Zgłoś Udostępnij Opublikowano 21 Marca 2011 Jeżeli chodzi o sprawy związane z logami, to jestem laikiem. Zainstalowałem ComboFix'a, i postępowałem zgodnie z instrukcją. W załączniku przesyłam logi z ComboFix'a. Mam Windows XP Professional. Proszę o pomoc. ComboFix.txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 22 Marca 2011 Zgłoś Udostępnij Opublikowano 22 Marca 2011 ComboFix załatwił narzędzie systemowe msconfig - skutek uruchamiania ComboFix na modyfikowanym Windows, nie jestem też pewna co to jest ów "Paint.exe" (może to dodany do tego Windows jakiś "extras"). Z odczytu ComboFix wynika, że jest czynny rootkit. Ten log z GMER nie wygląda na pełny, tylko na preskan. OTL nie jest całkowity, brak Extras. 1. Otwórz Notatnik i wklej w nim: Driver:: qqhyhpzux File:: d:\windows\system32\jhcmxp.dll NetSvc:: qqhyhpzux Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8424:TCP"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 2. Jest tu także usługa Windows Update oznaczona jako poszkodowana: SRV - File not found [Auto | Stopped] -- -- (wuauserv) Start > Uruchom > regedit i z prawokliku na ten klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv ... wyeksportuj go do pliku TXT (przestaw, by nie zapisało jako REG). Podaj w poście. 3. Finałowo prezentujesz: log wytworzony z działania ComboFix, eksport klucza wuauserv oraz zestaw nowych logów z OTL i GMER. Przy tworzeniu loga z OTL masz przestawić "Rejestr - Skan dodatkowy" z "Brak" na "Użyj filtrowania", by powstał log Extras. . Odnośnik do komentarza
luzacko Opublikowano 24 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2011 Zgodnie z wytycznymi zamieszczam pliki. ComboFix.txt gmer.txt OTL.Txt wuauserv.txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2011 Zgłoś Udostępnij Opublikowano 25 Marca 2011 (edytowane) Log z ComboFix nie jest pełny, urwany od "Skanu uzupełniającego" do końca. Wygląda na to, że poinstruowany przeze mnie ComboFix usunął czynne elementy rootkita. W GMER widać już tylko kopie tej usługi rootkit, zlokalizowane w nieczynnych kopiach konfiguracyjnych ("not active controlset"). 1. Usuńmy te kopie usługi, skonstruuj nowy CFScript.txt do ComboFix, tym razem o zawartości: Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\qqhyhpzux] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\qqhyhpzux] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\qqhyhpzux] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\qqhyhpzux] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\qqhyhpzux] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\qqhyhpzux] Uruchom w taki sam sposób. 2. Na temat poszkodowanej usługi Windows Update, jest błąd w ścieżce, skierowanie na plik na dysku C a Twój Windows jest na D: Nazwa klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\ParametersNazwa klasy: Czas ost. zapisu: 2011-03-24 - 16:07Wartość 0 Nazwa: ServiceDll Typ: REG_EXPAND_SZ Dane: C:\WINDOWS\system32\wuauserv.dll Start > Uruchom > regedit i wejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na D:\WINDOWS\system32\wuauserv.dll. 3. W GMER widać jakiś ukryty plik (mpam-849b974d.exe) w jednej z lokalizacji tymczasowych. Użyj TFC - Temp Cleaner. 4. Do oceny: log wygenerowany z usuwania ComboFix + nowe logi z OTL i GMER. OTL ma być tym razem pełny, czyli z Extras, źle ten log robisz = opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania" a nie na "Brak". Podsumuj co się dzieje z systemem, czy problem ustąpił (już teraz powinno być dobrze, bo została zdjęta aktywność rootkit). . Edytowane 14 Października 2011 przez picasso 25.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi