Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Zwolniona praca komputera, brak możliwości ściągnięcia antywirusów i wejścia na stronę MS

luzacko

Przez luzacko
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

ComboFix załatwił narzędzie systemowe msconfig - skutek uruchamiania ComboFix na modyfikowanym Windows, nie jestem też pewna co to jest ów "Paint.exe" (może to dodany do tego Windows jakiś "extras"). Z odczytu ComboFix wynika, że jest czynny rootkit. Ten log z GMER nie wygląda na pełny, tylko na preskan. OTL nie jest całkowity, brak Extras.

 

1. Otwórz Notatnik i wklej w nim:

 

Driver::
qqhyhpzux
 
File::
d:\windows\system32\jhcmxp.dll
 
NetSvc::
qqhyhpzux
 
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8424:TCP"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

 

2. Jest tu także usługa Windows Update oznaczona jako poszkodowana:

 

SRV - File not found [Auto | Stopped] --  -- (wuauserv)

Start > Uruchom > regedit i z prawokliku na ten klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

 

... wyeksportuj go do pliku TXT (przestaw, by nie zapisało jako REG). Podaj w poście.

 

 

3. Finałowo prezentujesz: log wytworzony z działania ComboFix, eksport klucza wuauserv oraz zestaw nowych logów z OTL i GMER. Przy tworzeniu loga z OTL masz przestawić "Rejestr - Skan dodatkowy" z "Brak" na "Użyj filtrowania", by powstał log Extras.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Log z ComboFix nie jest pełny, urwany od "Skanu uzupełniającego" do końca. Wygląda na to, że poinstruowany przeze mnie ComboFix usunął czynne elementy rootkita. W GMER widać już tylko kopie tej usługi rootkit, zlokalizowane w nieczynnych kopiach konfiguracyjnych ("not active controlset").

 

1. Usuńmy te kopie usługi, skonstruuj nowy CFScript.txt do ComboFix, tym razem o zawartości:

 

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\qqhyhpzux]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\qqhyhpzux]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\qqhyhpzux]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\qqhyhpzux]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\qqhyhpzux]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\qqhyhpzux]

Uruchom w taki sam sposób.

 

2. Na temat poszkodowanej usługi Windows Update, jest błąd w ścieżce, skierowanie na plik na dysku C a Twój Windows jest na D:

 

Nazwa klucza:      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
Nazwa klasy:       
Czas ost. zapisu:  2011-03-24 - 16:07
Wartość 0
  Nazwa:           ServiceDll
  Typ:             REG_EXPAND_SZ
  Dane:            C:\WINDOWS\system32\wuauserv.dll

Start > Uruchom > regedit i wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

 

Dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na D:\WINDOWS\system32\wuauserv.dll.

 

3. W GMER widać jakiś ukryty plik (mpam-849b974d.exe) w jednej z lokalizacji tymczasowych. Użyj TFC - Temp Cleaner.

 

4. Do oceny: log wygenerowany z usuwania ComboFix + nowe logi z OTL i GMER. OTL ma być tym razem pełny, czyli z Extras, źle ten log robisz = opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania" a nie na "Brak". Podsumuj co się dzieje z systemem, czy problem ustąpił (już teraz powinno być dobrze, bo została zdjęta aktywność rootkit).

 

 

 

.

Edytowane przez picasso
25.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...