Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Win32:Rootkit-gen i błędy na dysku zew. - pomocy

10 Lut 2009 17:02 3101 15
  • Poziom 9  
    LOG z HJthis:
    LOG

    LOG z ComboFix
    LOG



    ma ktoś jakiś pomysł? Wirus jest w c:\windows\system32\x
    Avast standardowo nie daje sobie rady.

    Dzięki z góry za pomoc
  • Poziom 32  
    Spróbuj SDFix w trybie awaryjnym.
  • Poziom 9  
    LOG z SDFix

    LOG


    Jak narazie jeszcze nic nie wyskakuje od Avasta ale jak możecie to przejrzyjcie logi czy już wszystko jest ok
  • VIP Zasłużony dla elektroda
    slvestr napisał:
    Logi wyglądają OK.

    To ciekawe bo już sam ten wpis mnie zastanawia:
    Cytat:
    C:\WINDOWS\system32\zrnmyyc.dll

    Log nie jest czysty!
  • Poziom 9  
    to jeżeli nie jest czysty to poradźcie mi co mam zrobić żeby było ok. Nie za bardzo wiem o co chodzi w tych wszystkich wierszach z lokalizacjami plików i nie wiem co może w nim być nie tak.
  • Spec od komputerów
    Zamknij porty przy pomocy wwdc.exe, zainstaluj

    CFScript.txt:

    Driver::
    limbys

    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\limbys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\limbys]

    File::
    C:\WINDOWS\system32\zrnmyyc.dll

    Po wykonaniu daj log.

    Uruchom regedit, przejdz do: [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] kliknij na BootExecute i popraw wpis zeby zostalo tylko:
    autocheck autochk *

    Zainstaluj latke:
    http://www.microsoft.com/downloads/details.as...FamilyID=2996b9b6-03ff-4636-861a-46b3eac7a305
  • Poziom 9  
    nowy LOG

    LOG


    porty zablokowane, łatka podobno nie potrzebna bo wyskakuje ze service pack jest nowszy i nie ma potrzeby instalacji. Wykasowałem z rejestru, CFScript.txt zrobiony - log powyżej



    NOWY PROBLEM
    mam dysk E - zewnetrzny. Mialem usunąć z wpisu w rejestrze:
    'Uruchom regedit, przejdz do: [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] kliknij na BootExecute i popraw wpis zeby zostalo tylko:
    autocheck autochk * '

    usunąłem ten wpis, i teraz musze zrobić chkdsk z ponownego uruchomienia i w tym momencie wyskakuje mi spybot S&D czy dodać ten sam wpis który usunąłem. Jeżeli go zablokuje to nie robi sprawdzania, jeżeli go dodam to też nie robi. Brakuje mi połowy danych na tym dysku od momentu kiedy zacząłem wykonywać te sugestie na forum.

    Proszę, pomózcie mi bo to cenne dane



    Edit:
    Właśnie robie checkdiska z parametrami /f i /r i jak narazie coś pracuje, mam nadzieję że coś naprawia. Jak tylko się skończy to dam znać co i jak.

    Nic się nie naprawiło ....

    Gdy robie checkdiskiem naprawe to wyskakuje mi dużo wierszy "segment rekordów dysku XXX jest nie do odczytania"
    Jest na to jakiś patent?


    Ogólnie to połowa danych mi uciekła w przestworza. System wykrywa dysk - jest to WD 250 GB w obudowie zewnętrznej.
  • Spec od komputerów
    Pewnie dysk jest uszkodzony i nie ma to zwiazku z infekcja.

    Uzyj HdTune (podlacz dysk pod plyte bez obudowy), po uzyciu daj screeny ze wszystkich zakladek programu.

    Wklej do notatnika:
    REGEDIT4

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "5326:TCP"=-

    Zapisz jako fix.reg i uruchom.
  • Poziom 9  
    A tego fix.reg mam zrobić przed tym testem czy po. Bo w sumie to robię w kolejności jak było zaproponowane i nie wiem czy to nie aby błąd.



    Screen1
    Win32:Rootkit-gen i błędy na dysku zew. - pomocy

    Screen2
    Win32:Rootkit-gen i błędy na dysku zew. - pomocy

    Screen3
    Win32:Rootkit-gen i błędy na dysku zew. - pomocy

    Screen4
    Win32:Rootkit-gen i błędy na dysku zew. - pomocy
  • Spec od komputerów
    Zamknij porty przy pomocy wwdc.exe, zainstaluj latke:
    http://www.microsoft.com/downloads/details.as...FamilyID=2996b9b6-03ff-4636-861a-46b3eac7a305 lub lepiej SP3 (po odrobaczeniu).

    CFScript.txt:

    File::
    c:\windows\system32\qwymcoh.dll

    Driver::
    is-6Q6RSdrv
    utezmza0
    nhkmmbq

    NetSvcs::
    nhkmmbq

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2919:TCP"=-
  • Spec od komputerów
    Nowe logi nie sa potrzebne.