Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prosba o zerkniecie na log

20 Sty 2010 05:26 1509 6
  • Poziom 17  
    z Combofixa

    Net sie strasznie muli. Troche poprawilo sie po skanowaniu roznymi programami ale outlook express nadal dziala tylko jak uruchomie windows w trybie awaryjnym.
  • Pomocny post
    Poziom 25  
    CONFICKER + 15 Rootkitów - aż dziwne, że komputer Ci jeszcze jako tako działa!
    Wklej do Notatnika:
    Code:
    File::
    
    c:\windows\system32\drivers\kgootkit.sys
    c:\windows\system32\drivers\yufvlubyg.sys
    c:\windows\system32\drivers\pnyvzelqd.sys
    c:\windows\system32\drivers\twmselzgbbcvns.sys
    c:\windows\system32\0444.tmp
    c:\windows\system32\01.tmp
    c:\windows\system32\0442.tmp
    c:\windows\system32\01.tmp
    c:\windows\system32\01.tmp
    c:\windows\system32\0443.tmp
    c:\windows\system32\0441.tmp
    c:\windows\system32\0445.tmp
    c:\windows\system32\0446.tmp

    Driver::
    KGootkit
    dhsahivomui
    gpily
    nzmsdjdw
    xugsb
    hrmhxem
    igmbds
    lacoutsr
    mazmxfux
    ndmvizpu
    qdpnw
    qpuuup
    tgyoc
    xfdcqvw

    NetSvc::
    xugsb

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1918:TCP"=-
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\hrmhxem]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\igmbds]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\lacoutsr]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mazmxfux]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ndmvizpu]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\qdpnw]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\qpuuup]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\tgyoc]
    [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xfdcqvw]


    >>Plik>>Zapisz jako... >>> CFScript
    Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
    --------> Prosba o zerkniecie na log
    Ma się rozpocząć usuwanie. (i powstanie log).
    Daj ten log, który powstanie w trakcie usuwania.

    Cytat:
    c:\windows\system32\drivers\ndis.sys
    c:\windows\system32\dllcache\ndis.sys
    c:\windows\system32\dllcache\mouhid.sys
    c:\windows\system32\drivers\mouhid.sys

    To są pliki Systemowe, ale dlaczego pokazały się w logu? Czyżby zostały zarażone?
    Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL.
    .
    Cytat:
    C:\Mozilla jnhnFirefox

    Znasz to?
    .
  • Poziom 17  
    Nowy log w zalaczeniu.
    ordynat1 napisał:

    Cytat:
    C:\Mozilla jnhnFirefox

    Znasz to?

    Hehehe, to mozilla ktorej zmienilem nazwe bo wklejalem nowsza wersje na dysk zeby odpalic windows update z ie tab bo normalny ie nie chcial dzialac :) Troche namieszane tam bylo. To komputer z firmy i mieli jakis antywir zone alarm security w ktorym subskrypcja wygasla no i taki efekt. Po wygenerowaniu loga i odpaleniu kompa z live cd podmienilem te pliki systemowe na nowe wyekstraktowane z plyty instalacyjnej. Problemy jak reka odjal i kaspersky nic nie wykrywal wiecej. Nie mialem czasu bo potrzebowali kompa w firmie to bym przeskanowal combofixem jeszcze raz ale chyba bedzie ok bo i outlook expres zaczal odbierac poczte a wczesniej wyskakiwal blad:
    Cytat:
    The connection to the server has failed. Account: 'tujakisserver.ie', Server: 'tujakisserver.ie', Protocol: SMTP, Port: 25, Secure(SSL): No, Socket Error: 10051, Error Number: 0x800CCC0E



    Ciekawe czy komputer jest wyleczony. Mozesz zerknac w tego drugiego loga mimo ze komp juz poszedl do ludzi? Ciekawi mnie to poprostu. Punkty oczywiscie polecialy i z gory dziekuje.
  • Pomocny post
    Poziom 25  
    Co ze sprawdzeniem plików na JOTTI/VIRUSTOTAL?

    Poza tym - log czysty.

    Usuń ręcznie folder C:\Qoobox.

    Odwiedź poniższy link i pobierz KB958644/MS08-067 łatkę zabezpieczeń dla danego systemu operacyjnego Windows:
    >http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=ms08-067&DisplayLang=pl
    Przejrzyj listę i kliknij na link, który odpowiada Twojej wersji systemu Windows. Następnie należy pobrać plik ze strony, która otwiera się i zapisz go na pulpicie.
    Wystarczy dwukrotnie kliknąć na plik łatki, który został pobrany z witryny firmy Microsoft i postępuj zgodnie z instrukcjami, aby zainstalować łatkę.
    Pozwoli to uniknąć ponownego zakażenia po usunięciu "Confickera", tylko z sieci, bo z pendrive można się zarazić pomimo łatki.
    .
  • Poziom 17  
    ordynat1 napisał:
    Co ze sprawdzeniem plików na JOTTI/VIRUSTOTAL?


    :( Komputer poszedl do ludzi, nie zdazylem sprawdzic. Zdazylem tylko calkowicie zaktualizowac system z windows update

    Cytat:
    Odwiedź poniższy link i pobierz KB958644/MS08-067 łatkę zabezpieczeń dla danego systemu operacyjnego Windows:
    >http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=ms08-067&DisplayLang=pl
    .


    Wypada miec nadzieje ze byla ta latka w aktualizacjach automatycznych. Zaznaczylem tam wszystko co mozna bylo wybrac. Pewnie dowiem sie wkrotce :)
  • Pomocny post
    Poziom 25  
    Tak, ta łatka zawarta jest w aktualizacjach.
    .
  • Poziom 17  
    Mialem okazje miec dostep do kompa ponownie i na wszelki wypadek jeszcze raz zainstalowalem ta poprawke co linka podales. Komputer teraz chodzi super poza zbyt mala iloscia pamieci (512MB) ale to juz nie ode mnie zalezy. Dzieki za pomoc i zamykam watek.