Problemy z rootkit-em

[FENIKS_EMPIRYZM]

Witam wszystkich chętnych pomóż mi w uporaniu się z bezczelnym i bardzo upartym Rootkit-em mianowicie mój problem zaczął się dokładnie nie wiem kiedy ale jakieś 2 miesiące temu ponieważ posiadałem darmową wersje oprogramowania AVG bez zabezpieczeń przeciwko rootkit-om i jakimś cudem złapałem to draństwo. Ostatnio czyli jakiś tydzień temu ściągnąłem pakiet zabezpieczeń anty wirusowych. Najpierw był to f-security czy coś tam ale tak ścinało komputer że szok... Następny był anty VIR ale i on nie dał rady ponieważ nie potrafi do końca doprowadzić skan. Kolejny to G data program ... można by rzec strażnik każdego ruchu Jego skan wykrył mi rootkita ale niestety po tej operacji zaczął tak mulić komputer, że szok. teraz posiadam AVG pakiet (przynajmniej nie muli kompa tak jak inne) ale i on wykrywa rootkit-a . Próbowałem usunąć go programami ale nic z tego ciągle siedzi w kompie( chyba z 5 sterowników usunołwę ). Nie wiem co mam teraz robić dlatego PROSZĘ KAŻDEGO KTO MOŻE mi POMÓC O SZYBKOM INTERWENCJE. Z góry dziękuję za udzielenie mi pomocy.

[Bozz]

Wklej logi z HijackThis
i ComboFix. Tutaj co i jak

[FENIKS_EMPIRYZM]

http://wklej.eu/index.php?id=c8d9a31a26
http://wklej.eu/index.php?id=4c3a75d025

Proszę zwróć uwagę jeżeli coś źle zrobiłem. Pierwszy raz bawi8e się w takie klocki ;D



Posty połączone, używaj opcji Edytuj
Logi wrzucaj na http://wklej.eu a w poście tylko linka
Edit by Bozz

[huber2t]

fix w hijackthis

Kod: Zaznacz wszystko

O2 - BHO: DNSEred - {535d7b5a-f4d2-37b1-603a-27f91a2ee28d} - C:\WINDOWS\system32\iednser.dll
O2 - BHO: adzgalore - {fcfc9af5-3832-f5ad-b2fc-29d450eb0c39} - C:\WINDOWS\system32\nsv5FB.dll (file missing)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Documents and Settings\Jarosław Kędzior\Pulpit\utorrent-1.8-beta-9704.upx.exe"
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZNman000


Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\iednser.dll
C:\temp\abmaster.dll
C:\temp\avfix.exe

Driver::
TfFsMon
TfSysMon
ThreatFire
TfNetMon

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{535d7b5a-f4d2-37b1-603a-27f91a2ee28d}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{856f3508-e7b2-11dc-a8b3-001a4d930bdc}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"NeroFilterCheck"=-
"Onet.pl AutoUpdate"=-
"snpstd"=-
"QuickTime Task"=-
"AppleSyncNotifier"=-
"iTunesHelper"=-
"RTHDCPL"=-
"nwiz"=-


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
[obrazek nie jest już dostępny]
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link

[FENIKS_EMPIRYZM]

Wybacz że tak ale
XXXXX edycja czyli kasowanie zbędnych danych w tym przypadku

[huber2t]

Wykonaj dokładnie to co ci kazałem

[FENIKS_EMPIRYZM]

XXXXX edycja czyli kasowanie zbędnych danych w tym przypadku

[FENIKS_EMPIRYZM]

http://wklej.eu/index.php?id=862dcef31d
Skrót

[huber2t]

Ty mi nie podawaj logów bo w nich nic nie usuwas, albo wykonasz to co karzę albo nic nie wskurasz

[FENIKS_EMPIRYZM]

to jest link
http://wklej.eu/index.php?id=a170da2e5c
Jeżeli nie oto chodzi to już sam nie wiem ...

Edit: Mam takie pytanie jeżeli jeżeli zrzucam plik tekstowy na ComboFix powinien się odpalić ??? Ponieważ mi się odpala dlatego może błędne loginy podaje ????

[huber2t]

tak, po przełożeniu pliku tekstowego combofix powinien sam się uruchomić, poczekaj, jak nie wyjdzie to w awaryjnym próbuj

[FENIKS_EMPIRYZM]

http://wklej.eu/index.php?id=214726690c
Robię to już trzeci raz Myślę, że teraz się udało....

[huber2t]

otwórz notatnik i wklej

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{535d7b5a-f4d2-37b1-603a-27f91a2ee28d}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{856f3508-e7b2-11dc-a8b3-001a4d930bdc}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"NeroFilterCheck"=-
"Onet.pl AutoUpdate"=-
"snpstd"=-
"QuickTime Task"=-
"AppleSyncNotifier"=-
"iTunesHelper"=-
"RTHDCPL"=-
"nwiz"=-

Z menu Notatnika Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\WINDOWS\system32\iednser.dll
C:\temp\abmaster.dll
C:\temp\avfix.exe

Drivers to delete:
TfFsMon
TfSysMon
ThreatFire
TfNetMon


kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

[Mirahz]

Witam serdecznie Trochę poszalałem musiałem Windowsa aktywować ale oto plik z notatnika

Kod: Zaznacz wszystko

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************


Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\iednser.dll" not found!
Deletion of file "C:\WINDOWS\system32\iednser.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\temp\abmaster.dll" deleted successfully.
File "C:\temp\avfix.exe" deleted successfully.
Driver "TfFsMon" deleted successfully.
Driver "TfSysMon" deleted successfully.
Driver "ThreatFire" deleted successfully.
Driver "TfNetMon" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Edit: Co teraz mam zrobić ???

[huber2t]

jeszcze dodaj wartości do rejestru tak jak podałem wcześniej i daj log nowy z comobfix