Witam,
mój komp padł ofiarą rootkita. Avast wykrył go m.in. w pliku j60osk9.cmd. Przeskanowałam go Virustotal i niestety się potwierdziło. ComboFix usunął ten plik. Na razie jest spokój, ale wklejam logi i proszę o ich sprawdzenie, bo kompletnie się na tym nie znam;) Będę wdzięczna za pomoc:)
Pozdrawiam serdecznie
http://www.wklej.eu/index.php?id=aa847dfdab
http://www.wklej.eu/index.php?id=d67aed5818
Komp padł ofiarą rootkita plik j60osk9.cmd - logi
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
9 posty(ów)
• Strona 1 z 1
Komp padł ofiarą rootkita plik j60osk9.cmd - logi
przez cynamon.elle » 18 Sty 2009, 19:20
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
- cynamon.elle
- Forumowicz
- Posty: 5
- Dołączenie: 18 Sty 2009, 18:59
Re: logi z ComboFix i Hijackthis - prośba o sprawdzenie
przez AJAN » 18 Sty 2009, 22:53
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Uruchom Hijackthis 
Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked
Pobierz ComboFix, ale nie uruchamiaj
Zaznacz, wklej do notatnika, i zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Na czas skanowania proszę wyłączyć wszelkie zapory i antyvirusy
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
- jak na obrazku - jak na obrazku
Loga wklejasz na WKLEJ EU lub WKLEJ a w poście daj linka
Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checkedC:\WINDOWS\AhnRpta.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT1098640
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Global Startup: Exif Launcher S.lnk = ?
Pobierz ComboFix, ale nie uruchamiaj
Zaznacz, wklej do notatnika, i zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
- Kod: Zaznacz wszystko
File::
c:\windows\AhnRpta.exe
c:\windows\system32\nmdfgds1.dll
C:\x2csvg.exe
c:\windows\system32\olhrwef.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\olhrwef.exe
E:\x2csvg.exe
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43230e3e-d75f-11dd-9e0f-00c0a8abd0d4}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9a01800-e49d-11dd-9e39-00c0a8abd0d4}]
Na czas skanowania proszę wyłączyć wszelkie zapory i antyvirusy
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
- jak na obrazku - jak na obrazkuLoga wklejasz na WKLEJ EU lub WKLEJ a w poście daj linka
Desktop: AMD 1,8ghz, 1GB RAM, graf: Gforce2 FX5200
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
-
AJAN - Aktywny w piśmie
- Posty: 810
- Dołączenie: 07 Lis 2008, 00:10
- Miejscowość: 49°37'30.12"N, 20°41'44.13"E
- Pochwały: 62
Re: Komp padł ofiarą rootkita plik j60osk9.cmd - logi
przez cynamon.elle » 21 Sty 2009, 22:53
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Dzięki za pomoc 
nie miałam do dzisiaj netu, stąd takie opóźnienie w mojej odpowiedzi. Zrobiłam co miałam zrobić w HijackThis i Combo, wklejam loga z ComboFix. Ale mam wrażenie, że to jeszcze potrwa, bo przed chwilą Avast znowu mi wyskoczył z kolejną infekcją... 
http://www.wklej.eu/index.php?id=112824501e
nie miałam do dzisiaj netu, stąd takie opóźnienie w mojej odpowiedzi. Zrobiłam co miałam zrobić w HijackThis i Combo, wklejam loga z ComboFix. Ale mam wrażenie, że to jeszcze potrwa, bo przed chwilą Avast znowu mi wyskoczył z kolejną infekcją... http://www.wklej.eu/index.php?id=112824501e
- cynamon.elle
- Forumowicz
- Posty: 5
- Dołączenie: 18 Sty 2009, 18:59
Re: Komp padł ofiarą rootkita plik j60osk9.cmd - logi
przez AJAN » 21 Sty 2009, 22:57
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Pobierz ComboFix, ale nie uruchamiaj
Zaznacz, wklej do notatnika, i zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Na czas skanowania proszę wyłączyć wszelkie zapory i antyvirusy
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
- jak na obrazku - jak na obrazku
Zaznacz, wklej do notatnika, i zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
- Kod: Zaznacz wszystko
File::
C:\gy.exe
c:\windows\system32\afmain1.dll
c:\program files\free-downloads.net\tbfree.dll
c:\windows\system32\olhrwef.exe
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9a01800-e49d-11dd-9e39-00c0a8abd0d4}]
Na czas skanowania proszę wyłączyć wszelkie zapory i antyvirusy
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
- jak na obrazku - jak na obrazkuDesktop: AMD 1,8ghz, 1GB RAM, graf: Gforce2 FX5200
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
-
AJAN - Aktywny w piśmie
- Posty: 810
- Dołączenie: 07 Lis 2008, 00:10
- Miejscowość: 49°37'30.12"N, 20°41'44.13"E
- Pochwały: 62
Re: Komp padł ofiarą rootkita plik j60osk9.cmd - logi
przez cynamon.elle » 21 Sty 2009, 23:19
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
kolejny log
http://www.wklej.eu/index.php?id=dfa8e293ab
http://www.wklej.eu/index.php?id=dfa8e293ab
- cynamon.elle
- Forumowicz
- Posty: 5
- Dołączenie: 18 Sty 2009, 18:59
Re: Komp padł ofiarą rootkita plik j60osk9.cmd - logi
przez AJAN » 21 Sty 2009, 23:49
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Pobierz ComboFix, ale nie uruchamiaj
Zaznacz, wklej do notatnika, i zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Na czas skanowania proszę wyłączyć wszelkie zapory i antyvirusy
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
- jak na obrazku - jak na obrazku
Loga wklejasz na WKLEJ.EU lub WKLEJ.ORG a w poście daj linka
Zaznacz, wklej do notatnika, i zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
- Kod: Zaznacz wszystko
File::
C:\w98.com
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\nmdfgds0.dll
c:\program files\free-downloads.net\tbfree.dll
c:\program files\free-downloads.net\tbfree.dll
c:\program files\free-downloads.net\tbfree.dll
c:\windows\system32\olhrwef.exe
c:\windows\system32\afmain1.dll
Na czas skanowania proszę wyłączyć wszelkie zapory i antyvirusy
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
- jak na obrazku - jak na obrazkuLoga wklejasz na WKLEJ.EU lub WKLEJ.ORG a w poście daj linka
Desktop: AMD 1,8ghz, 1GB RAM, graf: Gforce2 FX5200
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
-
AJAN - Aktywny w piśmie
- Posty: 810
- Dołączenie: 07 Lis 2008, 00:10
- Miejscowość: 49°37'30.12"N, 20°41'44.13"E
- Pochwały: 62
Re: Komp padł ofiarą rootkita plik j60osk9.cmd - logi
przez cynamon.elle » 22 Sty 2009, 00:50
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
- cynamon.elle
- Forumowicz
- Posty: 5
- Dołączenie: 18 Sty 2009, 18:59
Re: Komp padł ofiarą rootkita plik j60osk9.cmd - logi
przez AJAN » 22 Sty 2009, 00:56
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
otwórz notatnik i wklej
Z menu Notatnika Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C:\Qoobox oraz instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.Instrukcja
przeskanuj komputer Kaspersky
gdy będą wirusy pokaż raport lub Dr.WEB CureIt!
- Kod: Zaznacz wszystko
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Z menu Notatnika
Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C:\Qoobox oraz instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.Instrukcja
przeskanuj komputer Kaspersky
gdy będą wirusy pokaż raport lub Dr.WEB CureIt!
Autor postu otrzymał pochwałę
Desktop: AMD 1,8ghz, 1GB RAM, graf: Gforce2 FX5200
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
-
AJAN - Aktywny w piśmie
- Posty: 810
- Dołączenie: 07 Lis 2008, 00:10
- Miejscowość: 49°37'30.12"N, 20°41'44.13"E
- Pochwały: 62
Re: Komp padł ofiarą rootkita plik j60osk9.cmd - logi
przez cynamon.elle » 22 Sty 2009, 15:37
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Wow - wg Kaspersky'ego czysto... 
Stokrotne dzięki Mistrzu 
Doceniam Twoją cierpliwą pomoc i jestem Ci niezmiernie wdzięczna 
Wielki buziak dla Ciebie !
Stokrotne dzięki Mistrzu Doceniam Twoją cierpliwą pomoc i jestem Ci niezmiernie wdzięczna Wielki buziak dla Ciebie !- cynamon.elle
- Forumowicz
- Posty: 5
- Dołączenie: 18 Sty 2009, 18:59
9 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników