nie mogę uruchomić programów antywirusowych POMÓŻCIE

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 12:50

[Test pamięci] Proces w pamięci: C:\\WINDOWS\\System32\\svchost.exe:1200 zainfekowany wirusem BackDoor.Tdss.565 - zniszczony
C:\\WINDOWS\\system32\\ntdevice.exe zainfekowany wirusem Trojan.Proxy.18436 - niewyleczalny - przeniesiony
C:\\WINDOWS\\system32\\drivers\\rasacd.sys zainfekowany wirusem BackDoor.Tdss.2459 - wyleczony
C:\\WINDOWS\\system32\\spool\\prtprocs\\w32x86\\MY31oCE.dll zainfekowany wirusem BackDoor.Tdss.4246 - usunięty
c:\\documents and settings\\administrator\\userinit.exe zainfekowany wirusem Trojan.Proxy.18436 - niewyleczalny - przeniesiony

No, teraz przynajmniej wiemy dwie rzeczy:
1) nie ma wirusa zarażającego pliki *.exe
2) jest/był Rootkit TDSS

Jest nadzieja, że teraz już będzie trochę lepsza sytuacja.
Dr.Web prawdopodobnie usunął tego Rootkita, ale sprawdzimy to:
Użyj TDSSKiller >Dostępne tylko dla zarejestrowanych użytkowników
Daj raport.

Daj log z VBA32arkit >Dostępne tylko dla zarejestrowanych użytkowników - post nr 5.

Spróbuj zrobić log z OTL, jeśli się nie będzie dało, to kliknij w nim na Sprzątanie - on zniknie. Ściągnij go od nowa i zrób log.

F.

-- 11 paź 2010, 11:50 --

Chyba nie został zauważony przez Ciebie mój post (strona druga tematu!)

wiesia0

Użytkownik
Posty: 21
Rejestracja: 10 paź 2010, 13:31

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 13:08

Dostępne tylko dla zarejestrowanych użytkowników TDSSKILLER raport
niestety ten VBA32 włącza się skanuje ale zanim wygeneruje loga to znika
próbuję jeszcze zrobić log z OTL jak mówiłeś
Ostatnio zmieniony 11 paź 2010, 13:32 przez wiesia0, łącznie zmieniany 1 raz.

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 13:19

2010/10/11 12:51:55.0093 Suspicious service (NoAccess): cxrubbdd
2010/10/11 12:51:55.0140 cxrubbdd (ac078c5c3d5de6b760ed6dc1d938d221) C:\\WINDOWS\\system32\\drivers\\cxrubbdd.sys
2010/10/11 12:51:55.0156 cxrubbdd - detected Locked service (1)


2010/10/11 12:52:04.0187 Detected object count: 1
2010/10/11 12:53:01.0046 Locked service(cxrubbdd) - User select action: Skip

Wybierz inną opcję, a nie SKIP! (SKIP=pomiń)
Nie pamiętam dokładnie, ale jest tam chyba opcja QUARANTINE - to tę opcję wybierz.
To Rootkit, więc nie może być "pominięty", musi być usunięty, dany do Kwarantanny (quarantine).

F.

wiesia0

Użytkownik
Posty: 21
Rejestracja: 10 paź 2010, 13:31

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 13:33

czyli co kwarantanna czy usuń???

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 13:41

A jest tam opcja USUŃ?
Powtarzam: SKIP to po polsku "POMIŃ". Więc nie kliknij na SKIP !
Wybierza inną opcję.

wiesia0

Użytkownik
Posty: 21
Rejestracja: 10 paź 2010, 13:31

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 14:13

Dostępne tylko dla zarejestrowanych użytkowników jeszcze raz log z tdskiller po usunięciu
Dostępne tylko dla zarejestrowanych użytkowników log z VBA32
udało się skanuje OTL'em mam nadzieje ze cos pomoze :D
dzięki za pomoc :D

-- 11 paź 2010, 14:13 --

otworzyło mi się mnóstwo plików tekstowych nazwanych otl log i nie wiem kótry mam wkleić

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 14:16

OTL.txt oraz Extras.txt.


DOSMEMIO C:\\WINDOWS\\system32\\MEMIO.SYS
Description:
Company name:
Size: 4300 Attrs: ----a Created: 12:19:37 24.08.2009
Modified: 04:18:05 27.10.2005
Accessed: 11:45:31 11.10.2010 0xF7CEB000 4096

RasAcd C:\\WINDOWS\\system32\\DRIVERS\\rasacd.sys
Description:
Company name:
Size: 8832 Attrs: ----a Created: 20:44:35 24.08.2009
Modified: 12:00:00 15.04.2008
Accessed: 11:45:31 11.10.2010 0xF73F1000 12288

Te dwa sterowniki nie są sygnowane, więc sprawdź je na -> Dostępne tylko dla zarejestrowanych użytkowników albo na Dostępne tylko dla zarejestrowanych użytkowników.
Raczej będą "dobre".

F.

wiesia0

Użytkownik
Posty: 21
Rejestracja: 10 paź 2010, 13:31

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 14:35

Dostępne tylko dla zarejestrowanych użytkowników OTL
Dostępne tylko dla zarejestrowanych użytkowników EXTRAS
tamte 2 sterowniki są ok ale nagle zginął mi sterownik od dźwieku wogle nie dziala dźwięk w komputerze jest tylko w menadżeże urządzeń wykrzyknik przy microsoft kernel wave audio mixer

ok dobra to juz nie aktualne udało mi się naprawić ściągnęłam sterowniki

filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 14:47

Prawie czysto.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
O33 - MountPoints2\\{1618e266-4e45-11df-998c-001377bd3578}\\Shell\\AutoRun\\command - \"\" = E:\\2u.com -- File not found
O33 - MountPoints2\\{1618e266-4e45-11df-998c-001377bd3578}\\Shell\\explore\\Command - \"\" = E:\\2u.com -- File not found
O33 - MountPoints2\\{1618e266-4e45-11df-998c-001377bd3578}\\Shell\\open\\Command - \"\" = E:\\2u.com -- File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O4 - HKLM..\\Run: [KernelFaultCheck] File not found
[2010-10-11 13:48:04 | 000,000,616 | ---- | M] () -- C:\\WINDOWS\\System32\\pngfixth.dat
[2010-10-11 13:48:04 | 000,000,616 | ---- | M] () -- C:\\WINDOWS\\System32\\adsmkext.dat
[2010-10-11 13:48:04 | 000,000,000 | ---- | M] () -- C:\\WINDOWS\\System32\\cooklwi.dat
[2010-10-11 13:34:05 | 000,000,064 | ---- | M] () -- C:\\WINDOWS\\System32\\wmerroni.dat
[2010-10-11 13:34:05 | 000,000,064 | ---- | M] () -- C:\\WINDOWS\\System32\\twexab.dat
[2010-10-11 13:34:02 | 000,000,213 | ---- | M] () -- C:\\WINDOWS\\System32\\netuibjm.dat
[2010-10-11 13:34:02 | 000,000,000 | ---- | M] () -- C:\\WINDOWS\\System32\\winhttq.dat

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 16:36

Nie wszystko się usunęło, więc:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
[2010-10-11 16:09:01 | 000,000,792 | ---- | M] () -- C:\\WINDOWS\\System32\\adsmkext.dat
[2010-10-11 16:08:59 | 000,000,792 | ---- | M] () -- C:\\WINDOWS\\System32\\pngfixth.dat
[2010-10-11 16:07:57 | 000,000,000 | ---- | M] () -- C:\\WINDOWS\\System32\\cooklwi.dat
[2010-10-11 16:06:24 | 000,000,128 | ---- | M] () -- C:\\WINDOWS\\System32\\wmerroni.dat
[2010-10-11 16:06:24 | 000,000,128 | ---- | M] () -- C:\\WINDOWS\\System32\\twexab.dat
[2010-10-11 16:06:24 | 000,000,000 | ---- | M] () -- C:\\WINDOWS\\System32\\winhttq.dat

:Commands
[emptytemp]
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 17:31

C:\\WINDOWS\\System32\\pngfixth.dat
C:\\WINDOWS\\System32\\adsmkext.dat
C:\\WINDOWS\\System32\\cooklwi.dat
C:\\WINDOWS\\System32\\wmerroni.dat
C:\\WINDOWS\\System32\\twexab.dat
C:\\WINDOWS\\System32\\winhttq.dat
C:\\WINDOWS\\System32\\netuibjm.dat

Najwyraźniej OTL nie potrafi ich usunąć.
Masz UNLOCKER'a, więc spróbuj usunąć przy jego pomocy.

Jeśli się nie uda, to:
ciągnij -->Dostępne tylko dla zarejestrowanych użytkowników.
wklej do niego ten tekst:

Kod: Zaznacz cały

Files to delete:
C:\\WINDOWS\\System32\\pngfixth.dat
C:\\WINDOWS\\System32\\adsmkext.dat
C:\\WINDOWS\\System32\\cooklwi.dat
C:\\WINDOWS\\System32\\wmerroni.dat
C:\\WINDOWS\\System32\\twexab.dat
C:\\WINDOWS\\System32\\winhttq.dat
C:\\WINDOWS\\System32\\netuibjm.dat


Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.

Oraz nowy log z OTL.

Czy tytułowe programy ochronne już się dadzą teraz uruchamiać?

F.


filutka78

Użytkownik
Posty: 1485
Rejestracja: 28 sty 2009, 17:40

nie mogę uruchomić programów antywirusowych POMÓŻCIE

Post11 paź 2010, 19:54

Ależ uparte te pliki.
>Avenger:
wklej do niego ten tekst:

Kod: Zaznacz cały

Files to delete:
C:\\WINDOWS\\System32\\rpcnx4j.dat
C:\\WINDOWS\\System32\\dot3afi.dat
C:\\WINDOWS\\System32\\netuibjm.dat
C:\\WINDOWS\\System32\\mfc7rmlh.dat

Registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | fsi


Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.

I nowy log z OTL.

Do >Dostępne tylko dla zarejestrowanych użytkowników wklej:
:file
C:\\WINDOWS\\System32\\rpcnx4j.dat
C:\\WINDOWS\\System32\\dot3afi.dat
C:\\WINDOWS\\System32\\netuibjm.dat
C:\\WINDOWS\\System32\\mfc7rmlh.dat

:filefind
rpcnx4j*
dot3afi*
netuibjm*
mfc7rmlh*

:regfind
rpcnx4j*
dot3afi*
netuibjm*
mfc7rmlh*

:contents
C:\\WINDOWS\\System32\\rpcnx4j.dat
C:\\WINDOWS\\System32\\dot3afi.dat
C:\\WINDOWS\\System32\\netuibjm.dat
C:\\WINDOWS\\System32\\mfc7rmlh.dat

Naciśnij Look i pokaż raport.

F.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 10 gości