Какво е това и как се маха?

[pandox]

Ето АМА НОДА почна да изкарва пак некви червени атаки ли червей ли --ко сатана то стана по лошо????????

aaaaaaaaaaaaa.txt

[B-boy/StyLe/]

Не. Не е по-лошо. Моля временно спрете NOD32

 

Отворете notepad и въведете следната информация:

 

KILLALL::

Driver::
62e7c867
sdpiosys
windrvNT

Rootkit::
C:\WINDOWS\system32\windrvNT.sys
c:\windows\system32\drivers\SDPIOSYS.SYS

File::
C:\mbr.exe

 

Запазете файла с име CFScript.txt и го провлачете в ComboFix.

 

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

 

Това ще задейства ComboFix още веднъж. Моля публикувате лог файла в следващия си пост.

[pandox]

Отде да зема лог файла няма го в С там има папка ComboFix и Qoobox а отдеве ги нямаше а имаше само логфайл?????????????

[B-boy/StyLe/]

Отде да зема лог файла няма го в С там има папка ComboFix и Qoobox а отдеве ги нямаше а имаше само логфайл?????????????

 

Кой лог - на Combofix след изпълнението на скрипта от предишния ми пост или от проверката с Norman ? Няма ли C:\Combofix.txt

 

Сигурен ли си че си направил всичко както трябва ?

 

Ето ти готовия скрипт => изтегли го и го пусни в Combofix.exe

 

http://4storing.com/2kv56s/a38ec1bd8e3275f...472e917bd7.html

 

PS: Между другото какво стана с проверката с Norman_Sinowal_Cleaner.exe ? Трябва да има лог файл от нея.

[pandox]

от предишния пост а от норман де да търся има папка комбофикс

[B-boy/StyLe/]

от предишния пост а от норман де да търся има папка комбофикс

 

Повтори процедурата. По-горе съм дал линк към скрипта. Изтегли го и го пусни в Combofix.exe (освен ако не си го забърсал). Ако си го изтрил свали Combofix наново и пусни скрипта в него и публикувай лог файла, който ще се създаде.

 

PS: За момента не трий нищо...Следвай инструкциите ми, после ще почистим остатъците.

 

Остави и NOD32 спрян засега, че ще пречи на Combofix да си свърши работата.

 

Колкото до лог файла от Norman (сигурен ли си че се извърши цялостна проверка с инструмента)...та логът ще го намериш там където си свалил Norman. Ако е на десктопа, ще има лог от него на десктопа.

[pandox]

Етооо

 

Пише че немога да качвам такъв тип файлове за Нормана

 

 

Не ми разрешава сайта да кача файла от Норман а е тектов БАСИ ко да правя че укаснях ВЕКЕ

ComboFix.txt

[B-boy/StyLe/]

Tака...положението е вече по-добре.

Един съвет преинсталирайте програмата FolderLock, че временно почистих едни нейни услуги нарочно.

 

Сега деинсталирай ComboFix с командата:

 

Start => Run => напиши combofix /u

 

http://i116.photobucket.com/albums/o6/SpotCheckBilly/COMBOrun.gif

 

Това също така ще занули и System Restore.

 

След като приключи проверката с Norman публикувайте лог файла...и ще ви помоля за един последен лог файл от GMER.

[pandox]

Аве костана В карантината на НОда 10 файла Троян,Троян -------та аз досега не ми е излизало толкоз ==ко направи че се получи така???????? В БАТАКА ли ме ВКАРА????

 

Как ги почисти ти да не влезе при мен ??

[B-boy/StyLe/]

Аве костана В карантината на НОда 10 файла Троян,Троян -------та аз досега не ми е излизало толкоз ==ко направи че се получи така???????? В БАТАКА ли ме ВКАРА????

 

Не Ви е излизало, защото Combofix премахна руткита и сега файловете са видими за антивирусната. След като деинсталирате combofix ще изчезне папката C:\Qoobox...която е карантината на Combofix и се пазят всички изтрити гадини от инструмента които сега NOD32 вече "ВИЖДА". Самия Combofix също се счита за опасно приложение от антивирусните програми, защото може да се използва за злонамерени цели а антивирусната не е в състояние да прецени това. ЗАТОВА ПОСЪВЕТВАХ ДА Я ИЗКЛЮЧИТЕ ДОКАТО РАБОТИ COMBOFIX.

Системата е почти чиста. Очаквам последните два лог файла от Norman и нова проверка от GMER. Не съм Ви вкарал в батака а точно оттам ви изкарах, но не е лесно да се бориш с упорити руткити. Проявете малко уважение тъй като не сте наясно с материята. Поздрави !

 

PS: И не не съм влезнал в компютъра ви...просто зададох специфични команди на Combofix и той свърши цялата работа. Остава обаче да се уверим, че повече нямате проблеми с MBR секторите тъй като имахте и mbr rootkit...

 

Етооо

 

Пише че немога да качвам такъв тип файлове за Нормана

 

 

Не ми разрешава сайта да кача файла от Норман а е тектов БАСИ ко да правя че укаснях ВЕКЕ

 

Много просто...имате два варианта:

 

1. Или отворете файла и с Copy/Paste копирайте съдържанието на лог файла в следващия си пост

2. Архивирайте файла в *.zip формат и го прикачете към коментара си.

 

Поздрави !

[pandox]

ок а ГМЕРА от къде да взема логфайла му

 

 

 

ето НОРМАН

Norman SinowalMBR Cleaner

Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 17:21:18

 

Norman Scanner Engine Version: 5.92.04

Nvcbin.def Version: 5.92.00, Date: 2008/05/13 17:21:18, Variants: 0

 

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2

Logged on user: ANGELIN\ANGELIN

 

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "00 00 00 00 20 25 2A 00 " -> ""

Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000

 

Scan started: 23/08/2009 22:51:22

 

Scanning bootsectors...

 

No SinowalMBR hooks found

 

Number of sectors found: 2

Number of sectors scanned: 2

Number of sectors not scanned: 0

Number of infections found: 0

Number of infections removed: 0

Total scanning time: 0s 344ms

 

 

Scanning running processes and process memory...

 

Number of processes/threads found: 1311

Number of processes/threads scanned: 1311

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 0

Total scanning time: 14s

 

 

Scanning file system...

 

Scanning: C:\*.*

 

 

Running post-scan cleanup routine:

[B-boy/StyLe/]

Изтеглете GMER и го разархивирайте го на вашия десктоп.

 

Преди да сканирате се уверете, че всички останали работещи програми в момента са изключени и вашия антивирусен софтуер няма да предприема никакви действия по време на сканирането на Gmer. Не използвайте компютъра си, докато трае сканирането.

 

Кликнете два пъти пъти върху gmer.exe , за да стартирате програмата.

Тя ще направи начално сканиране за секунди. След като то приключи НЕ натискайте бутона Scan, а изберете бутона Copy и поставете съдържанието на лог файла в следващия си пост.

[pandox]

GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net

Rootkit quick scan 2009-08-23 23:12:21

Windows 5.1.2600 Service Pack 2

 

 

---- Disk sectors - GMER 1.0.15 ----

 

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a18ac1 size 0x1fd

Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 82319204

 

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

 

---- Modules - GMER 1.0.15 ----

 

Module _________ F8457000-F846F000 (98304 bytes)

 

---- EOF - GMER 1.0.15 ----

 

 

Какво следва ?? Ще чистим ли ??

 

Ефект има ли ??

[B-boy/StyLe/]

Ще се наложи. :(

 

Има няколко програми, които могат да помогнат в тази ситуация, но най-ефективното решение си остава наличие на инсталационен диск на Windows ?

 

(Спокойно няма да преинсталираме). Само трябва да съм наясно дали разполагате с такъв диск...за да поправим MBR секторите.

[pandox]

имам Уиндоус ама теглен от торентите ще отнеме ли време че бебто спи и вече ше ме изгонят че им тракам ако е дълго да оставим за утре ако не се прецака компа ако го изгася де??