Jump to content

Какво е това и как се маха?


Препоръчан пост

  • Отговори 56
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Публикувани изображения

Не. Не е по-лошо. Моля временно спрете NOD32

 

Отворете notepad и въведете следната информация:

 

KILLALL::

Driver::
62e7c867
sdpiosys
windrvNT

Rootkit::
C:\WINDOWS\system32\windrvNT.sys
c:\windows\system32\drivers\SDPIOSYS.SYS

File::
C:\mbr.exe

 

Запазете файла с име CFScript.txt и го провлачете в ComboFix.

 

http://img522.imageshack.us/img522/482/cfscriptyr1.gif

 

Това ще задейства ComboFix още веднъж. Моля публикувате лог файла в следващия си пост.

Link to comment
Сподели другаде

Отде да зема лог файла няма го в С там има папка ComboFix и Qoobox а отдеве ги нямаше а имаше само логфайл?????????????

 

Кой лог - на Combofix след изпълнението на скрипта от предишния ми пост или от проверката с Norman ? Няма ли C:\Combofix.txt

 

Сигурен ли си че си направил всичко както трябва ?

 

Ето ти готовия скрипт => изтегли го и го пусни в Combofix.exe

 

http://4storing.com/2kv56s/a38ec1bd8e3275f...472e917bd7.html

 

PS: Между другото какво стана с проверката с Norman_Sinowal_Cleaner.exe ? Трябва да има лог файл от нея.

Link to comment
Сподели другаде

от предишния пост а от норман де да търся :lookaround: има папка комбофикс

 

Повтори процедурата. По-горе съм дал линк към скрипта. Изтегли го и го пусни в Combofix.exe (освен ако не си го забърсал). Ако си го изтрил свали Combofix наново и пусни скрипта в него и публикувай лог файла, който ще се създаде.

 

PS: За момента не трий нищо...Следвай инструкциите ми, после ще почистим остатъците.

 

Остави и NOD32 спрян засега, че ще пречи на Combofix да си свърши работата.

 

Колкото до лог файла от Norman (сигурен ли си че се извърши цялостна проверка с инструмента)...та логът ще го намериш там където си свалил Norman. Ако е на десктопа, ще има лог от него на десктопа. :)

Link to comment
Сподели другаде

Етооо

 

Пише че немога да качвам такъв тип файлове за Нормана

 

 

Не ми разрешава сайта да кача файла от Норман а е тектов БАСИ ко да правя че укаснях ВЕКЕ

ComboFix.txt

Link to comment
Сподели другаде

Tака...положението е вече по-добре.

Един съвет преинсталирайте програмата FolderLock, че временно почистих едни нейни услуги нарочно.

 

Сега деинсталирай ComboFix с командата:

 

Start => Run => напиши combofix /u

 

http://i116.photobucket.com/albums/o6/SpotCheckBilly/COMBOrun.gif

 

Това също така ще занули и System Restore.

 

След като приключи проверката с Norman публикувайте лог файла...и ще ви помоля за един последен лог файл от GMER. :)

Link to comment
Сподели другаде

Аве костана В карантината на НОда 10 файла Троян,Троян -------та аз досега не ми е излизало толкоз ==ко направи че се получи така???????? В БАТАКА ли ме ВКАРА????

 

Как ги почисти ти да не влезе при мен ??

Link to comment
Сподели другаде

Аве костана В карантината на НОда 10 файла Троян,Троян -------та аз досега не ми е излизало толкоз ==ко направи че се получи така???????? В БАТАКА ли ме ВКАРА????

 

Не Ви е излизало, защото Combofix премахна руткита и сега файловете са видими за антивирусната. След като деинсталирате combofix ще изчезне папката C:\Qoobox...която е карантината на Combofix и се пазят всички изтрити гадини от инструмента които сега NOD32 вече "ВИЖДА". Самия Combofix също се счита за опасно приложение от антивирусните програми, защото може да се използва за злонамерени цели а антивирусната не е в състояние да прецени това. ЗАТОВА ПОСЪВЕТВАХ ДА Я ИЗКЛЮЧИТЕ ДОКАТО РАБОТИ COMBOFIX.

Системата е почти чиста. Очаквам последните два лог файла от Norman и нова проверка от GMER. Не съм Ви вкарал в батака а точно оттам ви изкарах, но не е лесно да се бориш с упорити руткити. Проявете малко уважение тъй като не сте наясно с материята. Поздрави !

 

PS: И не не съм влезнал в компютъра ви...просто зададох специфични команди на Combofix и той свърши цялата работа. Остава обаче да се уверим, че повече нямате проблеми с MBR секторите тъй като имахте и mbr rootkit...

 

Етооо

 

Пише че немога да качвам такъв тип файлове за Нормана

 

 

Не ми разрешава сайта да кача файла от Норман а е тектов БАСИ ко да правя че укаснях ВЕКЕ

 

Много просто...имате два варианта:

 

1. Или отворете файла и с Copy/Paste копирайте съдържанието на лог файла в следващия си пост

2. Архивирайте файла в *.zip формат и го прикачете към коментара си.

 

Поздрави !

Link to comment
Сподели другаде

ок а ГМЕРА от къде да взема логфайла му

 

 

 

ето НОРМАН

Norman SinowalMBR Cleaner

Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 17:21:18

 

Norman Scanner Engine Version: 5.92.04

Nvcbin.def Version: 5.92.00, Date: 2008/05/13 17:21:18, Variants: 0

 

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2

Logged on user: ANGELIN\ANGELIN

 

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "00 00 00 00 20 25 2A 00 " -> ""

Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000

 

Scan started: 23/08/2009 22:51:22

 

Scanning bootsectors...

 

No SinowalMBR hooks found

 

Number of sectors found: 2

Number of sectors scanned: 2

Number of sectors not scanned: 0

Number of infections found: 0

Number of infections removed: 0

Total scanning time: 0s 344ms

 

 

Scanning running processes and process memory...

 

Number of processes/threads found: 1311

Number of processes/threads scanned: 1311

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 0

Total scanning time: 14s

 

 

Scanning file system...

 

Scanning: C:\*.*

 

 

Running post-scan cleanup routine:

Link to comment
Сподели другаде

Изтеглете GMER и го разархивирайте го на вашия десктоп.

 

Преди да сканирате се уверете, че всички останали работещи програми в момента са изключени и вашия антивирусен софтуер няма да предприема никакви действия по време на сканирането на Gmer. Не използвайте компютъра си, докато трае сканирането.

 

Кликнете два пъти пъти върху gmer.exe , за да стартирате програмата.

Тя ще направи начално сканиране за секунди. След като то приключи НЕ натискайте бутона Scan, а изберете бутона Copy и поставете съдържанието на лог файла в следващия си пост.

Link to comment
Сподели другаде

GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net

Rootkit quick scan 2009-08-23 23:12:21

Windows 5.1.2600 Service Pack 2

 

 

---- Disk sectors - GMER 1.0.15 ----

 

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a18ac1 size 0x1fd

Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 82319204

 

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

 

---- Modules - GMER 1.0.15 ----

 

Module _________ F8457000-F846F000 (98304 bytes)

 

---- EOF - GMER 1.0.15 ----

 

 

Какво следва ?? Ще чистим ли ??

 

Ефект има ли ??

Link to comment
Сподели другаде

Ще се наложи. :(

 

Има няколко програми, които могат да помогнат в тази ситуация, но най-ефективното решение си остава наличие на инсталационен диск на Windows ?

 

(Спокойно няма да преинсталираме). Само трябва да съм наясно дали разполагате с такъв диск...за да поправим MBR секторите.

Link to comment
Сподели другаде

имам Уиндоус ама теглен от торентите ще отнеме ли време че бебто спи и вече ше ме изгонят че им тракам ако е дълго да оставим за утре ако не се прецака компа ако го изгася де??
Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...