@
brutus3:
Przed zadaniem nam pytania:
1. Wyczyść komputer programami anty-szpiegowskimi: SpyBot, Ad-aware
2. Sprawdź komputer antywirusowymi skanerami Online: MKS, KAV
3. Zrób logi przy pomocy programów: OTL, GMER, Silent Runners
Spybot to zbyt przestarzałe narzędzie, by zalecać jego stosowanie
Sillent Runner też nie powinien być zalecany (z wyjątkiem Win98) - pokazuje zbyt mało.
Moderator lub Admin powinien te narzędzia usunąć z tego Regulaminu.
===================================================================================
@
l3ol3a:
Avengerem na razie to usunąłem:
C:\WINDOWS\zip.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\System32\drivers\StarOpen.sys
C:\WINDOWS\catchme.exe
Usuwałeś prawidłowe pliki. Zaznaczona na zielono to pliki utworzone przez ComboFix!
A "StarOpen.sys" to nazwa mówi sama za siebie.
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
Reg HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxklvmlrqmitaaisditndxjdbwwrgmymov.dll
Jest paskudny Rootkit.
1) Użyj >
TDSSKiller >
http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0Jeśli wykryje
gaopdx* - to ustaw na: DELETE
Daj z tego raport.
2) Ściągnij -->
Avenger.
wklej do niego ten tekst:
Files to delete:
%windir%\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
C:\%windir%\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
E:\%windir%\system32\drivers\gaopdxirqlmpcrpjbowktmbaqqpxetjlkrtbij.sys
C:\%windir%\system32\gaopdxklvmlrqmitaaisditndxjdbwwrgmymov.dll
E:\%windir%\system32\gaopdxklvmlrqmitaaisditndxjdbwwrgmymov.dll
Registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys
Drivers to delete:
gaopdxserv.sys
Kliknij w "
Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z
C:\avenger.txt.
3) Zainstaluj bezpieczniejszą wersję Javy >
Java 6 Update 24 (JRE)Stare wersje odinstaluj.
4) W logach widać działąjące
trzy Antivirusy: Avast, Avira i NOD. To o dwa za dużo!
Które chcesz usunąć?
5) Daj nowy log z GMER, by sprawdzić, czy Rootkit usunięty.
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F98EB7EA-A9B0-DAA6-EEBE-E0AE5931233F}@gabcmafhonhfbo 0x61 0x69 0x6D 0x6B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB88F1EF-E1F8-02AE-5014-95F43117FA9C}@hanlnbaddkojflfd 0x65 0x61 0x6A 0x6E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB88F1EF-E1F8-02AE-5014-95F43117FA9C}@hanlnbadfeeilooo 0x65 0x61 0x6A 0x6E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB88F1EF-E1F8-02AE-5014-95F43117FA9C}@iablfehoepjekbglkk 0x69 0x61 0x61 0x69 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FB88F1EF-E1F8-02AE-5014-95F43117FA9C}@halkcllehbfhdona 0x6B 0x61 0x6E 0x68 ...
Nie wiem, co to jest.
Ale zostawiamy to w spokoju, ze względu na to, że logi były robione w niedozwolonym środowisku: zainstalowane "Daemon Tools" oraz "Alcohol".
Jeśli ktoś ma zainstalowany któryś z tych programów, to nie powinien robić żadnych logów, bo logi z tymi programami są zafałszowane przez te programy.
.
Użytkownik ordynat edytował ten post 16 04 2011 - 09:53