Rootkit - C:\Windows\System32\drivers\rmesth.sys

[motji]

Už to vidím. Zkuste ten combofix. Já tu budu asi do půl11 a pak večer po 9. hodině

[poharka]

takze ten combofix tak ako je predchadzajuci navod?

Uz by ich to malo zabit? ci ti este vidite na komplikovane odstranovanie?

[motji]

Tak jestli nechcete spustit combofix, můžu to zabít ještě přes avanger. Ono záleží, jak se s tím combofix popere. Třeba OTL na něj nestačil. Ta potvůrka je pořádná, asi se jí u Vás v pc líbí. Ale mějte trpělivost, mi ji vykopeme .

[poharka]

ono to pada s tym combofixom

[motji]

Tak ho už nedělejte . Vydržte chviličku, napíšu skript pro Avenger

[poharka]

vy ste super vdaka!

[motji]

spusťte přejmenované HJT C:\Program Files\trend micro\Saga.exe , má tuto ikonku

- Klikněte na "Do a system scan only"
- U řádku
O4 - HKLM\..\Policies\Explorer\Run: [0ft68q] C:\Windows\TEMP\sazhph.exe
O4 - HKUS\S-1-5-18\..\Run: [JP595IR86O] C:\Windows\TEMP\Rjv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [JP595IR86O] C:\Windows\TEMP\Rjv.exe (User 'Default user')
- Dejte fajfku do čtverečku a zmáčkněte Fix checked





Stáhněte Avenger
http://swandog46.geekstogo.com/avenger.exe

-spustíte program a potvrdíte kliknutím na ok,tím potvrzujete, že všechny činnosti s tím spojené činíte na vlastní riziko.
-Po odkliknutí se objeví hlavní okno programu,do bílého okna něj zkopírujte tento skript:

Kód: Vybrat vše

drivers to delete:
rmesth
kxrdypow

Files to delete:
C:\Windows\System32\drivers\rmesth.sys
C:\Users\Saga\AppData\Local\Temp\kxrdypow.sys 
C:\Windows\TEMP\sazhph.exe
C:\Windows\TEMP\Rjv.exe

-zaškrtněte políčko scan for rootkits

a klikněte na tlačítko Execute.
-Potom se objeví okno,kde kliknutím Yes potvrdíte spuštění skriptu. Pak znovu tlačítkem yes potvrdíte restart počítače.
-Po restartu by se měl otevřít poznámkový blok s logem o vykonání skriptu, bude také uložený v C:\avenger.txt.
-Log vložte sem





Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT
-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.



Pokud by Vám něco nešlo, tak na mě počkejte, budu tu večer

[poharka]

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "rmesth" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\kxrdypow" not found!
Deletion of driver "kxrdypow" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Windows\System32\drivers\rmesth.sys" deleted successfully.

Error: file "C:\Users\Saga\AppData\Local\Temp\kxrdypow.sys" not found!
Deletion of file "C:\Users\Saga\AppData\Local\Temp\kxrdypow.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\TEMP\sazhph.exe" not found!
Deletion of file "C:\Windows\TEMP\sazhph.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\TEMP\Rjv.exe" not found!
Deletion of file "C:\Windows\TEMP\Rjv.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[poharka]

pripajam log z mbam:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Verzia databázy: 5298

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12. 12. 2010 12:42:15
mbam-log-2010-12-12 (12-42-10).txt

Typ kontroly: Úplná kontrola (C:\|D:\|)
Objektov kontrolovaných: 228012
Uplynutý čas: 45 min, 31 sek

Infikované služby pamäte: 0
Infikované moduly pamäte: 0
Infikované registračné kľúče: 0
Infikované registračné hodnoty: 0
Infikované položky registračných dát: 0
Infikované priečinky: 0
Infikované súbory: 4

Infikované služby pamäte:
(Škodlivé položky neboli zistené)

Infikované moduly pamäte:
(Škodlivé položky neboli zistené)

Infikované registračné kľúče:
(Škodlivé položky neboli zistené)

Infikované registračné hodnoty:
(Škodlivé položky neboli zistené)

Infikované položky registračných dát:
(Škodlivé položky neboli zistené)

Infikované priečinky:
(Škodlivé položky neboli zistené)

Infikované súbory:
c:\Users\Saga\AppData\Local\Temp\setupcb.exe (Virus.Agent) -> No action taken.
c:\Windows\Temp\huui\setup.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\Windows\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> No action taken.

[motji]

V mbamu vše smažte. Soubor už by měl být pryč. Je to tak?
Zkuste znovu spustit combofix.

[poharka]

dala som si znovu ten sken a naslo mi az 6 nejakych veci.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Verzia databázy: 5298

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12. 12. 2010 21:29:22
mbam-log-2010-12-12 (21-29-17).txt

Typ kontroly: Úplná kontrola (C:\|D:\|)
Objektov kontrolovaných: 227811
Uplynutý čas: 45 min, 22 sek

Infikované služby pamäte: 1
Infikované moduly pamäte: 0
Infikované registračné kľúče: 1
Infikované registračné hodnoty: 0
Infikované položky registračných dát: 0
Infikované priečinky: 0
Infikované súbory: 4

Infikované služby pamäte:
c:\Windows\Temp\huui\setup.exe (Spyware.Passwords.XGen) -> 308 -> No action taken.

Infikované moduly pamäte:
(Škodlivé položky neboli zistené)

Infikované registračné kľúče:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> No action taken.

Infikované registračné hodnoty:
(Škodlivé položky neboli zistené)

Infikované položky registračných dát:
(Škodlivé položky neboli zistené)

Infikované priečinky:
(Škodlivé položky neboli zistené)

Infikované súbory:
c:\Windows\Temp\huui\setup.exe (Spyware.Passwords.XGen) -> No action taken.
c:\Users\Saga\AppData\Local\Temp\setupcb.exe (Virus.Agent) -> No action taken.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\Windows\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> No action taken.


mam to vymazat vsetko?

[motji]

Ano, smažte všechno. Pořád tam něco bude schovaného , zkuste znovu ten combofix, a když nepujde, napište.

[motji]

Ještě se zeptám - máte k dispozici ještě jiný počítač?

[poharka]

mbam vsetko vymazal
Ked som spustila combofix, tak to slo ok, no po nejakom case mi system zase padol.

Mmt. nemam k dispozicii iny pc

[motji]

Nevadí, zkusíme to jinak. Ted nevím zda jste žena nebo muž, takže se omlouvám .

Spustte prosím znovu OTL, dejte scan.



Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.



BUd se do počítače stále něco stahuje, nebo se to obnovuje z registrů. Máte tam pěknou mršku, ale my na ní vyzrajeme, jen jít najít