Problem

[razor]

A wiesz może co to za proces ten LKI? Jeśli nie i uważasz, że to wir to spróbuj wejść w:

 

Uruchom / cmd / tskill LKI

 

Jeśli pojawi się odmowa dostępu to napisz.

[drax90]

A wiesz może co to za proces ten LKI? Jeśli nie i uważasz, że to wir to spróbuj wejść w:

 

Uruchom / cmd / tskill LKI

 

Jeśli pojawi się odmowa dostępu to napisz.

piszę że nie mozna odnalesc procesu LKI.exe

a jak napisalem tskill window s8 to pisze nieprawidłowe parametry. kończy proces

[razor]

Bez exe napisz. Po prostu tskill LKI

[drax90]

ale wtedy pokazuje D:\documents and settings\ ....

[razor]

Bo tak ma być. Wpiszesz komendę tskill LKI zatwierdzisz enterem i do nowej linii przenosi gdzie możesz wpisać nową komendę.

Ale nie ważne. Ubiło ci wszystkie LKI? Jak tak to daj screena nowego procesów.

[drax90]

Bo tak ma być. Wpiszesz komendę tskill LKI zatwierdzisz enterem i do nowej linii przenosi gdzie możesz wpisać nową komendę.

Ale nie ważne. Ubiło ci wszystkie LKI? Jak tak to daj screena nowego procesów.

 

 

ubija ale one od nowa się robią na pewno jakiś wir ;/

[razor]

Pobierz to:

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

 

Zablokuj proces LKI.exe klikając ppm i suspend, a potem kill.

Powinien dać Ci narazie spokój, i czas na podjęcie dalszych kroków.

 

 

A tak na przyszłość to instaluj program ERUNT.

Tworzy on kopię rejestru, ale tak sprytnie iż tworzy to w tylko jemu

znanym rozszerzeniu. Wirki nie będą przez to mogły zainfekować tego pliku,

ani wogóle go tknąć przez co przywrócisz sobie rejestr do stanu sprzed

infekcji.

 

 

Na razie gdyby infekcja okazała się zbyt poważna radzę poprosić kolegę o wypalenie na płytce cd tego mini systemu uruchamianego z płyty CD:

http://www.instalki.pl/systemy-operacyjne/download/Systemy_operacyjne/Cdlinux.pl_maly.html

 

Zajmuje 200mb tylko. Pozwoli ci korzystać z internetu itp.. narazie.

[drax90]

trochę się pomęczyłem i teraz mam tylko problem z LKI.exe-błąd Aplikacji

 

Aplikacja nie została właściwie zainicjowaa (0x0000135). Kliknij przycisk OK, aby zakończyć aplikację.

[Dzanek]

Pobierz net framework 4.0

[razor]

Ale procesy zostały ubite? Daj logi z OTL i GMERa.

[drax90]

CO procesy ubije to one jada od nowa mozna jakas zablokowac to ? ;/

[razor]

Daj logi z GMERa i OTL.

Spróbujemy całkowicie to usunąć : )

[drax90]

Daj logi z GMERa i OTL.

Spróbujemy całkowicie to usunąć : )

 

 

sr ze pytam ale skad to mam wziasc?

[razor]

OTL

http://oldtimer.geekstogo.com/OTL.exe

 

 

 

Zaznacz LOP Check i Purity Check. Zaznacz Scan All Users.

Zobaczy czy w Extra Registry zaznaczone jest Use Safelist.

 

I wklej to do Custom Scans/Fixes:

netsvcs

C:\*.*

D:\*.*

E:\*.*

F:\*.*

G:\*.*

H:\*.*

%ALLUSERSPROFILE%\Application Data\*.

%APPDATA%\*.

%SYSTEMDRIVE%\*. /mp /s

/md5start

atapi.sys

iaStor.sys

jraid.sys

nvata.sys

ndis.sys

beep.sys

ntfs.sys

explorer.exe

svchost.exe

userinit.exe

winlogon.exe

/md5stop

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\kernel32.dll /md5

%systemroot%\system32\user32.dll /md5

%systemroot%\Tasks\*.job /lockedfiles

CREATERESTOREPOINT

restorepoints

 

Zamknij wszystko i kliknij RunScan.

Nic nie rób i czekaj aż wygeneruje logi a potem wklej je przez stronę wklej.to

 

 

 

GMER

http://gmer.net/download.php

 

 

Zamknij wszystkie programy, odłącz kabel od internetu

Kliknij button Szukaj. Nie dotykaj niczego nawet myszki.

Po zakończeniu skanowani weź ZAPISZ jako gmer.log

Podłącz komputer z powrotem do internetu. Podaj skopiowany log.

 

[drax90]

Gmer

UWAGA !!! gmer odnalazł modyfikacje systemu wskazujące na obecność ROOTKIT'a

[drax90]

Gmer

UWAGA !!! gmer odnalazł modyfikacje systemu wskazujące na obecność ROOTKIT'a

 

a od OTL POJAWIŁ SIE NOTATNIK

 

Error: Unable to interpret <C:\*.*> in the current context!

Error: Unable to interpret <D:\*.*> in the current context!

Error: Unable to interpret <E:\*.*> in the current context!

Error: Unable to interpret <F:\*.*> in the current context!

Error: Unable to interpret <G:\*.*> in the current context!

Error: Unable to interpret <H:\*.*> in the current context!

Error: Unable to interpret <%ALLUSERSPROFILE%\Application Data\*.> in the current context!

Error: Unable to interpret <%APPDATA%\*.> in the current context!

Error: Unable to interpret <%SYSTEMDRIVE%\*. /mp /s> in the current context!

Error: Unable to interpret </md5start> in the current context!

Error: Unable to interpret <atapi.sys> in the current context!

Error: Unable to interpret <iaStor.sys> in the current context!

Error: Unable to interpret <jraid.sys> in the current context!

Error: Unable to interpret <nvata.sys> in the current context!

Error: Unable to interpret <ndis.sys> in the current context!

Error: Unable to interpret <beep.sys> in the current context!

Error: Unable to interpret <ntfs.sys> in the current context!

Error: Unable to interpret <explorer.exe> in the current context!

Error: Unable to interpret <svchost.exe> in the current context!

Error: Unable to interpret <userinit.exe> in the current context!

Error: Unable to interpret <winlogon.exe> in the current context!

Error: Unable to interpret </md5stop> in the current context!

Error: Unable to interpret <%systemroot%\system32\ws2_32.dll /md5> in the current context!

Error: Unable to interpret <%systemroot%\system32\kernel32.dll /md5> in the current context!

Error: Unable to interpret <%systemroot%\system32\user32.dll /md5> in the current context!

Error: Unable to interpret <%systemroot%\Tasks\*.job /lockedfiles> in the current context!

Error: Unable to interpret <restorepoints> in the current context!

 

OTL by OldTimer - Version 3.2.17.0 log created on 10242010_122357

[razor]

Daj LOGI OTL.txt i EXTRAS.txt (OTL) i pełny z GMERA (GMER.log)

[razor]

Ale daj pełne logi. OTL.txti Extras.txt (OTL) i GMER. log z GMERA.

 

@Przypadkowy Double poprzez zbytnie obciążenie serwera MPC [#2001 ERROR]

[drax90]

OTL to bylo to Error: Unable to interpret <netsvcs> in the current context!

Error: Unable to interpret <C:\*.*> in the current context!

Error: Unable to interpret <D:\*.*> in the current context!

Error: Unable to interpret <E:\*.*> in the current context!

Error: Unable to interpret <F:\*.*> in the current context!

Error: Unable to interpret <G:\*.*> in the current context!

Error: Unable to interpret <H:\*.*> in the current context!

Error: Unable to interpret <%ALLUSERSPROFILE%\Application Data\*.> in the current context!

Error: Unable to interpret <%APPDATA%\*.> in the current context!

Error: Unable to interpret <%SYSTEMDRIVE%\*. /mp /s> in the current context!

Error: Unable to interpret </md5start> in the current context!

Error: Unable to interpret <atapi.sys> in the current context!

Error: Unable to interpret <iaStor.sys> in the current context!

Error: Unable to interpret <jraid.sys> in the current context!

Error: Unable to interpret <nvata.sys> in the current context!

Error: Unable to interpret <ndis.sys> in the current context!

Error: Unable to interpret <beep.sys> in the current context!

Error: Unable to interpret <ntfs.sys> in the current context!

Error: Unable to interpret <explorer.exe> in the current context!

Error: Unable to interpret <svchost.exe> in the current context!

Error: Unable to interpret <userinit.exe> in the current context!

Error: Unable to interpret <winlogon.exe> in the current context!

Error: Unable to interpret </md5stop> in the current context!

Error: Unable to interpret <%systemroot%\system32\ws2_32.dll /md5> in the current context!

Error: Unable to interpret <%systemroot%\system32\kernel32.dll /md5> in the current context!

Error: Unable to interpret <%systemroot%\system32\user32.dll /md5> in the current context!

Error: Unable to interpret <%systemroot%\Tasks\*.job /lockedfiles> in the current context!

Error: Unable to interpret <CREATERESTOREPOINT> in the current context!

Error: Unable to interpret <restorepoints> in the current context!

 

OTL by OldTimer - Version 3.2.17.0 log created on 10242010_124229

 

 

 

a GMER TO

GMER 1.0.15.15477 - http://www.gmer.net

Rootkit scan 2010-10-24 12:46:06

Windows 5.1.2600 Dodatek Service Pack 3

Running: eerg7tlx.exe; Driver: D:\DOCUME~1\Kacper\USTAWI~1\Temp\axldapow.sys

 

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text D:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9790380, 0x2FF527, 0xE8000020]

? D:\WINDOWS\system32\Drivers\PROCEXP141.SYS Nie można odnaleźć określonego pliku. !

 

---- User code sections - GMER 1.0.15 ----

 

.text D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[248] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]

.text D:\Program Files\Mozilla Firefox\firefox.exe[2752] ntdll.dll!LdrLoadDll 7C9163C3 5 Bytes JMP 004013F0 D:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

.text D:\Program Files\Mozilla Firefox\plugin-container.exe[3872] USER32.dll!TrackPopupMenu 7E3B531E 5 Bytes JMP 10403687 D:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

---- Processes - GMER 1.0.15 ----

 

Library D:\WINDOWS\system32\mscoree.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Menu Start\Programy\Autostart\update.exe [476] 0x79000000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Menu Start\Programy\Autostart\update.exe [476] 0x603B0000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Menu Start\Programy\Autostart\update.exe [476] 0x79E70000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Menu Start\Programy\Autostart\update.exe [476] 0x79060000

Library D:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_pl_b77a5c561934e089\mscorlib.resources.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Menu Start\Programy\Autostart\update.exe [476] 0x01160000

Library D:\WINDOWS\system32\netfxperf.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x60630000

Library D:\WINDOWS\system32\mscoree.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x79000000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x603B0000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\perfcounter.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x60960000

Library D:\WINDOWS\system32\MSVCR100_CLR0400.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x79060000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\CorperfmonExt.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x60310000

Library D:\WINDOWS\system32\aspnet_counters.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x600B0000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_perf.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x600E0000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_perf.dll (*** hidden *** ) @ D:\Program Files\Java\jre6\bin\jqs.exe [480] 0x60080000

Library D:\WINDOWS\system32\mscoree.dll (*** hidden *** ) @ D:\WINDOWS\system32\audiohd.exe [1888] 0x79000000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll (*** hidden *** ) @ D:\WINDOWS\system32\audiohd.exe [1888] 0x603B0000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll (*** hidden *** ) @ D:\WINDOWS\system32\audiohd.exe [1888] 0x79E70000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll (*** hidden *** ) @ D:\WINDOWS\system32\audiohd.exe [1888] 0x79060000

Library D:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_pl_b77a5c561934e089\mscorlib.resources.dll (*** hidden *** ) @ D:\WINDOWS\system32\audiohd.exe [1888] 0x00E60000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\WMINet_Utils.dll (*** hidden *** ) @ D:\WINDOWS\system32\audiohd.exe [1888] 0x6A310000

Library D:\WINDOWS\assembly\GAC_MSIL\System.resources\2.0.0.0_pl_b77a5c561934e089\System.resources.dll (*** hidden *** ) @ D:\WINDOWS\system32\audiohd.exe [1888] 0x03DD0000

Library D:\WINDOWS\system32\mscoree.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [1936] 0x79000000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [1936] 0x603B0000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [1936] 0x79E70000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [1936] 0x79060000

Library D:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_pl_b77a5c561934e089\mscorlib.resources.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [1936] 0x01150000

Library D:\WINDOWS\system32\mscoree.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [3588] 0x79000000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [3588] 0x603B0000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [3588] 0x79E70000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [3588] 0x79060000

Library D:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_pl_b77a5c561934e089\mscorlib.resources.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\SYS\update.exe [3588] 0x01160000

Library D:\WINDOWS\system32\mscoree.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\System\winupdate.exe [3960] 0x79000000

Library D:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\System\winupdate.exe [3960] 0x603B0000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\System\winupdate.exe [3960] 0x79E70000

Library D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\System\winupdate.exe [3960] 0x79060000

Library D:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_pl_b77a5c561934e089\mscorlib.resources.dll (*** hidden *** ) @ D:\Documents and Settings\Kacper\Moje dokumenty\System\winupdate.exe [3960] 0x011D0000

 

---- EOF - GMER 1.0.15 ----

 

mija 10 minuta i narazie nie wyskakuje błąd poczekam jeszcze troche i zdam raport moze sie udalo zobacze

[razor]

Running: eerg7tlx.exe; Driver: D:\DOCUME~1\Kacper\USTAWI~1\Temp\axldapow.sys

 

Tu masz rookita.

 

@Down:

 

Sprawdź PW.

[drax90]

Czyli co mam robić bo mineła 1h a tego bledu juz nie waidac