zima13
(Moroz Marcin)
31 Styczeń 2010 07:06
#1
kolejny rootkit mnie zaatakował ;/
oto jego dane:
OTL:
http://wklej.org/id/271585/
Extras:
http://wklej.org/id/271584/
Format C pomoże pozbyc się tego problemu na dłużej? bo teraz kolejny rootkit pojawił się po 4 dniach ;/
jessica
(jessica)
31 Styczeń 2010 08:22
#2
Nie, to na nic się nie zda.
Jeśli chcesz uniknąć kolejnej reinfekcji, to całkowicie zrezygnuj z używania pendrive\innej pamięci przenośnej.
Jeśli nie zrezygnujesz całkowicie, to te “Rootkity” będą Cię często odwiedzać - to będzie tylko kwestia czasu, kiedy następny.
Można zastosować szczepionkę >Panda Vaccine
Ale z praktyki wiadomo, że to na niewiele się zdaje, bo Użytkownicy nie wiedzą, że po zastosowaniu szczepionki należy inaczej korzystać z pendrive - korzystają w dotychczasowy sposób, a to równoznaczne jest z reinfekcją.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL MOD - [2010-01-31 07:48:49 | 000,087,552 | RHS- | M] () – C:\Documents and Settings\zima\Ustawienia lokalne\Temp\cvasds1.dll O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\zima\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2010-01-31 07:59:23 | 000,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-31 07:59:23 | 000,000,057 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-31 07:59:23 | 000,000,057 | RHS- | M] () - E:\autorun.inf – [NTFS] O33 - MountPoints2{f06575df-ba61-11de-b665-0015af868d62}\Shell\AutoRun\command - “” = H:\y.exe – File not found O33 - MountPoints2{f06575df-ba61-11de-b665-0015af868d62}\Shell\open\Command - “” = H:\y.exe – File not found O33 - MountPoints2{f1d49ff6-ba61-11de-9c9a-806d6172696f}\Shell\AutoRun\command - “” = E:\1hqup.exe – [2010-01-31 07:48:48 | 000,094,208 | RHS- | M] () O33 - MountPoints2{f1d49ff6-ba61-11de-9c9a-806d6172696f}\Shell\open\Command - “” = E:\1hqup.exe – [2010-01-31 07:48:48 | 000,094,208 | RHS- | M] () [2010-01-30 00:20:26 | 000,097,280 | RHS- | M] () – C:\mvmdh.exe [2010-01-29 09:46:58 | 000,100,864 | RHS- | M] () – C:\y.exe :Files D:\y.exe E:\y.exe D:\mvmdh.exe E:\mvmdh.exe C:\1hqup.exe D:\1hqup.exe E:\1hqup.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
jessi
zima13
(Moroz Marcin)
31 Styczeń 2010 11:52
#3
jessica
(jessica)
31 Styczeń 2010 13:06
#4
Jest OK (przynajmniej chwilowo).
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi