Avast sypie wirusami ROOTKIT

Hejka, podobny problem miałem jakoś 3 miesiące temu. Mógłby mi ktoś wytłumaczyć co powoduje że te wirusy się pojawiają? Siedze w trybie awaryjnym bo normalnie się pracować nie da. Wszystko zamula, a muzyczka włączenia windowsa opóźnia się sporo (taki sam objaw wystąpił u kolegi rootkitowy-win32-qandr-win32-rootkit-gen-spam-avasta-t391921.html )

wrzucam log z otl http://wklejto.pl/63975

jest to dla mnie bardzo ważne, bo potrzebuje normalnie pracować na komputerze… właśnie kończe szkołę i mam ostatni tydzień na wyjście z zagrożeń a pracować na kompie przez to nie mogę ;/

czekam na dalsze wskazówki, z góry dziękuję =)

Nie napisałeś, gdzie Avast wykrywa te Rootkity Iścieżki).

W logu nie widać infekcji - są tylko ślady po infekcji pendrivowej, oraz są pliki Microsoftu, które w rzeczywistości nie istnieją. Prawdopodobnie podzuca je jakaś infekcja.

Daję je do usuwania, bo w normalnym Systemie takich plików nie powinno być.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

jessi

wchodzenie na podejrzane strony i sciąganie śmieci powoduje pojawianie się wirusów. ściągnij malware bytes antimalware i przeskanuj powinno oczyścić trochę system (tak na przyszłość).

Zrobiłem tak jak napisałaś =) tutaj log z usuwania http://wklejto.pl/64013

Potem odpaliłem windowsa w trybie normalnym w celu sprawdzenia ścieżki tych wirusów które avast wykrywał. Autostart ładował się długo (ze 3 minuty), w tym obraz się “zamroził” na połowę tego czasu, aż odpaliła się ta muzyczka windowsowa. Po tym zdarzeniu pracuje normalnie, avast nic nie krzyczy, no ale coś dalej musi być nie tak skoro tak długo się ładuje start a przed tym było normalnie. co teraz?

Dodane 15.04.2010 (Cz) 20:05

nowe wieści: dałem prawy na ikonke avasta w trayu -> uruchom avast i od razu wyskoczył pasożyt w pamięci

c:\windows\system32\drivers\ipinip.sys Win32:Qandr [Rtk] kliknąłem usuń i avast uruchamiał się dalej aż wyskoczył komunikat że avast wykrył wirusa w pamięci operacyjnej i zaleca ponowne uruchomienie komputera i skanowanie w fazie rozruchu.

pewnie powinienem dać tak, ale ściągam Avast v. 5 i mam 31% zainstaluje go i nim przeskanuje

Tak się zastanawiałam nad tym plikiem, ale doszłam do wniosku, że jest prawidłowy.

Zasugerowałam się tym, że też mam plik o tej samej nazwie, w tej samej lokalizacji, oraz opisem na tej stronie: http://www.bleepingcomputer.com/filedb/ipinip.sys-1172.html

Daj 2 logi z GMER

na ustawieniach:

  1. >>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

  2. >>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>

Przed uruchomieniem GMER trzeba zrobić najpierw to:

  1. użyć >defogger

  2. usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

jessi

Tutaj pierwszy log z GMERa http://wklejto.pl/64043

Tutaj drugi log z GMERa http://wklejto.pl/64044

wcześniej zrobiłem skana avastem podczas rozruchu.

wykrył Win32:Patched-HN [Trj] i Win32:Qandr [Rtk] na C:\hilerfil.sys , chyba się usunęło bo dałem usuń.

Jeszcze podczas skanowania wyskoczył dziwny Błąd 0xC0000022 {odmowa dostępu} nie dało się z tym nic innego zrobić niż “ignoruj”

co teraz? :slight_smile:

W logach nie widać żadnego Rootkita.

A może chodziło o hiberfil.sys?

To plik Systemowy, odpowiedzialny za hibernację.

Ale właściwie to nie ma większego znaczenia - tyle tylko, że komputer nie będzie zapisywał danych w przypadku odejścia od komputera i samowyłączenia zasilania prądu.

jessi

No już avast nie wywala żadnych wirusów, ale jak zapobiec temu, że przy włączaniu się komputera, jak już pojawi się pulpit to “zamula” na jakieś 2-3 minuty? wcześniej tego nie było…

w uruchamianiu masz

może to jest powód

:slight_smile: