Avast - wirusy Rootkit @ Malware

system · 26 Luty 2010 19:12

Wiec tak … Włączam dziś rano lapka ( dodam ze wczoraj działał bez zarzutu ) po chwili komunikat z avasta :

Wybrałem kwarantanne jak zaleca program , wyskoczył znów taki komunikat (w tym samym pliku) wybrałem więc usunięcie , myślałem ze wszystko jest ok , ale dla pewności chciałem przeskanować kompa . Po chwili wyskoczyło mi znów takie okienko … Wiec wybrałem się do tej lokalizacji chcąc ręcznie skasować ten plik , jednak wyskoczył komunikat “nie można odczytać z pliku lub dysku źródłowego” no i jestem w kropce nie potrafię skasować tego wira ;/ dodam jeszcze że strasznie spowolnił mi się lapek , bardzo długo się włącza no i jeszcze przed chwila wyskoczył mi “Malware-gen” też jakiś wirus ale nie zrobiłem screena ;/ Bardzo proszę o pomoc , mam na lapku pełno bardzo ważnych dokumentów nie wspomnę już o filmach i grach … Wczoraj śmigał elegancko , nic nie ściągałem , nie wrzucałem … Na żadne nietypowe strony też nie wchodziłem no i rano taka niespodzianka … Pewnie powiecie ze avast to slaby antywirus , ja jednak nigdy na niego nie narzekałem , nie spowalnia kompa itp … Nigdy nie miałem problemów a jak czytałem szukając rozwiązania na mój problem znalazłem fajne podsumowanie “każdy łapie syf , bez względu na to jakiego antywirusa używa , wystarczy przejrzeć fora i nie tylko ludzie z avastem maja wirusy” .

Bardzo proszę o pomoc

Czytając posty na temat wirków znalazłem program do logów - OTL , więc wklejam jeszcze log :

http://wklej.org/id/286348/

deFco247 · 26 Luty 2010 19:22

Oj niestety muszę powiedzieć, że infekcji masz więcej niż ten jeden rootkit…

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL O4 - HKU\S-1-5-21-1298080988-2356000001-230306052-1004…\Run: [uIWatcher] C:\Program Files\Ashampoo\Ashampoo UnInstaller 3\UIWatcher.exe File not found O4 - Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sysfgs32.exe () O20 - HKU\S-1-5-21-1298080988-2356000001-230306052-1004 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-9329762915-7936588537-029964062-5376\wnzip32.exe) - C:\RECYCLER\S-1-5-21-9329762915-7936588537-029964062-5376\wnzip32.exe () O20 - HKU\S-1-5-21-1298080988-2356000001-230306052-1004 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-5634287985-6461415392-686706282-8238\nissan.exe) - C:\RECYCLER\S-1-5-21-5634287985-6461415392-686706282-8238\nissan.exe (8RfrEc,gA) [2010-02-26 14:01:03 | 000,000,008 | ---- | C] () – C:\Users\Max\AppData\Roaming\pdytbs.dat [2010-02-26 09:25:55 | 000,000,004 | ---- | C] () – C:\Users\Max\AppData\Roaming\avdrn.dat [2010-02-26 09:25:53 | 000,000,004 | ---- | C] () – C:\Users\Max\AppData\Roaming\wiaservg.log [2009-09-22 19:00:24 | 000,000,014 | ---- | C] () – C:\Windows\System32\systeminfo3.dll [2009-09-22 19:00:17 | 000,000,033 | ---- | C] () – C:\Users\Max\AppData\Roaming\pcouffin.log [2009-09-22 18:59:41 | 000,087,608 | ---- | C] () – C:\Users\Max\AppData\Roaming\inst.exe [2009-09-22 18:59:41 | 000,007,887 | ---- | C] () – C:\Users\Max\AppData\Roaming\pcouffin.cat [2009-09-22 18:59:41 | 000,001,144 | ---- | C] () – C:\Users\Max\AppData\Roaming\pcouffin.inf :Files C:\RECYCLER :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Pokaz log z GMER.

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

system · 26 Luty 2010 19:35

kurcze komp po tym restarcie mi zglupial avast znalazl jeszcze Win32:Hupigon-LIE [Trj] i caly czas jakies bledy ;/“program eksplolator windows przestal dzialac” " program proces hosta systemu windows (rundl32) przestal dzialac "i jeszcze kilka innych … w kazdym razie skasowalem daemon toolsa i alcohola i tym programikiem uninstal sterownik

Ok wkleilem to co mi napisales - byla lekka przywieszka … ale po kilku minutach wyskoczylo okienko jak kliklem ok to restart ;d po restarcie wyskoczyl mi taki log :

http://wklej.org/id/286480/

chcialem dodac ze teraz zawiesil mi sie komp - jak robilem scany i po restarcie skasowal mi sie profil na gg …

nowy log opcja “run scan”

http://wklej.org/id/286502/

Gmerem nie moge bo sie zawiesza …

– Dodane 26.02.2010 (Pt) 22:01 –

Odpisz prosze czy mam jakies szanse uratowac kompa czy pozostaje tylko format ;/

– Dodane 27.02.2010 (So) 16:42 –

Poradzono mi na innym forum abym zainstalowal ComboFix’a , wkleil do notatnika to :

File::

C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sysfgs32.exe

C:\RECYCLER\S-1-5-21-5634287985-6461415392-686706282-8238\nissan.exe

C:\RECYCLER\S-1-5-21-9329762915-7936588537-029964062-5376\wnzip32.exe

C:\Windows\System32\drivers\kippjro.sys

C:\Users\Max\AppData\Roaming\avdrn.dat

C:\Users\Max\AppData\Roaming\pdytbs.dat


Folder::

C:\RECYCLER\S-1-5-21-9329762915-7936588537-029964062-5376

C:\RECYCLER\S-1-5-21-5634287985-6461415392-686706282-8238


Driver::

kippjro

dac nazwe CFScript i przeniesc na ikonke ComboFix … Zrobilem tak , moj log z ComboFix :

http://wklej.org/id/287042/

Dodam ze duzo ikonek kolo zegara mi poznikalo … jak wlaczam menadzer zadan to pisze ze jest 63 procesy , a pokazuje tylko 12 reszta jest jakos ukryta …

jessica · 27 Luty 2010 17:56

Wklej do Notatnika :

File::

c:\windows\system32\drivers\kippjro.sys


Driver::

KIPPJRO

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi