Avast wykrył Win32 rootkit quandr, komp zamula, co zrobić?


(Lgaluszka1) #1

Witam, nie orientuję się w temacie prawie wcale, tyle co poczytałem na forum, że kilka osób już miało ten sam problem... Avast co chwilę wyrzucał informację o rootkicie, nie dalo sie tego usunąć. Po zrestartowaniu kompa już nie wyskakuje komunikat ale komp się włącza 5 minut :frowning: Jako, że wyczytałem, iż obowiązują logi to wrzucam:

OTL: http://wyslijto.pl/plik/dcu4uyetsc

GMER mi sie wylącza ;| (wystapil problem z aplikacja i zostanie ona zamknieta...)

Proszę o jak najszybszą pomoc!


(deFco247) #2

Zawartość logów wklejasz na wklej.org, wklej.to lub nopaste.pl, a w poście dajesz link.

W tej sytuacji zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.


(Lgaluszka1) #3

http://wklej.org/id/319249/

Pomocy :slight_smile:


(deFco247) #4

W systemie dalej działa sterownik Daemon Tools. Wyraźnie napisałem, że masz wszystko co z nim związane usunąć z systemu, gdyż przez to nie mam prawdziwego obrazu stanu systemu w logu.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(Lgaluszka1) #5

Oj sorki, chyba faktycznie, usunąłem ten sterownik SPTD jak kazałeś a zapomniałem usunąć program... Ale po tym pierwszym combofixie jest o tyle lepiej, że komp nie zamula cały czas, tylko włącza się chyba z 10 minut (muzyczka powitalna windowsa jest po ok. takim czasie a wcześniej nic nie mogę zrobić).

Zrobię nowy wieczorem, bo teraz nie mam czasu. O której najpóźniej tu zaglądasz, pomocny kolego? :>


(deFco247) #6

Nowy log Combofix zawsze powstaje po zastosowaniu skryptu.

Znajdziesz go we wskazanej przez narzędzie lokalizacji (zwykle C:\Combofix.txt ).


(Lgaluszka1) #7

http://wklej.org/id/319905/

-- Dodane 21.04.2010 (Śr) 17:39 --

dalej się długo uruchamia... nie wiem czy się pozbyłem tego wirusa czy nie?


(deFco247) #8

Nic tutaj więcej nie widzę.

Uruchom OTL i kliknij w nim CleanUp.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).


(Lgaluszka1) #9

zlalazł 2 zainfekowane... Tutaj raport z usuwania: http://wklej.org/id/320406/

Podczas skanowania mbam, avast znowu wyrzucil te rootkity kilka razy... Jutro format bo widzę, że coś chamskiego to jest :stuck_out_tongue:


(deFco247) #10

Z loga wnioskuję, ze używasz nieaktualnej wersji avasta. Odinstaluj ją i zainstaluj: http://www.dobreprogramy.pl/avast-Free- ... 13266.html

Dla 100%-pewności możesz wykonać log z GMER.

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Jeśli on nie wykaże żadnych zmian rootkitowych, to znaczy że stary avast się myli. :wink: