Avast wykrywa wirusa Rootkit

freze · 9 Luty 2009 12:25

Zacznijmy od tego że komputer baardzo długo włącza się i wyłącza.

Ikony zmieniają swoje miejsce przy każdym włączeniu komputera.

Programy typu utorrent po kilkugodzinnym działaniu po prostu się zawieszają i jedynym ratunkiem jest restart komputera.

Avast wykrył wirusa Rootkit ale wykrywa go przy każdym ponownym uruchomieniu i nie może sobie z nim poradzić.

Tutaj wrzucam log z HijackThis.

http://wklej.org/id/50611/

I ComboFix.

http://wklej.org/id/50612/

ComboFix razem z logiem zapisał mi coś takiego

http://wklej.org/id/50618/

Bardzo proszę o pomoc bo nie wiem jak długo mój komputer jeszcze pociągnie.

adamoose · 9 Luty 2009 12:39

użyj http://www2.gmer.net/mbr/mbr.exe

freze · 9 Luty 2009 12:47

Mam wkleić loga z tego programiku ?

BO coś takiego mi się pokazało

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x25429800 size 0x1e4 !

copy of MBR has been found in sector 62 !

jessica · 9 Luty 2009 12:52

Czyli nie masz Rootkita w sektorze MBR dysku.

W logach zresztą też nie widać nic podejrzanego. W jakim pliku i ścieżce Avast wykrywa tego Rootkita?

jessi

freze · 9 Luty 2009 12:57

A to w takim razie co to oznacza ? => copy of MBR has been found in sector 62 !

Avast w logach w ostrzeżeniach pisze że za każdym razem jest to jakiś plik tmp tylko o zmienionej nazwie

a scieżka to “C:\windows\TEMP[tu nazwa pliku].tmp” file.

I takich ścieżek jest około 20.

– Dodane 09.02.2009 (Pn) 14:01 –

To mi pokazał avast pliki z kwarantanny

http://wklej.org/id/50638/

jessica · 9 Luty 2009 13:05

W takim razie usuniemy cały ten folder TEMP (on się odrodzi, ale będzie już czysty.

Daję też przy okazji do usuwania zbędne “logs”.

Wklej do Notatnika :

File::

c:\windows\Internet Logs\tvDebug.zip

c:\windows\Internet Logs\xDB22.tmp

c:\windows\Internet Logs\xDB21.tmp

c:\windows\Internet Logs\xDB1F.tmp

c:\windows\Internet Logs\xDB1E.tmp

c:\windows\Internet Logs\xDB1C.tmp

c:\windows\Internet Logs\xDB1D.tmp

c:\windows\Internet Logs\xDB1A.tmp

c:\windows\Internet Logs\xDB1B.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB18.tmp

c:\windows\Internet Logs\xDB19.tmp

c:\windows\Internet Logs\xDB17.tmp

c:\windows\Internet Logs\xDB15.tmp

c:\windows\Internet Logs\xDB16.tmp

c:\windows\Internet Logs\xDB13.tmp

c:\windows\Internet Logs\xDB14.tmp

c:\windows\Internet Logs\xDB11.tmp

c:\windows\Internet Logs\xDB12.tmp

c:\windows\Internet Logs\xDBF.tmp

c:\windows\Internet Logs\xDB10.tmp

c:\windows\Internet Logs\xDBD.tmp

c:\windows\Internet Logs\xDBE.tmp

c:\windows\Internet Logs\xDBB.tmp

c:\windows\Internet Logs\xDBC.tmp

c:\windows\Internet Logs\xDBA.tmp

c:\windows\Internet Logs\xDB8.tmp

c:\windows\Internet Logs\xDB9.tmp

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp


Folder::

C:\windows\TEMP

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

EDIT:

Tym się nie przejmuj.

jessi

Wojtas_16 · 9 Luty 2009 13:07

Możesz też użyć programu ATF-Cleaner aby opróżnić wszystkie foldery Tymczasowe w Systemie.

freze · 9 Luty 2009 14:20

Zrobilem maly skan avastem i jest nastepny folder prawie caly zawirusowany…

C:\System Volume Information_restore{A6BEDB5C-2BF7-47D8-A87A-D21EBBD76D25}\RP258\A0237656.dll

Co i rusz jak skanuje wyskakuje mi informacja o wirusie

A co do Combofixa to gdy przeciagam plik CFScript.txt na ikonke combofixa to faktycznie wlacza sie pasek jak przy instalacji ale potem otwiera mi sie okno wiersza polecen i combofix proboje najpierw utworzyc punkt przywracania systemu potem chce cos sciagac z internetu nastepnie informacja o tym ze plik boot.ini jest nieprawidlowy i pyta czy chce przeskanowac komputer

tak ma byc ? czy powinno sie usunac i od razu loga dac

Combofix wysyla jeszcze zapytanie- Konsola Odzyskiwania

"ComboFix wykrył, że ten komputer nie ma zainstalowanej ‘KONSOLI ODZYSKIWANIA SYSTEMU WINDOWS’

Zainstalowanie jej lezy w twoim NAJWIĘKSZYM INTERESIE. Czy chciałbyś ją teraz zainstalować ?

Po czym gdy wcisnę tak coś faktycznie ściąga się ze strony microsoftu lae gdy ściąganie osiąga 100% wyskakuje okineko z informacją że plik boot.ini jest nieprawidłowy naprawdę nie wiem co mam już robić :evil: :evil:

– Dodane 09.02.2009 (Pn) 15:41 –

To jest nowy log po usunięciu tych plików o których pisałaś jessica

http://wklej.org/id/50683/

system · 9 Luty 2009 14:43

C:\System Volume Information_restore{A6BEDB5C-2BF7-47D8-A87A-D21EBBD76D25}\RP258\A0237656.dll

to plik z przywracania windows więc wyłącz i włącz przywracanie systemu http://support.microsoft.com/kb/310405/pl

oraz masz dziwny plik bot.ini.ini a powinieneś/aś mieć bot.ini to może powodować ten problem

freze · 9 Luty 2009 14:58

Zrobilem tak jak napisales wojtek i tak jak pisala jessica zrestartowalem komputer i przy wlaczaniu znowu wyskoczy komunikat

Nieprawidłowy plik boot.ini rozruch z C:\windows…

Patrzylem juz w innych tematach jak powinien wygladac ten plik ale mimo tego ze go zmienilem nie dziala mi to jak trzeba

Poza tym ComboFix w logu napisal ze nie dalo sie usunac folderu TEMP wiec nie wiem o co tu chodzi poki co nie pokazuje mi sie juz informacja o wirusie ale boot.ini nie jest sprawny

Dziekuje za okazana mi juz do tej pory pomoc, licze ze rozwiazecie tez problem z boot.ini

– Dodane 09.02.2009 (Pn) 16:05 –

Wojtek miales racje co do pliku boot.ini.ini zmienilem to i wszystko dziala dziekuje

Jessica jak na razie avast nie wyrzuca mi zadnych ostrzezen co do wirusow Dzieki

Ale jest jest maly problemik ktorego nie jestem w stanie rozwiazac komputer po staracie systemu baaardzo dlugo odpala pulpit i musze dlugo czekac zanim bede mogl cokolwiek zrobic i nie wiem czym to moze byc spowodowane.