Chyba mam w systemie rootkita - jak się go pozbyć?


(Wisowski) #1

Witam,

W ostatnim czasie po starcie systemu (WinXP HE, SP2) musi minąć ok. 1 minuta zanim uzyskam dostęp do internetu (stałe łącze). Dotychczas dostęp do np. poczty, gg itp. miałem zaraz po załadowaniu Windowsa. Dodatkowo po uruchomieniu na klawiaturze dioda NumLock jest niezapalona (Do tej pory zawsze była zapalona po starcie systemu). Dodam, że parę dni temu zainstalowałem SopCasta. Przy próbie odpalenia jakiegoś kanału sportowego mój firewall (Kerio) ostrzegał przed jakimiś przychodzącymi połączeniami, a ja naiwny, niestety pozwoliłem na nie.

Poniżej moje próby ratunkowe:

Nic nie wykryły:

AV BitDefender, AV Kaspersky on-line (uruchamiany przez Gmera), Sophos Anti-Rootkit 1.3.1, RootkitRevealer 1.71, AVG Anti-Rootkit Free 1.1.0.42 oraz SpyBot Search & Destroy.

Natomiast Gmer coś znalazł:

http://wklej.org/id/f8e96e0c82

oraz System Virginity Verifier stwierdził, że jestem (tzn. mój komputer) maksymalnie zainfekowany. Wywołanie w nim funkcji naprawy nic nie dało, tzn. kolejne skanowanie potwierdzało maks. infekcję:

Niesety nie miałem jeszcze niewątpliwej przyjemności analizowania tego typu logów. Proszę więc o ich analizę i porady jak się do tego czegoś zabrać - o ile jest to rootkit.

--

Pozdrawiam

grzegorz wisowski


(witek b) #2

Witam,

też ostatnio złapałem rookita, komputer wolno chodził,avast nic nie wykrył, więc zainstalowałem Spybot Search& Destroy ze strony http://www.instalki.pl, po zainstalowaniu pobierz aktualizacje i wybierz opcję "sprawdź wszystko" podczas sprawdzania będą pojawiać się nazwy szkodników, po zakończeniu wybierz "napraw wszystko". Następnie powtórz sprawdzanie, ja tak pozbyłem się rookita (znalazł go Spybot), nie mogłem usunąć nim Torpiga więc wpisałem jego nazwę w google i na forach znalazłem instrukcję jak to zrobić.

Pozdrawiam

Witek


(Gutek) #3

Daj log z ComboFix


(Wisowski) #4

Witam,

Log z Combofixa: http://wklej.org/id/6321965d6c

--

Pozdrawiam

g wisowski


(Gutek) #5

Wklej do Notatnika:

Driver::

btdrv

MEMSWEEP2

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Wisowski) #6

Witam,

Nowy log: http://wklej.org/id/312feb18ad

--

Pozdrawiam

g wisowski


(Gutek) #7

Użyj ATF-Cleaner - http://www.atribune.org/ccount/click.php?id=1 i oczyść TEMP


(Wisowski) #8

Witam,

TEMP oczyściłem.

Programy, które coś wykazywały w logach (gmer i svv) nadal to robią. Mam nadzieję, że nie do końca mają rację...

W każdym razie dzięki za pomoc.

--

Pozdrawiam

g wisowski