Jak się pozbyć win32 rootkit?

El_Kriso · 14 Listopad 2010 18:31

Cześć,

Avast wykrywa mi coś takiego http://wyslijto.pl/plik/x5yhcxpp5o , usuwam ale po jakimś czasie znów to wykrywa na dysku w kompie. Avast wykrył tego rodzaju plik też na dysku przenośnym. Jak się tego pozbyć?

Dzięki;)

Leon1 · 14 Listopad 2010 19:08

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

El_Kriso · 14 Listopad 2010 19:46

http://wyslijto.pl/plik/oj7ufgd6t6 otl

http://wyslijto.pl/plik/ikdnczxphy extras

a czy powinienem zeskanować z podłączonym przenośnym dyskiem czy nie?

Leon1 · 14 Listopad 2010 19:59

podłącz dysk

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

:OTL MOD - [2010-11-14 17:31:04 | 000,115,712 | RHS- | M] () – C:\WINDOWS\system32\mgking1.dll O4 - HKU\S-1-5-21-842925246-789336058-839522115-1003…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O32 - AutoRun File - [2010-11-14 20:30:39 | 000,000,061 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-14 20:30:39 | 000,000,061 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-14 20:30:39 | 000,000,061 | RHS- | M] () - E:\autorun.inf – [NTFS] O33 - MountPoints2{49f7d893-ef61-11df-8e0c-806d6172696f}\Shell\AutoRun\command - “” = C:\bud3mkqr.exe – [2010-11-13 22:09:11 | 000,178,176 | RHS- | M] () O33 - MountPoints2{49f7d893-ef61-11df-8e0c-806d6172696f}\Shell\open\Command - “” = C:\bud3mkqr.exe – [2010-11-13 22:09:11 | 000,178,176 | RHS- | M] () O33 - MountPoints2{49f7d894-ef61-11df-8e0c-806d6172696f}\Shell\AutoRun\command - “” = D:\bud3mkqr.exe – [2010-11-13 22:09:11 | 000,178,176 | RHS- | M] () O33 - MountPoints2{49f7d894-ef61-11df-8e0c-806d6172696f}\Shell\open\Command - “” = D:\bud3mkqr.exe – [2010-11-13 22:09:11 | 000,178,176 | RHS- | M] () O33 - MountPoints2{49f7d895-ef61-11df-8e0c-806d6172696f}\Shell\AutoRun\command - “” = E:\bud3mkqr.exe – [2010-11-13 22:09:11 | 000,178,176 | RHS- | M] () O33 - MountPoints2{49f7d895-ef61-11df-8e0c-806d6172696f}\Shell\open\Command - “” = E:\bud3mkqr.exe – [2010-11-13 22:09:11 | 000,178,176 | RHS- | M] () O33 - MountPoints2{e958ce3a-ef5d-11df-a2ae-879df61de0ca}\Shell\AutoRun\command - “” = H:\bud3mkqr.exe – File not found O33 - MountPoints2{e958ce3a-ef5d-11df-a2ae-879df61de0ca}\Shell\open\Command - “” = H:\bud3mkqr.exe – File not found O33 - MountPoints2{e958ce3b-ef5d-11df-a2ae-879df61de0ca}\Shell\AutoRun\command - “” = cbbw88s.exe O33 - MountPoints2{e958ce3b-ef5d-11df-a2ae-879df61de0ca}\Shell\open\Command - “” = cbbw88s.exe [2010-11-14 20:37:29 | 000,000,061 | RHS- | M] () – C:\autorun.inf [2010-11-14 17:31:04 | 000,115,712 | RHS- | M] () – C:\WINDOWS\System32\mgking1.dll [2010-11-14 17:31:03 | 000,178,176 | RHS- | M] () – C:\WINDOWS\System32\mgking.exe [2010-11-14 17:31:03 | 000,178,176 | RHS- | M] () – C:\et3ypes.exe [2010-11-14 17:30:20 | 000,115,712 | ---- | M] () – C:\WINDOWS\System32\mgking0.dll [2010-11-13 22:09:11 | 000,178,176 | RHS- | M] () – C:\bud3mkqr.exe :Files D:\autorun.inf E:\autorun.inf D:\et3ypes.exe E:\et3ypes.exe D:\bud3mkqr.exe E:\bud3mkqr.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

zastosuj Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

potem nowy log OTL robiony opcją Run Scan (Skanuj)

El_Kriso · 14 Listopad 2010 20:11

Czyli przed wklejeniem skryptu zrobić skan jeszcze raz z podłączonym dyskiem czy to obojętne, i czy potem tez wysłać log?

Leon1 · 14 Listopad 2010 20:15

podłącz dysk

wklej scrypt

wykonaj scrypt

zastosuj Flash Disinfector

potem nowy log OTLrobiony opcją Run Scan(Skanuj)

El_Kriso · 14 Listopad 2010 20:43

w międzyczasie pojawił mi się taki komunikat http://wyslijto.pl/plik/fg7eoij7ur .

otl http://wyslijto.pl/plik/6jht3okwsl

extras http://wyslijto.pl/plik/wf4n3p247k

i to było po skrypcie chyba http://wyslijto.pl/plik/os5ylgyied

Leon1 · 14 Listopad 2010 21:02

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

:OTL O4 - HKU\S-1-5-21-842925246-789336058-839522115-1003…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O32 - AutoRun File - [2010-11-14 21:29:03 | 000,000,061 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-14 21:29:04 | 000,000,061 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-14 21:29:04 | 000,000,061 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-14 21:29:06 | 000,000,061 | RHS- | M] () - H:\autorun.inf – [FAT32] [2010-11-14 21:29:03 | 000,000,061 | RHS- | M] () – C:\autorun.inf [2010-11-14 21:27:19 | 000,115,712 | RHS- | M] () – C:\WINDOWS\System32\mgking0.dll [2010-11-14 17:31:04 | 000,178,176 | RHS- | M] () – C:\WINDOWS\System32\mgking.exe [2010-11-14 17:31:04 | 000,178,176 | RHS- | M] () – C:\et3ypes.exe :Files D:\autorun.inf E:\autorun.inf H:\autorun.inf D:\et3ypes.exe E:\et3ypes.exe H:\et3ypes.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts] [start explorer] [Reboot]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

uruchom Flash Disinfectora

potem nowy log OTL robiony opcją Run Scan (Skanuj)

El_Kriso · 14 Listopad 2010 21:25

otl http://wyslijto.pl/plik/zguapbgnfk

extras http://wyslijto.pl/plik/w02ehf48qi

po skrypcie http://wyslijto.pl/plik/z8xbey8rll

Monczkin · 15 Listopad 2010 06:56

El Kriso , nazwij proszę temat konkretnie, bez zbędnych problemów w tytule. Inaczej wyciągnę konsekwencje. Przeczytaj proszę ten temat. viewtopic.php?f=16&t=394978

Leon1 · 15 Listopad 2010 16:47

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

El_Kriso · 15 Listopad 2010 21:25

Ja mam cały czas wyłączone przywracanie systemu. Rozumiem że dysk przenosny też podłączyc i potem wykonać ccleaner’em, później otl i włączyć przywracanie systemu a na koniec tym Dr.Web Curelt…?

Leon1 · 16 Listopad 2010 14:35

a co miałeś niepodłączony?

tak

przycisk w OTL który podałem ma usunąć OTL i śmieci po nim

nie musisz to zależy od ciebie

tak

El_Kriso · 16 Listopad 2010 18:50

Jak wyłączałem kompa to odłączałem dysk przenośny. A tak to był cały czas podłączony.

ok, wszystko zrobiłem a to raport Dr.Web http://wyslijto.pl/plik/36kf2lh2xe

; )

Leon1 · 16 Listopad 2010 18:56

powinno być OK

El_Kriso · 16 Listopad 2010 18:59

Czyli już pozbyliśmy się się tego problemu z kompa i z przenośnego dysku? A gdybym teraz jeszcze zrobił format kompa to już tamto nie pojawi się? Bo wcześniej jedynie robiąc format to się pojawiał rootkit. Nie znam się na tym więc dopytuje : D

– Dodane 16.11.2010 (Wt) 20:01 –

A czy ten raport nie mówi, że jakieś pliki są w kwarantannie, czy one są usunięte?