Jak usunąć Win32: Rootkit-gen


(Aleksandergorka) #1

Od dwóch dni walczę z ciągle wyskakującą inf. z avasta o zagrożeniu. Raz wskazuje mi na " C:\n.com " a raz na " C:\windows\system32\drivers\klif\sys " z Win32: Rootkit-gen . Próbowałem sobie jakoś pomóc i dzięki Spyware Doctor próbowałem wszystko wyczyścić. No cóż dziś znowu avast uraczył mnie o zagrożeniu z C:\n.com. Prosze o radę i pomoc.

Oto logi z Hijack This:

http://wklejto.pl/8951


(Kambor4) #2

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked

Daj log z -----> ComboFix (niżej na stronie linku).

==================

K.


(system) #3

n.com to jakiś adware, sam miałem, reklamy porno mi wywalał, ale spybot go wywalił (trochę szkoda 8))

A ten drugi (C:\windows\system32\drivers\klif\sys) przypadkiem nie brzmi tak?:

C:\windows\system32\drivers\klif.sys

Jak by to tak było to zapytam na początku - instalowałeś kiedyś kasperskiego? Bo to jest jego sterownik i po prostu z avastem się gryzie bo ten plik pracuje jako rootkit. Na wszelki wypadek daj loga z programu Gmer


(Kambor4) #4

Gmer jest nie potrzebny, wystarczy ComboFix. :wink:

=============

K.


(system) #5

Owszem, napisałeś swojego poprzedniego posta jak ja pisałem swojego i oto tak wyszło : :smiley:


(Aleksandergorka) #6

Przy uruchamianiu ComboFix'a wywaliło mi taką informację

C:\327882R2FWJFW\pv.cfexe nie jest prawidłową aplikacja systemu Win32

Wywaliłmi to Spyware Doctor z informacją dodatkową że to Trojan-PWS.Bancos

Zakapny masz racje C:\windows\system32\drivers\klif.sys

Kasperskiego kiedyś miałem(2005/2006) No ale dlaczego teraz sie gryzie?


(huber2t) #7

W czasie pobierania u skanowania combofixem zamknij wszelkie programy ochronne (AntywirusA, zaporę)

Spróbuj ponownie


(Aleksandergorka) #8

Wyłączyłem Zone Alarma i Avasta i po 1,5 - 2 minutach pracy Combo Fixa wywala mi kompa i restartuje ...

Nie wiem co zrobić...


(system) #9

Przeanalizujmy :slight_smile:

(pozwoliłem sobie poprawić ścieżkę po twoim potwierdzeniu)

Różne programy zostawiają po sobie jakieś "pamiątki" i w tym wypadku jest to sterownik kasperskiego. Ten sterownik jest wykorzystywany przez system ale w ukryciu. A rootkit to nic innego jak szkodliwy proces który się ukrywa (jest niewidoczny). Dlatego antywirusy ukryte procesy już podejrzewają jako rootkit.

Więc dla własnej wygodny wywal to po prostu do kosza i go opróżnij jeżeli to nie możliwe - użyj jakiegoś destruktora plików. A jeżeli dalej się nie uda - tryb awaryjny. A jeśli to dalej nie pomoże ( :smiley: )- będę mówił ci co masz zrobić.

A z tym ComboFix-em - jesteś zalogowany na konto administratora?

Jeżeli masz tego admina - daj loga z Deckard's System Scanner


(ybu) #10

Poczytaj to:http://www.kaspersky.pl/about.html?cat=1000&newsid=1030&s=news_tech

Do usunięcia pozostałości po Kasperskim

http://support.kaspersky.ru/faq/?qid=208635705

Niech wypowiedzą się osoby,które analizują logi czy to Ci coś pomoże.


(Aleksandergorka) #11

Sterownika w podanym adresie nie mogłem znależć ale już raz wywalałem go wcześniej za pomocą avasta. Ręcznie szukając go nie mogłem znależć. Mam wszelkie uprawnienie admina.

Strony nie znajduje... poszukam w google


(system) #12

Ok czyli masz już usunięty ten sterownik. Spróbuj odpalić jeszcze raz tego ComboFix-a ja jak nie to:

Skoro ma usunięty ten plik - to raczej nie sprawa tego pliku


(Aleksandergorka) #13

ComboFix dalej mi wywala kompa a Deckard's System Scanner nie moge ściągnąć.

Avast po resecie ostrzega mnie przed C:\n.com


(huber2t) #14

Deckard's System Scanner nie sciagniesz narazie, nie ma takiej możliwości

Pobierz SDFix, http://downloads.andymanchesta.com/Remo ... /SDFix.exe .

Instrukcja obsługi :

* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)

* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)

* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat

* Wciśnij Y nastąpi proces usuwania.

* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.

* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.

* Pokaż Report.txt znajdujący się w folderze SDFix.

Jak podajesz logi zaznaczaj je tagem code lub quote czyli zaznaczasz caly log z sdfix'a i kilkasz w code lub quote .

Logi dajesz na http://www.wklej.eu


(Aleksandergorka) #15

Podaje logi z SDF

http://www.wklej.eu/index.php?id=d0c385ab90

A teraz avast znalazł mi

C:\u9dyi.exe

Typ: Rootkit: ukryty proces


(system) #16

/\

//\

||

||

To możesz wywalić

A co do loga:

# Mon 25 Aug 2008 92,661 ..SHR --- "C:\mnl6on3.com"

# Tue 26 Aug 2008 90,120 ..SHR --- "C:\n.com"

# Tue 26 Aug 2008 90,120 ..SHR --- "C:\WINDOWS\system32\ckvo.exe"

# Tue 26 Aug 2008 84,992 ..SHR --- "C:\WINDOWS\system32\ckvo0.dll"

# Tue 26 Aug 2008 84,992 ..SHR --- "C:\WINDOWS\system32\ckvo1.dll"

Do wywalenia. Same rootkity! Radzę zmienić Ci antywirusa. Polecam avira antivir personal. I do tego kompletny skan systemu antywirem + jakimś anty spyware.


(Aleksandergorka) #17

ok. Tylko czym to mam usunąć ? Avastem próbowałem " C:\n.com " bo go widział i nie dał rady...


(system) #18

Tym: http://dobreprogramy.pl/index.php?dz=2& ... redder+2.0

Albo zwykłym usunięciem i opróżnieniem kosza lecz w trybie awaryjnym.


(Aleksandergorka) #19

no to chyba się poddaję... Pliki które mam usunąć niczym nie widzę. Nie potrafię (choć kiedyś nie było z tym problemu) w panelu sterowania odkryć pliki i foldery ukryte. Nie działa choć jestem administratorem.... Czym to wywalić. W File Shrederze nie za bardzo się łapię...


(system) #20
  1. Daj loga jeszcze raz z SDF, sprawdź czy te wpisu co zaznaczyłem nie zostały usunięte. (zapomniałem że SDF usuwa pliki od razu, ale może się mu to nie udać.

  2. Włącz oprócz wyświetlania ukrytych plików i folderów wyświetlanie plików systemowych

  3. Wejdź w folder windows. Widzisz jakieś ukryte pliki i foldery? Jeżeli nie to spróbuj jeszcze raz wyłączyć a potem włączyć opcję widoczności

  4. Jutro ci opiszę obsługę File Shreddera, zaraz po godz. 7.00(czasu teraz nie mam) chyba że zasnę głęboko :smiley:

Obsługa File Shreddera:

  1. Odpal program.

  2. W sekcji options po lewej stronie kliknij Shredder Settings

  3. Przejdź do zakładki algorithms.

  4. Wybierz algorytm guttmana i wciśnij ok.

  5. W głównym oknie programu kliknij przycisk add files po lewej stronie.

  6. Dodajesz te wirusy.

  7. Klikasz szeroki przycisk na samym dole programu: Shred Files Now

  8. Potwierdzasz i gotowe.