Od dwóch dni walczę z ciągle wyskakującą inf. z avasta o zagrożeniu. Raz wskazuje mi na " C:\n.com " a raz na " C:\windows\system32\drivers\klif\sys " z Win32: Rootkit-gen . Próbowałem sobie jakoś pomóc i dzięki Spyware Doctor próbowałem wszystko wyczyścić. No cóż dziś znowu avast uraczył mnie o zagrożeniu z C:\n.com. Prosze o radę i pomoc.
Oto logi z Hijack This:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked
Daj log z -----> ComboFix (niżej na stronie linku).
==================
K.
n.com to jakiś adware, sam miałem, reklamy porno mi wywalał, ale spybot go wywalił (trochę szkoda 8))
A ten drugi (C:\windows\system32\drivers\klif\sys) przypadkiem nie brzmi tak?:
C:\windows\system32\drivers\klif.sys
Jak by to tak było to zapytam na początku - instalowałeś kiedyś kasperskiego? Bo to jest jego sterownik i po prostu z avastem się gryzie bo ten plik pracuje jako rootkit. Na wszelki wypadek daj loga z programu Gmer
Gmer jest nie potrzebny, wystarczy ComboFix. 
=============
K.
Owszem, napisałeś swojego poprzedniego posta jak ja pisałem swojego i oto tak wyszło : 
Przy uruchamianiu ComboFix’a wywaliło mi taką informację
C:\327882R2FWJFW\pv.cfexe nie jest prawidłową aplikacja systemu Win32
Wywaliłmi to Spyware Doctor z informacją dodatkową że to Trojan-PWS.Bancos
Zakapny masz racje C:\windows\system32\drivers\klif.sys
Kasperskiego kiedyś miałem(2005/2006) No ale dlaczego teraz sie gryzie?
W czasie pobierania u skanowania combofixem zamknij wszelkie programy ochronne (AntywirusA, zaporę)
Spróbuj ponownie
Wyłączyłem Zone Alarma i Avasta i po 1,5 - 2 minutach pracy Combo Fixa wywala mi kompa i restartuje …
Nie wiem co zrobić…
Przeanalizujmy 
(pozwoliłem sobie poprawić ścieżkę po twoim potwierdzeniu)
Różne programy zostawiają po sobie jakieś “pamiątki” i w tym wypadku jest to sterownik kasperskiego. Ten sterownik jest wykorzystywany przez system ale w ukryciu. A rootkit to nic innego jak szkodliwy proces który się ukrywa (jest niewidoczny). Dlatego antywirusy ukryte procesy już podejrzewają jako rootkit.
Więc dla własnej wygodny wywal to po prostu do kosza i go opróżnij jeżeli to nie możliwe - użyj jakiegoś destruktora plików. A jeżeli dalej się nie uda - tryb awaryjny. A jeśli to dalej nie pomoże ( )- będę mówił ci co masz zrobić.
A z tym ComboFix-em - jesteś zalogowany na konto administratora?
Jeżeli masz tego admina - daj loga z Deckard’s System Scanner
Poczytaj to:http://www.kaspersky.pl/about.html?cat=1000&newsid=1030&s=news_tech
Do usunięcia pozostałości po Kasperskim
http://support.kaspersky.ru/faq/?qid=208635705
Niech wypowiedzą się osoby,które analizują logi czy to Ci coś pomoże.
Sterownika w podanym adresie nie mogłem znależć ale już raz wywalałem go wcześniej za pomocą avasta. Ręcznie szukając go nie mogłem znależć. Mam wszelkie uprawnienie admina.
Strony nie znajduje… poszukam w google
Ok czyli masz już usunięty ten sterownik. Spróbuj odpalić jeszcze raz tego ComboFix-a ja jak nie to:
Skoro ma usunięty ten plik - to raczej nie sprawa tego pliku
ComboFix dalej mi wywala kompa a Deckard’s System Scanner nie moge ściągnąć.
Avast po resecie ostrzega mnie przed C:\n.com
Deckard’s System Scanner nie sciagniesz narazie, nie ma takiej możliwości
Pobierz SDFix, http://downloads.andymanchesta.com/Remo … /SDFix.exe .
Instrukcja obsługi :
* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
* Wciśnij Y nastąpi proces usuwania.
* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
* Pokaż Report.txt znajdujący się w folderze SDFix.
Jak podajesz logi zaznaczaj je tagem code lub quote czyli zaznaczasz caly log z sdfix’a i kilkasz w code lub quote .
Logi dajesz na http://www.wklej.eu
Podaje logi z SDF
http://www.wklej.eu/index.php?id=d0c385ab90
A teraz avast znalazł mi
C:\u9dyi.exe
Typ: Rootkit: ukryty proces
/\
//\
||
||
To możesz wywalić
A co do loga:
# Mon 25 Aug 2008 92,661 ..SHR --- "C:\mnl6on3.com"
# Tue 26 Aug 2008 90,120 ..SHR --- "C:\n.com"
# Tue 26 Aug 2008 90,120 ..SHR --- "C:\WINDOWS\system32\ckvo.exe"
# Tue 26 Aug 2008 84,992 ..SHR --- "C:\WINDOWS\system32\ckvo0.dll"
# Tue 26 Aug 2008 84,992 ..SHR --- "C:\WINDOWS\system32\ckvo1.dll"
Do wywalenia. Same rootkity! Radzę zmienić Ci antywirusa. Polecam avira antivir personal. I do tego kompletny skan systemu antywirem + jakimś anty spyware.
Tym: http://dobreprogramy.pl/index.php?dz=2& … redder+2.0
Albo zwykłym usunięciem i opróżnieniem kosza lecz w trybie awaryjnym.
no to chyba się poddaję… Pliki które mam usunąć niczym nie widzę. Nie potrafię (choć kiedyś nie było z tym problemu) w panelu sterowania odkryć pliki i foldery ukryte. Nie działa choć jestem administratorem… Czym to wywalić. W File Shrederze nie za bardzo się łapię…
Daj loga jeszcze raz z SDF, sprawdź czy te wpisu co zaznaczyłem nie zostały usunięte. (zapomniałem że SDF usuwa pliki od razu, ale może się mu to nie udać.
Włącz oprócz wyświetlania ukrytych plików i folderów wyświetlanie plików systemowych
Wejdź w folder windows. Widzisz jakieś ukryte pliki i foldery? Jeżeli nie to spróbuj jeszcze raz wyłączyć a potem włączyć opcję widoczności
Jutro ci opiszę obsługę File Shreddera, zaraz po godz. 7.00(czasu teraz nie mam) chyba że zasnę głęboko
Obsługa File Shreddera:
Odpal program.
W sekcji options po lewej stronie kliknij Shredder Settings
Przejdź do zakładki algorithms.
Wybierz algorytm guttmana i wciśnij ok.
W głównym oknie programu kliknij przycisk add files po lewej stronie.
Dodajesz te wirusy.
Klikasz szeroki przycisk na samym dole programu: Shred Files Now
Potwierdzasz i gotowe.