Jakiś rootkit się przyczepił do mnie!


(Alg ) #1

O dobrzy ludzie, jak byście mogli zerknąć w moje logi i zobaczyć, co jest grane, to byłbym wdzięczny.

Siedzę już drugi dzień nad kompem by móc zacząć wreszcie pracować (takie miałem plany na super długi weekend) a tym czasem ciągle coś nie gra. Opiszę trochę problem, żeby zobrazować co się dzieje:

Zaczęło się od tego, że Avast zaczął mi wykrywać plik "t1ypkh.exe" przedstawiając go jako rootkita. To po wpakowaniu jakiegoś pendrive'a. Oczywiście nie szło go usunąć - tego rootkita, czy jak mu tam :).

Zainstalowałem Gmera, Combofixa. Próbowałem w Gmerze usuwać to cholerstwo, ale również nie szło.Pewnie sam plik to za mało -na pewno. Postawiłem na nowo system z ghosta i jak się domyślacie, nadal nie jest różowo.

Post niżej mojego jest opisany jakiś wirus i widziałem, że tam też występuje ten sam plik co i u mnie. Była tam sugestia, żeby przelecieć pendriva przez Flash Desinfector, tak też zrobiłem. Niby jest cisza i na razie pracuje, ale żeby tego było mało to zniknęła mi ochrona rezydentalna Avasta - nie ma ikon w zasobniku systemowym. Tak jakoś mi się wydaje, że to po uruchomieniu Combofixa, ale nie jestem pewien.

Poniżej log:

http://wklejto.pl/8123

Pomożecie? Tylko proszę o w miarę przejrzyste wskazówki.

Dzięki.


(Kambor4) #2

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked

Daj log z -----> ComboFix (niżej na stronie linku).

============================

K.


(Alg ) #3

Zrobiłem, jak napisałeś.

Log z ComboFixa: http://wklejto.pl/8124

Zrestartowałem kompa, ale widzę, że nadal nie mam ochrony w czasie rzeczywistym z Avasta.


(Alg ) #4

A i jeszcze jedno, mam dysk zewnętrzny podpinany na USB, prawdopodobnie też tam coś siedzi, czy wystarczy, że usunąłem ten wpis, który podałeś, czy podpiąć ten dysk zewnętrzny i znowu wkleić logi z HJT i Combofixa? Przepraszam, za podstawowe pytania, ale jestem specjalistą w trochę innej dziedzinie niż informatyka :slight_smile: a godziny mijają a ja mam już w plecy 1.5 dnia pracy.


(Kambor4) #5

1)

Wklej do Notatnika :

DirLook::

C:\_sg3bklhxbsg


Folder::

C:\Program Files\AdVantage

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

2)

Użyj---SDFix.(niżej na stronie linku).

Uruchom go w trybie awaryjnym

Pokaż Report.txt znajdujący się w folderze SDFix.

======================

K.


(Alg ) #6

Wykonałem wszystko:

Log z Combofixa: http://wklejto.pl/8126

Później zrobiłem w trybie awaryjnym SDFix'a i mam to: http://wklejto.pl/8127

Pytanie tylko, czy instalować od nowa Avasta, bo wygląda na to, że w chwili obecnej nie mam antywirusa :frowning: a przynajmniej nie ma ikon w zasobniku systemowym.


(Olixxx94) #7

Co do braku ikonek Avasta to kliknij prawym przyciskiem myszy na pasek zadań->Właściwości->zakładka Pasek Zadań->w sekcji Obszar powiadomień klik na Dostosuj->w tabeli szukaj Skaner dostępowy Avast! i obok niego zmień opcję na Zawsze widoczny->OK. Jeśli rezydent nie będzie działał to patrz :arrow:Naprawa ochrony rezydentnej


(Alg ) #8

Zrobiłem wszystko, jak opisane. Łącznie z naprawą Avasta, bo wszystkie pozostałe metody nie odniosły skutku - ikon dalej nie widać. Chociaż w procesach program jest uruchomiony, także nie jest źle.

W "zarządzaniu komputerem" wszystkie składniki avasta są uruchomione - ustawiony jest na tryb automatyczny, chyba osłona poczty i stron jest ustawiona na ręczny i nie idze tego zmienić - zależne chyba od głownego procesu Avasta.

We właściwościach paska zadań ikony Avasta mam w części "elementy poprzednie" - zaznaczyłem tam "zawsze widoczny" przy ikonach, ale nic to nie zmienia, nawet po restarcie.

Przeinstaluję go chyba od nowa, tylko mam pytanie, czy moje logi są już czyste?

Tak na marginesie, to dziękuję za odpowiedzi.


(Leon$) #9

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

lub

Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5

:slight_smile:


(Alg ) #10

Zrobiłem chyba wszystko, co napisaliście. Podczas skanu Dr.Web'em wykrył mi na 3 pendrivach znowu ten sam plik, który tak mi namieszał. Niby go usunął, dla pewności sformatowałem peny i przepuściłem przez flash Disinfector.

Na dysku C, DrWeb znalazł wirusa, ale to chyba jakieś archiwa. Poniżej logi:

Dr.Webhttp://www.wklejto.pl/8141

The Avenger: http://www.wklejto.pl/8142

A tu ostateczny log z HJT: http://www.wklejto.pl/8143

Trzeba coś z tym jeszcze robić?

Wróciły mi ikony Avasta w zasobniku.

Póki co, Avast nic nie wykrywa. System działa bez zarzutów. Tfu tfu, żeby nie zapeszyć.


(Leon$) #11

pliki usunięte log czysty powinno być OK

:slight_smile:


(Alg ) #12

W takim razie wielkie, ale to wielkie dzięki za pomoc.

Mogę w końcu zacząć pracę :).

A tak na marginesie, jak się bronić przed tego typu draństwem? Zauważyłem, że prawie we wszystkich pendrivach, które wpinałem do kompa są wirusy.

O ile swoje mogę jakoś kontrolować, to co robić z pendrivami które pochodzą od kogoś innego?

Coś polecacie konkretnego?

Jeszcze raz dzięki wszystkim, którzy pomogli w rozwiązaniu kłopotów.


(Klossj23) #13

Może zerknij na ten wątek:

http://www.searchengines.pl/Infekcje-z- ... 94761.html

na przykład podpunkt 3 lub 4-ty przy "Zapobieganie infekcji z pendrive".