cześć,

mam problem ze swoim laptopkiem: wieszał się gdy chciałam zgrać płytkę albo wkładałam niektóre płytki CD, potem przestały otwierać się niektóre programy w tym opera czy avast. Wgrałam nowego avasta i ten często (przy otwarciu chyba każdego programu) wyświetla komunikat że zablkował Win32:Rootkit-gen [Rtk] w katalogu temp w ustawieniach lokalnych w pliku lhpkwy.dat. Przeskanowałam dysk i to właśnie ten plik był zarażony. I chyba “otwiera się” w każdym procesie. NIe wiem jak się tego pozbyć. No i internet działa o wiele wolniej. Proszę o pomoc,

oto log z Hijackthis:

http://www.wklejto.pl/62910

dodam, że jestem laikiem w tych sprawach :?

Log źle wklejony - brak ukośników ** - co utrudnia jego analizę.

Nie wklejasz loga poprzez Przeglądaj… , tylko ręcznie kopiujesz jego zawartość w pole do wklejania tekstu.

HijackThis się już nie używa do analizy systemu pod kątem infekcji.

Przed uruchomieniem poniższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pokaż logi z narzędzi OTL + GMER.

Przestawiasz w nim Processes i Modules na All, Extra Registry na Use Safelist oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

Żeby uniknąć bluescreena nic nie rób w systemie w trakcie skanu GMER-em.

nie wiedziałam, przy ostatniej infekcji dawałam z hijjack’a, już sie poprawiam

sterownika spdt nie usuwałam, bo nie mam żadnych wirtualnych napędów

przez tydzień miałam duży problem z pocztą jak i z wklejeniem logów do “wklej to” i in., w końcu zrobiłam to przez inny komputer,

komunikat z zablkowanym rootkitem z avast pojawia się ciągle

log z otl: http://wklej.to/xKmZ

log extras: http://wklej.to/XKCY

log gmer: http://wklej.to/8U4T

Nie chodziło mi o ten typ logu GMER-a. Miało być to wykonane sposobem: W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj lub Zapisz.

Ogólnie rzecz ujmując nie ma tutaj nic wirusowego. Tylko jeden zbędny toolbar jest obecny w przeglądarce.

W białe dolne okno Custom Scans/Fixes w OTL wklej bez frazy Code:

:OTL

IE - HKCU\..\URLSearchHook: {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\tbTog0.dll (Conduit Ltd.)

O2 - BHO: (ToggleEN Toolbar) - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\tbTog0.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (ToggleEN Toolbar) - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\tbTog0.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\ShellBrowser: (ToggleEN Toolbar) - {038CB5C7-48EA-4AF9-94E0-A1646542E62B} - C:\Program Files\ToggleEN\tbTog0.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (ToggleEN Toolbar) - {038CB5C7-48EA-4AF9-94E0-A1646542E62B} - C:\Program Files\ToggleEN\tbTog0.dll (Conduit Ltd.)

O4 - HKLM..\Run: [] File not found

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)

[2010-04-05 21:14:41 | 003,907,460 | ---- | M] () -- C:\Program Files\ComboFix.exe


:Commands

[emptytemp]

[start explorer]

[Reboot]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

poprawiony log z GMER http://wklej.to/xoPg

log z otl po run fix: http://wklej.to/iFVm

co do nowego loga z otl mam dać tylko run scan? czy zrobić tak samo jak na początku, czyli z wklejeniem tego tesktu,extrasem itp?

pozdrawiam