Prawdopodobnie Rootkit


(Djibrilcisse1) #1

Witam. Mam otóż taki problem. Dziś około godziny 20:00 antywirus pokazał mi rootkita. Oczywiście nakazałem go usunąć. No i przez 5-10 minut luz, momentalnie zaczęło mi wywalać dziesiątki wirusów. Nie nadążałem usuwać. Nod32 antywir. Przeskanowałem kompa AVG Anti-Rootkit i usunąłem niby rootkita. Ale skanując komp cały czas go mam:

screen: http://img258.imageshack.us/my.php?image=aaacd1.jpg

Jednak to nie koniec problemu. Po tym całym zajściu nie mogę wejść na dyski twarde. Wyświetla mi się takie coś:

screen: http://img243.imageshack.us/my.php?image=aaasd0.jpg

Będę wdzięczny za pomoc, nie chcę robić ponownie formata bo mam problemy z konfiguracją internetu. Co do parametrów to chyba bez znaczenia, wiec nie podaje. Antywir jaki mam to nod32. Objawami jakie są po tym wszystkim to mulący komp, net. Obciążenie procesora cały czas około 50%, w procesach nic raczej nie znalazłem podejrzanego. Rejestr czyściłem CClear. No i kolejny problem. Komputer po tym wszystkim przestał mi czytać płyty DVD. CD płyta normalnie

Pozdro


(Milland) #2

Daj logi z hijackthis i combofix


(Djibrilcisse1) #3

http://www.wklejto.pl/10822 Combofix

http://www.wklejto.pl/10821 HijactThis

Po combofixie mogę normalnie użytkować z dysków twardych. Czyli błąd sie już nie wyświetla.


(huber2t) #4

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"=-

"EXPLORER.EXE"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=-

"SunJavaUpdateSched"=-

"Adobe Photo Downloader"=-

"RTHDCPL"=-

"SkyTel"=-

"nwiz"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d9290a1-aa5e-11dc-9ac2-00194bb6f9bb}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d9290a2-aa5e-11dc-9ac2-00194bb6f9bb}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31f9d83d-e38c-11dc-9beb-00194bb6f9bb}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0315f52-1de5-11dd-955c-806d6172696f}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Djibrilcisse1) #5

http://www.wklejto.pl/10837


(Djibrilcisse1) #6

Wejście na dyski twarde działa idealnie, Płyty DVD już czyta, komp przestał zamulać i pingi w necie są duuużo lepsze :wink: Thx, jakbyś coś jeszcze zauważył w logach to napisz.


(huber2t) #7

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Djibrilcisse1) #8

Wszystko gra, do zamknięcia.

Ps wyczyściłem Dr.WEB, był 1 wir juz nie ma

i jeszcze raz thx