Prawdopodobnie Rootkit

P4T3R · 24 Wrzesień 2008 20:34

Witam. Mam otóż taki problem. Dziś około godziny 20:00 antywirus pokazał mi rootkita. Oczywiście nakazałem go usunąć. No i przez 5-10 minut luz, momentalnie zaczęło mi wywalać dziesiątki wirusów. Nie nadążałem usuwać. Nod32 antywir. Przeskanowałem kompa AVG Anti-Rootkit i usunąłem niby rootkita. Ale skanując komp cały czas go mam:

screen: http://img258.imageshack.us/my.php?image=aaacd1.jpg

Jednak to nie koniec problemu. Po tym całym zajściu nie mogę wejść na dyski twarde. Wyświetla mi się takie coś:

screen: http://img243.imageshack.us/my.php?image=aaasd0.jpg

Będę wdzięczny za pomoc, nie chcę robić ponownie formata bo mam problemy z konfiguracją internetu. Co do parametrów to chyba bez znaczenia, wiec nie podaje. Antywir jaki mam to nod32. Objawami jakie są po tym wszystkim to mulący komp, net. Obciążenie procesora cały czas około 50%, w procesach nic raczej nie znalazłem podejrzanego. Rejestr czyściłem CClear. No i kolejny problem. Komputer po tym wszystkim przestał mi czytać płyty DVD. CD płyta normalnie

Pozdro

Raven55 · 24 Wrzesień 2008 20:43

Daj logi z hijackthis i combofix

P4T3R · 24 Wrzesień 2008 20:53

http://www.wklejto.pl/10822 Combofix

http://www.wklejto.pl/10821 HijactThis

Po combofixie mogę normalnie użytkować z dysków twardych. Czyli błąd sie już nie wyświetla.

huber2t · 25 Wrzesień 2008 03:52

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"=-

"EXPLORER.EXE"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=-

"SunJavaUpdateSched"=-

"Adobe Photo Downloader"=-

"RTHDCPL"=-

"SkyTel"=-

"nwiz"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d9290a1-aa5e-11dc-9ac2-00194bb6f9bb}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d9290a2-aa5e-11dc-9ac2-00194bb6f9bb}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31f9d83d-e38c-11dc-9beb-00194bb6f9bb}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0315f52-1de5-11dd-955c-806d6172696f}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

P4T3R · 25 Wrzesień 2008 05:29

http://www.wklejto.pl/10837

P4T3R · 25 Wrzesień 2008 05:49

Wejście na dyski twarde działa idealnie, Płyty DVD już czyta, komp przestał zamulać i pingi w necie są duuużo lepsze Thx, jakbyś coś jeszcze zauważył w logach to napisz.

huber2t · 25 Wrzesień 2008 11:58

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

P4T3R · 25 Wrzesień 2008 20:18

Wszystko gra, do zamknięcia.

Ps wyczyściłem Dr.WEB, był 1 wir juz nie ma

i jeszcze raz thx