Problem z rootkit-em

frytosz_sokole_oko (frytosz sokole oko) 2011-02-06 11:22:19 UTC #1

pobrałem przeglądarkę google chrome tak z ciekawości zainstalowała się uruchomiłem ją , na drugi dzień wyskakiwały komunikaty o wykryciu zagrożenia o nazwie win32:rotkit.gen[rtk] skanowałem kompa OTL-em i tu daje dwa raporty z tego właśnie skanowania .

1http://wklej.to/EFi2E

2http://wklej.to/iuk6N

Acorus (Acorus) 2011-02-06 11:37:48 UTC #2

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL DRV - [2007-11-29 10:39:52 | 000,008,064 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt) IE - HKLM..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKCU..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244 [2010-07-14 08:47:26 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\is1ze3yk.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-01-24 21:11:52 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\is1ze3yk.default\extensions\DTToolbar@toolbarnet.com 2010-11-25 12:02:52 | 000,000,935 | ---- | M -- C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\is1ze3yk.default\searchplugins\conduit.xml 2010-05-03 18:25:55 | 000,002,055 | ---- | M -- C:\Documents and Settings\komputer\Dane aplikacji\Mozilla\Firefox\Profiles\is1ze3yk.default\searchplugins\daemon-search.xml O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKLM..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKCU..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKCU..\Run: [DAT2F.tmp.exe] C:\Documents and Settings\komputer\Ustawienia lokalne\Temp\DAT2F.tmp.exe () O4 - HKCU..\Run: [NVIDIA driver monitor] File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\komputer\Dane aplikacji\juzjf.exe) - C:\Documents and Settings\komputer\Dane aplikacji\juzjf.exe (Opera Software) NetSvcs: SSHNAS - File not found [2011-02-05 22:08:42 | 000,078,336 | ---- | C] (Opera Software) -- C:\2876.exe [2011-02-05 20:09:47 | 000,078,336 | RHS- | C] (Opera Software) -- C:\Documents and Settings\komputer\Dane aplikacji\juzjf.exe [2011-02-05 20:09:30 | 000,078,336 | ---- | C] (Opera Software) -- C:\sbo.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt..Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Odinstaluj DAEMON Tools Toolbar i Winamp Toolbar.

frytosz_sokole_oko (frytosz sokole oko) 2011-02-06 14:28:20 UTC #3

te drugi skan

http://wklej.to/arV0B

i raport usuwania

http://wklej.to/TVG85

-- Dodane 06.02.2011 (N) 15:31 --

usunąłem też DAEMON Tools Toolbar i Winamp Toolbar według wskazówek

Acorus (Acorus) 2011-02-06 14:44:32 UTC #4

Poprawka.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt..Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

frytosz_sokole_oko (frytosz sokole oko) 2011-02-06 16:07:59 UTC #5

log otl

http://wklej.to/9MCDL

dziennik usuniec

http://wklej.to/O0JmV

spandaupol (Spandau) 2011-02-06 18:08:59 UTC #6

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Koniecznie proszę podać raport Gmera Jak przygotować system i wykonać skan Gmerem opisano tutaj http://www.fixitpc.pl/topic/60-diagnost ... u-rootkit/

djkamil09061991 (djkamil09061991) 2011-02-06 18:33:38 UTC #7

Jeśli będą problemy z długim uruchamianiem systemu itp to wejdz w:

Start -> Uruchom wpisz:

Odszukaj urządzenia z żółtymi wykrzyknikami z prawokliku je wszystkie odinstaluj. Zrestartuj system

frytosz_sokole_oko (frytosz sokole oko) 2011-02-08 21:57:35 UTC #8

sorry że tak długo ale nie miałem dostępu do internetu

1.Raport z usuwania

http://wklej.to/rn0iI

2.Log z otl

http://wklej.to/zddc2

3.Skan Gmerem

http://wklej.to/IoB4A

spandaupol (Spandau) 2011-02-09 14:46:21 UTC #9

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.