Problem z rootkit: nmdfgds1.dll - AVAST

Dla specjalistów Bezpieczeństwo
#1

Proszę o pomoc. AVAST zgłasza że:

C:\WINDOWS\SYSTEM32\nmdfgds1.dll

Rootkit: ukryty proces

Będę wdzięczny za wszelką pomoc.

Poniżej log HijackThis.

http://wklej.eu/index.php?id=bfed9ae0ad

#2

matomi

Logi wklejasz na http://wklej.eu lub na http://wklej.org,

a w poście dajesz tylko link

#3

Na początek podłącz posiadane pendrivy i uruchom FlashDisinfector

http://www.searchengines.pl/index.php?s … ntry369724

Potem wklej logi OTL i gmer, bo przez HT nie opłaca tego się usuwać bo tu więcej tego będzie

http://oldtimer.geekstogo.com/OTL.exe

http://www.gmer.net/

#4

Ok, uruchomiłem Flash Disinfector.

Log OTL http://wklej.eu/index.php?id=609121643a

Log GMER http://wklej.eu/index.php?id=89724772d9

Przy okazji przed chwilą pojawił się komunikat AVAST o wykryciu C:\WINDOWS\SYSTEM32\olhrwef.exe - to jest związane z tym samym?

#5

Tak. To jedna paczka trojanów.

Nie wklejaj logów na wklej.eu bo miesza z ukośnikami, masz wklejać na http://www.wklej.org

Log wygląda na ucięty.

W OTL wklej

Klikasz Run Fix. Potem pokazujesz nowo robiony log z OTL.

Zastosuj jeszcze raz FlashDisinfector.

#6

OK, wykonano.

Nowy log http://www.wklej.org/id/115951/

#7

Zdaje się, że FlashDisinfector ma problem jakiś, alternatywnie do zastosowania Panda USB Vaccine

http://www.searchengines.pl/Zabezpiecze … 23572.html

Poza tym pojawił się nowy wpis jakbyś jakiegoś nowego pendrive’a podłączał lub otwierał. Podłącz wszystkie i niech tak siedzą dopóki nie skończymy.

W OTL wklej

Powtarzasz operację.

Kolejność taka - najpierw skrypt, potem Panda USB Vaccine, na końcu nowy log z OTL.

#8

Ok, dwa pendrive’y podczepione, uruchomiłem skrypt http://www.wklej.org/id/116579/

Później zastosowana szczepionka Pandy i nowy log:

http://www.wklej.org/id/116580/

i jak? :slight_smile:

#9

Wygląda na to, że zeszło, jeszcze tylko wklej w OTL coś takiego

Klikasz Run Fix, potem CleanUp.

Wyłącz na chwilę przywracanie systemu.

http://support.microsoft.com/kb/310405/pll

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& … ntiMalware

Przeczyść dysk i rejestr CCleaner’em

http://dobreprogramy.pl/index.php?dz=2&id=1125&CCleaner

#10

Wykonano.

========== OTL ==========

File I:\AUTORUN.INF not found.

File J:\AUTORUN.INF not found.

Przywracanie systemu mam wyłączone na stałe.

Podczas skanowania Malwarebytes AVAST wywalał komunikaty o trojanie Win32 Kavos na podpiętych pendrive’ach. Usunąłem te zainfekowane pliki.

Wypatrzyło instalki Sopcasta. http://www.wklej.org/id/116628/

Czy jeszcze coś powinienem zrobić?

#11

Tak czy inaczej nic innego w logu nie było. Czy Sopcasta wywalisz to już Twoja sprawa, ta infekcja nie miała z nim nic wspólnego, a Malwarebytes mógł się pomylić. Ale to już Twoja decyzja.

Nic więcej nie ma.

#12

Wielkie dzięki i szacun. Pozdrawiam serdecznie. :slight_smile: