Witam wszystkich czytających treść tego tematu!

Ostatnio przeskanowałem komputer pod kątem rootkitów i znalazłem jednego. Sprawa jest o tyle ciekawa, że program antywirusowy usuwa go, jednak mimo tego przy następnym skanowaniu (po restarcie kompa - AVG wymaga restartu przy usuwaniu tego rootkita) rootkit znowu jest lecz tym razem ma inną nazwę.

Nie mam pojęcia jak go usunąć. Być może ktoś spotkał się z tego typy “syfem” i wie jak pozbyć się go…

Poniżej zamieszczam screen wyniku skanowania:

Jeśli niezbędne jest stworzenie jakiś logów to na pewno je stworze.

Bardzo proszę o pomoc doświadczonych forumowiczów

Logi z OTL’a:

• OTL.txt http://www.wklejto.pl/39810

• Extras.txt http://www.wklejto.pl/39811

Logi z SDFix’a:

• Report.txt http://www.wklejto.pl/39813

Na rootkita użyj ComboFix, uruchom i wklej log

Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.

Logi wklej na wklej.org lub wklej.to a tutaj tylko link do wklejki.

Log z ComboFix’a: http://www.wklejto.pl/40045

Dodam jeszcze, że logi tworzę spod XP znajdującego się na partycji E, natomiast Win 7 mam na C, a to właśnie na C jest rootkit. Moje logi mają jakikolwiek sens? Niestety innego wyjścia nie ma - pod 7 mało co działa :lol:

Na 7 działa GMER i wklej z niego log w takim razie.

GMER nie znalazł żadnych modyfikacji w systemie…

powinieneś OTL lub Combofix uruchomić spod Win7 (uruchom jako administrator)

narzędzia te działają na Viście to i na 7 powinny zadziałać

Niestety ComboFix nie uruchamia się na Win 7 x64:

Produkcja OTLa:

http://michal.waligora.dl.interia.pl/OTL.Txt

Z tego co mi się obiło o uszy OTL powinien tworzyć 2 pliki raportu jednak mi stworzył tylko jeden…

W gmer kliknij Szukaj, potem Kopiuj i wklej log. Nie zawsze gmer wyświetla monit o znalezieniu czegoś w systemie, co nie znaczy, że nic nie ma.

Problem w tym, że w GMERze nic nie pojawia się po ukończonym skanowaniu. Klikam na Kopiuj, otwieram notatnik i nic się nie wkleja… Czyżbym był za głupi na ten program?

Skoro nic się nie pojawia to znaczy, że nic nie ma. Ten ukryty sterownik gdyby był szkodliwy zostałby pokazany. W tym wypadku wygląda, że nic tutaj nie ma. Tak więc albo to pomyłka AVG, albo zostało to usunięte a trzecia możliwość jest taka, że to też może być prawidłowy sterownik.

Czyli AVG jest przewrażliwiony?

Swieży skan:

Czyli bez zmian. A nazwa pliku jest co najmniej ciekawa :]

Pomijam fakt, że po każdym usunięciu tego rootkita pojawia się znowu tyle, że pod inną nazwą…

Jeszcze możesz wkleić log z mbr.exe (na stronie gmer’a).

Na Windows 7 nie da się zaznaczyć do skanu niczego oprócz Usługi/Rejestr/Pliki? Bo coś mi się wydaje, że właśnie gdzie indziej może to siedzieć, ale to raczej nie jest nic groźnego.

Log z mbr’a:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net


device: opened successfully

user: MBR read successfully

kernel: error reading MBR

Niestety aktywne są tylko opcje Usługi, Rejestr i Pliki. Tak jak widać na screenie. Widzę, że nie wytępimy tego

Widzę, że mbr.exe też ma problem z tym systemem. Tak jak pisałem to niekoniecznie musi być coś groźnego, takie ukryte sterowniki mogą pochodzić również od wirtualnych napędów lub innych urządzeń. Poza tym rootkity najczęściej lokują się w usługach a tutaj nic nie ma. Według mnie w tym wypadku to fałszywy alarm AVG

Możesz jeszcze spróbować Malwarebytes Anti-Malware, jeśli on nic nie znajdzie to znaczy, że nic nie ma.

Malwarebytes Anti-Malware wyczaił 3 syfy: http://wklej.to/Dwwl

Wynika z tego, że nie warto bawić się w jakieś shity typu combofix czy otl :lol: Lecę dalej z koksem i instaluję specjalistyczny soft… Może jeszcze coś wynajdę - dam znać.

Programem a-squared Free znalazłem jednego trojana… To najważniejsze znalezisko i chyba na tym zakończę, powinno być dobrze ;]