Problem z usunięciem rootkita


(M8 R Ias0ym) #1

Pewnego razu zauważyłem że posiadam dziwny nr ip zaczynający się od 31.63.***.*** więc postanowiłem to sprawdzić antywirusem. Po przejechaniu, avast wykrył że to jakiś rootkit. Po usunięciu i ponownym restarcie komputera rootkit znowu powrócił

Pliki wykryte przez avasta:

C:\System Volume Information\_restore{1D85689D-26D2-40E6-837B-681AF4F40F01}\RP152\123545.exe

C:\System Volume Information\_restore{1D85689D-26D2-40E6-837B-681AF4F40F01}\RP152\A0125032.exe

C:\Windows\system32\drivers\sptd.sys

Próbowałem kasperskim live cd usunąć rootkita ale to nic nie bo powraca za każdym razem.


(Spandau) #2

Po pierwsze jeśli Avast znalazł infekcji w punktach przywracania systemu czyli w katalogu System Volume Information to należy je wyczyścić przez chwilowe wyłączenie i ponowne włączenie Ponieważ nie wiem jaki system podaje instrukcje dla XP Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Po drugie

To jest prawidłowy sterownik od Daemon Tools lub Alkohola a nie żaden rootkit, proszę dodać do wyjątków w Avaście Podobny temat rootkit-sptd-sys-nie-chce-sie-usunac-t448672.html


(Leon$) #3

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

http://www.vista.pl/artykuly/11250_przy ... vista.html

daj do wyjątków w Avaście

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

pobierz również Gmera i przeskanuj

:slight_smile:


(M8 R Ias0ym) #4

Pobrałem gmera lecz nie chce działać, za każdym razem wyskakuje niebieski obraz i się restartuje system.

log OTL.txt

http://wklej.to/0bLL9


(Leon$) #5

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

pobierz http://public.avast.com/~gmerek/aswMBR.exe

Kliknij dwukrotnie aswMBR.exe, aby go uruchomić

Kliknij przycisk "Scan", aby rozpocząć skanowanie

Kliknij przycisk "Fix" w przypadku infekcji

Zapisz aswMBR.log na pulpit pokaż na forum

:slight_smile:


(M8 R Ias0ym) #6

log z Run Fix (Wykonaj scrypt)

http://wklej.to/ikntF

log robiony opcją Run Scan(Skanuj)

->OTL http://wklej.to/Y36hy

->Extras http://wklej.to/USWDn

log z aswMBR:

http://wklej.to/w8owe


(Leon$) #7

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI ... 12976.html

zainstaluj SP3

Internet Explorer 8 http://www.microsoft.com/windows/intern ... sites.aspx

:slight_smile:


(M8 R Ias0ym) #8

Co mam zrobic z ip 31.63.143.65 ??

Ja go usunąłem ręcznie z rejestru z tej lokalizacji :

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{EFA86381-DF55-4319-BF32-C34638845E33}]

Nie wiem czy dobrze zroiłem ??


(deFco247) #9

Nie wiem co widzisz dziwnego w swoim IP i dlaczego chcesz się go koniecznie pozbyć?

http://geo.flagfox.net/?ip=31.63.143.65

http://whois.domaintools.com/31.63.143.65

Jak widać to jest polski adres IP, konkretnie Orange.


(M8 R Ias0ym) #10

Po usunięciu adres zanowu powrócił.

Nigdy nie miałem takiego nr ip, dopiero od kilku dni sam się dopisał (nie wiem w jaki sposób ??) i mam teraz dwa ten co miałem zaczynający się od 79.***.***.** i ten nowy 31.***.***.**

Czy jest jakiś sposób sprawdzenie czy ktoś się nie podpiął ??