Problem z usunięciem rootkita

schwarze.witwe · 19 Czerwiec 2011 10:13

Pewnego razu zauważyłem że posiadam dziwny nr ip zaczynający się od 31.63.***.*** więc postanowiłem to sprawdzić antywirusem. Po przejechaniu, avast wykrył że to jakiś rootkit. Po usunięciu i ponownym restarcie komputera rootkit znowu powrócił

Pliki wykryte przez avasta:

C:\System Volume Information\_restore{1D85689D-26D2-40E6-837B-681AF4F40F01}\RP152\123545.exe

C:\System Volume Information\_restore{1D85689D-26D2-40E6-837B-681AF4F40F01}\RP152\A0125032.exe

C:\Windows\system32\drivers\sptd.sys

Próbowałem kasperskim live cd usunąć rootkita ale to nic nie bo powraca za każdym razem.

spandaupol · 19 Czerwiec 2011 10:22

Po pierwsze jeśli Avast znalazł infekcji w punktach przywracania systemu czyli w katalogu System Volume Information to należy je wyczyścić przez chwilowe wyłączenie i ponowne włączenie Ponieważ nie wiem jaki system podaje instrukcje dla XP Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Po drugie

To jest prawidłowy sterownik od Daemon Tools lub Alkohola a nie żaden rootkit, proszę dodać do wyjątków w Avaście Podobny temat rootkit-sptd-sys-nie-chce-sie-usunac-t448672.html

Leon1 · 19 Czerwiec 2011 10:24

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

http://www.vista.pl/artykuly/11250_przy … vista.html

daj do wyjątków w Avaście

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

pobierz również Gmera i przeskanuj

schwarze.witwe · 19 Czerwiec 2011 12:06

Pobrałem gmera lecz nie chce działać, za każdym razem wyskakuje niebieski obraz i się restartuje system.

log OTL.txt

http://wklej.to/0bLL9

Leon1 · 19 Czerwiec 2011 12:34

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL SRV - File not found [Auto | Stopped] – -- (SSHNAS) SRV - File not found [Auto | Stopped] – -- (Bonjour Service) IE - HKU\S-1-5-21-839031677-1896903822-4041794577-1005…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKU\S-1-5-21-839031677-1896903822-4041794577-1005…\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\S-1-5-21-839031677-1896903822-4041794577-1005…\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM…\Run: [LaunchApp] File not found O4 - HKLM…\Run: [NPSStartup] File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … vc1dmo.cab (Reg Error: Key error.) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.) O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found MsConfig - StartUpReg: ccApp - hkey= - key= - File not found MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found MsConfig - StartUpReg: DAEMON Tools-1033 - hkey= - key= - File not found MsConfig - StartUpReg: eRecoveryService - hkey= - key= - File not found MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found MsConfig - StartUpReg: Kkey - hkey= - key= - File not found MsConfig - StartUpReg: MSPY2002 - hkey= - key= - File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: PHIME2002A - hkey= - key= - File not found MsConfig - StartUpReg: Samsung PanelMgr - hkey= - key= - File not found MsConfig - StartUpReg: SynTPEnh - hkey= - key= - File not found MsConfig - StartUpReg: WarReg_PopUp - hkey= - key= - File not found [2011-06-19 13:18:52 | 000,000,000 | -HSD | C] – C:\FOUND.020 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

pobierz http://public.avast.com/~gmerek/aswMBR.exe

Kliknij dwukrotnie aswMBR.exe, aby go uruchomić

Kliknij przycisk “Scan”, aby rozpocząć skanowanie

Kliknij przycisk “Fix” w przypadku infekcji

Zapisz aswMBR.log na pulpit pokaż na forum

schwarze.witwe · 19 Czerwiec 2011 17:28

log z Run Fix (Wykonaj scrypt)

http://wklej.to/ikntF

log robiony opcją Run Scan(Skanuj)

->OTL http://wklej.to/Y36hy

->Extras http://wklej.to/USWDn

log z aswMBR:

http://wklej.to/w8owe

Leon1 · 19 Czerwiec 2011 18:14

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

zainstaluj SP3

Internet Explorer 8 http://www.microsoft.com/windows/intern … sites.aspx

schwarze.witwe · 19 Czerwiec 2011 20:42

Co mam zrobic z ip 31.63.143.65 ??

Ja go usunąłem ręcznie z rejestru z tej lokalizacji :

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{EFA86381-DF55-4319-BF32-C34638845E33}]

Nie wiem czy dobrze zroiłem ??

deFco247 · 19 Czerwiec 2011 20:52

Nie wiem co widzisz dziwnego w swoim IP i dlaczego chcesz się go koniecznie pozbyć?

http://geo.flagfox.net/?ip=31.63.143.65

http://whois.domaintools.com/31.63.143.65

Jak widać to jest polski adres IP, konkretnie Orange.

schwarze.witwe · 19 Czerwiec 2011 21:09

Po usunięciu adres zanowu powrócił.

Nigdy nie miałem takiego nr ip, dopiero od kilku dni sam się dopisał (nie wiem w jaki sposób ??) i mam teraz dwa ten co miałem zaczynający się od 79.***.***.** i ten nowy 31.***.***.**

Czy jest jakiś sposób sprawdzenie czy ktoś się nie podpiął ??