Problem z Win32:Rootkit-gen [Rtk]

JANEK25 · 7 Luty 2010 16:41

Witam,

Dzisiaj avast wykrył mi infekcję Win32:Rootkit-gen [Rtk].

Poszukałem w sieci, że to może być błąd avast, i że lepiej go odinstalować i zainstalować np. avg.

Co też uczyniłem. Od tego momentu komputer sam się resetuje, mogę odpalić go tylko w trybie awaryjnym.

Jestem w tym temacie zielony i proszę o pomoc.

Log z OTL: http://wklej.org/id/275494/

Pozdrawiam

JANEK

deFco247 · 7 Luty 2010 16:46

Tutaj akurat Avast się nie myli. Jest to jednak “pół-rootkit”, gdyż usługi nie widać, ale plik tak.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL [2009-03-13 22:12:29 | 000,000,523 | ---- | M] () – D:\Documents and Settings\ENDRJU\Dane aplikacji\Mozilla\Firefox\Profiles\ro6rermr.default\searchplugins\daemon-search.xml O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe File not found O4 - HKCU…\Run: [AdobeBridge] File not found O4 - HKCU…\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe File not found O4 - Startup: D:\Documents and Settings\ENDRJU\Menu Start\Programy\Autostart\netuza32.exe () :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Pokaż log z GMER.

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

JANEK25 · 7 Luty 2010 19:42

Logi z OTL:

http://wklej.org/id/275653/

http://wklej.org/id/275654/

i z GMER:

http://wklej.org/id/275655/

Podczas odinstalowywania Deamona miałem nieoczekiwany restart komputera.

Wydaje mi się, że program się odinstlował (w program files nie ma katalogu), ale w logu z gmera jest ścieżka: D:\Program Files\DAEMON Tools Lite\

Usunąłem sterowniki SPTD

Jak już pisałem, jestem w tej kwesti laikiem i nie wiem jakie ma to znaczenie.

Czekam na dalsze instrukcje.

Pozdrawiam

Janek

deFco247 · 7 Luty 2010 20:00

Uruchom GMER -> przejdź na zakładkę CMD -> przy zaznaczonym polu CMD.EXE wklej w czarne górne okienko:

Napisz, czy operacje się udały.

JANEK25 · 7 Luty 2010 20:10

otrzymałem taki komunikat:

“Nazwa ‘yoei270y.exe’ nie jest rozpoznawana jako polecenie wewn©trzne lub zewn©trzne,program wykonywalny lub plik wsadowy.”

Janek

deFco247 · 7 Luty 2010 20:12

Zmieniałeś nazwę pliku GMER-a?

Zamiast tego jednak usunie się to tradycyjnie.

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

JANEK25 · 7 Luty 2010 20:30

Nazwa GMERa został nie zmieniona.

Raport z avenger: http://wklej.org/id/275689/

deFco247 · 7 Luty 2010 20:34

Jak żeś wkleił log, że nie ma w nim ukośników?

Tak poza tym to co trzeba zostało usunięte.

Uruchom OTL i kliknij w nim CleanUp.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

No i zaktualizuj system do stanu Service Pack 3.