Proszę o sprawdzenie logów. Rootkit

gietki · 8 Grudzień 2011 17:32

Witam.

Avast wyrzucił alarm, że znalazł rootkita, niestety mam coś skopane i nie działa u mnie skanowanie podczas rozruchu.

Więcej ten komunikat się nie pokazał.

Przeskanowałem kilkoma skanerami online: NOD znalazł kilka malware i konia trojańskiego i chyba jeszcze jakieś robactwo (razem 8 sztuk) i usunął je bez problemu. mcAfee i norton nic nie znalazły, a na koniec skanowałem mksvir-em który znalazł jeszcze 2 podejrzane pliki, ale nie pamiętam już jakie i gdzie, w każdym razie nie udało mu się ich usunąć.

Podejrzewam, że rootkit je ukrywa, chociaż mam nadzieję, że okaże się że to fałszywy alarm.

Log z GMER-a —> http://wklej.eu/index.php?id=55c2246808

Log z OTL-a —> http://wklej.eu/index.php?id=c04651fc98

system · 8 Grudzień 2011 18:02

Przeskanuj w trybie pełne skanowanie tym

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

możesz tez poprawić skanowanie tym

http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

Acorus · 8 Grudzień 2011 18:24

Daj log z TDSSKiller http://support.kaspersky.com/viruses/so … =208280684 Jak coś znajdzie daj na skip.

gietki · 8 Grudzień 2011 19:39

Oto wynik skanowania Malwarebytes —> http://img30.otofotki.pl/cf477_Obrazek1.jpg.html

Acorus, zaraz ściągnę i przeskanuję TDSSKiller-em

system · 8 Grudzień 2011 19:45

wszystko co na czerwono w malware kliknij usuń

gietki · 8 Grudzień 2011 20:06

wszystko co czerwone usunąłem i zrestartowałem komputer.

TDSS —> http://wklej.eu/index.php?id=3824c6b4ee

Acorus · 9 Grudzień 2011 08:55

Odinstaluj Spesoft Toolbar,DAEMON Tools Toolbar,McAfee Security Scan Plus.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com IE - HKCU…\URLSearchHook: {94817c02-feac-4aa8-99d8-1cb47bf4d4c0} - C:\Program Files\Spesoft\prxtbSpe0.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultenginename: “foxsearch” FF - prefs.js…browser.search.order.1: “foxsearch” FF - prefs.js…browser.search.selectedEngine: “foxsearch” FF - user.js…browser.search.selectedEngine: “foxsearch” FF - user.js…browser.search.order.1: “foxsearch” FF - user.js…browser.search.defaultenginename: “foxsearch” [2011-12-05 20:10:19 | 000,000,000 | —D | M] (Spesoft Community Toolbar) – C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\4wgamtgq.default\extensions{94817c02-feac-4aa8-99d8-1cb47bf4d4c0} O2 - BHO: (Spesoft Toolbar) - {94817c02-feac-4aa8-99d8-1cb47bf4d4c0} - C:\Program Files\Spesoft\prxtbSpe0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Spesoft Toolbar) - {94817c02-feac-4aa8-99d8-1cb47bf4d4c0} - C:\Program Files\Spesoft\prxtbSpe0.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Spesoft Toolbar) - {94817C02-FEAC-4AA8-99D8-1CB47BF4D4C0} - C:\Program Files\Spesoft\prxtbSpe0.dll (Conduit Ltd.) O4 - HKLM…\Run: [nwiz] nwiz.exe /installquiet File not found :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

gietki · 9 Grudzień 2011 18:25

Kliknąłem “wykonaj skrypt”.

OTL poinformował, że usuwanie przebiegło pomyślnie i zrestartował komputer.

Internet chodzi jakby go nie było. wczytywanie tej strony trwało ponad 15 minut

W aktywności połączenia sieci bezprzewodowej mam prawie 8000 pakietów wysłanych i nieco ponad 5000 odebranych. Chyba coś wysyła jakieś dane i blokuje mi łącze. Mam łącze 512mbps.

oto log który wyskoczył po restarcie komputera —> http://wklej.eu/index.php?id=e43991b4c7

(strona wklej.eu otworzyła się natomiast momentalnie i widzę że teraz po dłuższej chwili od włączenia komputera internet chodzi normalnie)

EDIT: nie włączałem drugi raz OTL-a i nie klikałem w “sprzątanie”

Acorus · 9 Grudzień 2011 18:40

W OTL użyj opcji Sprzątanie.Przeskanuj programem Dr.WEB CureIt http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

gietki · 9 Grudzień 2011 19:52

Masakra, ściągam już któryś raz Dr.Web i ciągle mi przerywa :twisted: Do jutra chyba dam radę

system · 9 Grudzień 2011 20:53

a weż zrób skana tym

http://www.programosy.pl/program,kasper … iller.html

gietki · 9 Grudzień 2011 21:03

posprzątałem OTL-em

Udało się z dr.web-em:D

Włączyłem skanowanie, ale domyślnie włączyło się szybkie skanowanie , jak zatrzymałem aby przełączyć to wyskoczył komunikat, że jakiś plik czy wartość jest zmodyfikowany/a i że wskazuje to na działalność wirusa, pytanie o to czy podmienić plik na niezmodyfikowany potwierdziłem i włączyłem pełne skanowanie.

C:\Program Files\RALINK\RT6x Wireless LAN Card\Installer\WINX64\WRLSetup.exe

DR. Web znalazł wirusa: trojan.siggen3.1415

klikam żeby leczył.

ale do końca skanowania jest jeszcze daleko.

– Dodane 10.12.2011 (So) 16:32 –

Dr. Web skończył skanowanie,

znalazł jeszcze:

Ścieżka: C:\System Volume Information_restore{712C5E28-C601-4471-842F-F722F86FBA4}RP198

Status Trojan.Siggen3.1470

Obydwa usunięte.

Skanować to jeszcze kasperskim?

– Dodane 10.12.2011 (So) 17:58 –

TDSSkiller —> http://wklej.eu/index.php?id=773676b16c

– Dodane 12.12.2011 (Pn) 10:52 –

Hej. Internet nadal nie chodzi tak jak powinien, mam opory przed przed wchodzeniem na strony banku, allegro itd. robić format?