Robak i szkodliwe oprogramowanie rokit


(Cobra54013) #1

witam mam pytanko bo nie wiem co za bardzo zrobić na moim kompie pojawił się robak i oprogramowanie rokit którego nie da się usunąć. Mam lipnego antywirusa "Avast" plik który został zarażony to windows 32 system kolega poradził mi bym zmienił system ale nie chce mi się tego robić bo to dodatkowe koszta a mój kumpel co zawsze robił mi z kompem jest za granicą więc proszę poradzcie mi co robić:(.Bedę bardzo wdzięczny....


(deFco247) #2

Pokaż logi OTL

(Na Windows Vista uruchamiamy program z menu Uruchom jako Administrator... ), GMER

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj ,

oraz SREng.


(Golden Finger) #3

Przeniesiony z Problemy :arrow: Bezpieczeństwo i logi HijackThis


(Cobra54013) #4

GMER 1.0.15.15087 - http://www.gmer.net

Rootkit scan 2009-09-27 18:45:41

Windows 5.1.2600 Dodatek Service Pack 2

Running: 2fjex7p1.exe; Driver: C:\DOCUME~1\admin\USTAWI~1\Temp\ugldqpog.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xEDE4D6B8]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xEDE4D574]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xEDE4DA52]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xEDE4D14C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xEDE4D64E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xEDE4D08C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xEDE4D0F0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xEDE4D76E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xEDE4D72E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xEDE4D8AE]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xEDE5682E]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xEDE56678]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xEDE567AC]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntoskrnl.exe!NtCreateSection 8056EE25 7 Bytes JMP EDE5667C \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

PAGE ntoskrnl.exe!ZwCreateProcessEx 8058B5EC 7 Bytes JMP EDE56832 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

PAGE ntoskrnl.exe!ZwLoadDriver 805AD35E 7 Bytes JMP EDE567B0 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[704] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003C0002

IAT C:\WINDOWS\system32\services.exe[704] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003C0000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

-- Dodane 27.09.2009 (N) 18:46 --

to jest ten skan co dalej???


(dethloe123) #5

Oprócz Gmer miałeś pokazać Pokaż logi OTL oraz SREng.

Gdzie avast wykrywa rootkita oraz robaka? Jak chcesz możesz dać screena.


(deFco247) #6

Przede wszystkim logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Podaj dokładną nazwę lub ścieżkę do tego rootkita, gdyż GMER nie znalazł niczego.


(Cobra54013) #7

no bo 3 pliki sa w kwarantanie ale pisze ze sa bez wirusa możliwe jest ze avast sie z nimi uporal???

-- Dodane 28.09.2009 (Pn) 19:33 --

ścieżka to C:/Windows/system32 a nazywa sie kernel32.dll i scieżki takie sam dla pozostalych 2 plikow a nazywaja sie winsock.dll i wysock32.dll (obecnie sa w kwarantanie)

°

-- Dodane 28.09.2009 (Pn) 20:13 --

http://wklej.org/id/159590/ to ten SREng


(Henio Mazurek) #8

Jako, że miałem Avasta to napiszę, że te pliki Avast celowo trzyma w kwarantannie by nie zostały zainfekowane.


(Cobra54013) #9

a jak mam taki plik w kwarantanie i pisze ze to wirus to co mam zrobic??


(Henio Mazurek) #10

Raczej logiczne, że usunąć.


(Cobra54013) #11

pomocy powiecie co mam wam wyslac gdyz nie wiem co dalej robic w kwarantanie mam juz 14 zarażonych plików a gdy je usune z kwarantany to on usuwaja sie tylko z kwarantany i dalej zarazają pliki :frowning: tutaj sa szegółowe dane z kwarantany http://wklej.to/a5CS a tu mniej szczegółowe http://wklej.to/gQ5z

-- Dodane 08.10.2009 (Cz) 16:23 --

???