Rookit, combofix + BSoD ! zamulenie kompa (jak usunąć?)


(Michal Steidl) #1

witam

Od jakiegoś czasu zauważyłem ze komputer zdecydowanie zwolnił i czasami w ogóle nie daje znaku życia. przeskanowałem a-squared Free + kaspersky 2010 jedynie a-squared wykrył trojany i jakiegoś rookita

c:\windows\update.exe Wykryto: Trace.File.IRCBDoor!A2

Dalej komp zamulał a KIS 2010 dawał komunikaty na czerwono o wirusie. postanowiłem przeskanować kompa combofixem ( robiłem to już kilka razy gdy komp miał problemy- po skanie wszystko było ok)... tym razem podczas skanowania wyskoczył znany BSoD :shock: niestety nie zapisałem ani komunikatu ani nawet nr błędu #-o .I teraz nie wiem czy dalej mam wirusy (bo komp dalej chodzi jak chodził) i mam problem jak sprawdzić i usunąć tego "rookita?" którego mogę mieć.

Prosze bardzo o pomoc [-o<

log z hijackthisa jakby ktoś potrzebował, chociaż ja nic w nim nie widzę

http://wklej.to/F7Bs

i przy okazji scren z a squared hijackfree: czy nie za dużo mam procesów svchost??

beztytuufu.jpg

pozdrawiam


(deFco247) #2

HijackThis to na nic się tutaj nie przyda.

Zastosuj OTC.

Przed uruchomieniem poniższych narzędzi odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pokaż logi z narzędzi OTL + System Repair Engineer + GMER.

W OTL przestawiasz Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.


(Michal Steidl) #3

Jak narazie po uruchomieniu GMER wyskoczył BSoD zrobiłem zdjęcie: BAD_POOL_HEADER


(deFco247) #4

Więc na razie wstaw logi OTL + System Repair Engineer.


(Michal Steidl) #5

Oto logi:

OTL.txt

http://wklej.to/muov

Extras.txt

http://wklej.to/tNkH

Zaraz robie z System Repair Engineer

edit:

log z SRE:

http://wklej.org/id/292198/

czekam na dalsze wskazówki...coś jest w logach? :cry:


(deFco247) #6

No więc w logach nie ma żadnej infekcji... ;] ;]

Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:

{32099AAC-C132-4136-9E9A-4E364A424E17}

{68282C51-9459-467B-95BF-3C0E89627E55}

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}

{09FE188B-6E85-479E-9411-51FB2220DF80}

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}

{2670000A-7350-4F3C-8081-5663EE0C6C49}

{3049C3E9-B461-4BC5-8870-4C09146192CA}

{32099AAC-C132-4136-9E9A-4E364A424E17}

{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}

{45AD732C-2CE2-4666-B366-B2214AD57A49}

{58ECB495-38F0-49CB-A538-10282ABF65E7}

{68282C51-9459-467B-95BF-3C0E89627E55}

{700259D7-1666-479A-93B1-3250410481E8}

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

{92780B25-18CC-41C8-B9BE-3C9C571A8263}

{CF819DA3-9882-4944-ADF5-6EF17ECF3C6E}

{D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A}

{E2E2DD38-D088-4134-82B7-F2BA38496583}

{FB5F1910-F110-11D2-BB9E-00C04F795683}

Uruchom SREng -> System Repair -> zakładka File Assocation -> zaznacz SCR i CHM -> Repair.

W OTL kliknij CleanUp.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).


(Michal Steidl) #7

Dzięki :wink: komp trochę lepiej chodzi i mam nadzieje ze nie ma już świństwa :stuck_out_tongue:

autostart jak zawsze ograniczony do minimum :smiley: