Rootkit combofix nie może sobie poradzić

rwojtkowiak · 10 Październik 2009 11:04

Witam serdecznie,

objawy infekcji są takie, że po starcie systemu po krótkim czasie pojawia się komunikat, że explorer wykonał nieprawidłową operację i zostanie zamknięty, po czym system działa prawidłowo dalej - nie zauważyłem jeszcze innych problemów. W systemie jest zainstalowany nod32 i kerio personal firewall.

Po uruchomieniu combofixa na samym początku pojawia się komunikat i infekcji typu rootkit, system się resetuje i combofix skanuje system. Problem w tym, że skanowałem 3 razy i za każdym razem jest tak samo, combofix nie usuwa problemu. Ponieżej wklejam 3 logi z 3 kolejnych skanów:

http://www.wklej.org/id/170546/

http://www.wklej.org/id/170547/

http://www.wklej.org/id/170548/

oraz log z hijackthis:

http://www.wklej.org/id/170549/

bardzo proszę o pomoc jak sobie poradzić z tym syfem co podłapałem, z góry za wszystko dziękuję

Robert

deFco247 · 10 Październik 2009 11:38

Elementem wspólnym dla wszystkich logów jest informacja o zainfekowanym sterowniku Atapi.sys

Niby problem naprawiany, ale komunikat:

Nic mi nie mówi.

Pobierz SystemLook i wklej w niego:

Look i pokazujesz log z szukania.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

rwojtkowiak · 10 Październik 2009 11:59

W między czasie skanowałem jeszcze antywirusem i tu C:\WINDOWS\system32\skipe znalazł trojana ale nie wiem czy sobie z nim poradził.

Oto logi:

SystemLook http://www.wklej.org/id/170607/

Combofix http://www.wklej.org/id/170609/

deFco247 · 10 Październik 2009 12:08

Sterownik jednak zainfekowany nie jest.

Folder został usunięty.

Log wygląda na czysty.

Start -> Uruchom… -> Combofix /u

Wykonaj pełny skan DR WEB CureIt.

Gdy będą wirusy pokaż raport.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

rwojtkowiak · 10 Październik 2009 16:14

ok zrobiłem wszystko zgodnie z instrukcją, na ten moment nie miałem komunikatu o zamknięciu explorera po uruchomieniu windowsa, DR WEB CureIt nie pokazał infekcji. Zastanawia mnie tylko czy skutecznie wszystko udało się wyleczyć, czy czasem znowu po odpaleniu combofixa nie wyświetli komunikatu o infekcji rollkit?

serdeczne dzięki za pomoc i poświęcony czas.