Rootkit - proszę o pomoc

Adriano98 (Adek5 92) 2010-03-13 11:50:46 UTC #1

Witam, wczoraj złapałem rootkita na komputerze, avast poinformował mnie o tym, że wirus znajduje się w win32 (nie pamiętam dokładnie pliku bo nie pomyślałem o zrobieniu screena) lecz nie dało się z nim nic zrobić, ponieważ avast nie dał rady go usunąć ani przenieść do kwarantanny. Przeskanowałem kompa na trybie awaryjnym i niby avast go usunął ale po restarcie pokazywał, że nadal jest lecz w innym pliku. Użyłem malwarebytes anti-malware i ad-aware se personal lecz nic nie wykryło, a wirusa chyba mam nadal bo strasznie mi muli internet i komputer. Prosiłbym o pomoc jak się tego syfu pozbyć.

deFco247 (deFco247) 2010-03-13 11:55:08 UTC #2

Przed uruchomieniem poniższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pokaż log z GMER.

Zawartość logów wklejasz na wklej.org, wklej.to lub nopaste.pl, a w poście dajesz link.

Adriano98 (Adek5 92) 2010-03-13 12:39:10 UTC #3

Odinstalowałem Daemon Toolsa, co do tego SPTDInst to nie mogłem wcisnąć uninstall bo się nie dało.

Log z GMER

http://wklej.to/wkVP

Dodam jeszcze, że ciągle restartuje się komputer nie wiem co się dzieje.

deFco247 (deFco247) 2010-03-13 12:56:37 UTC #4

Nie o ten log mi chodziło.

Sposób wykonania miał być taki: na zakładce Rootkit/malware przy zaznaczonych wszystkich polach wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj lub Zapisz.

W każdym razie w tym logu nie widać rootkita.

Wykonaj jeszcze log OTL.

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

Adriano98 (Adek5 92) 2010-03-13 18:34:55 UTC #5

z loga OTL wyszło coś takiego

http://www.nopaste.pl/ng2

Dam jeszcze jutro poprawnego loga z GMER bo dzisiaj przy skanowaniu na końcu zrestartował mi się komputer i wszystko szlak trafił.. a zaraz muszę wyjść z domu.

Przeskanowałem jeszcze dzisiaj avastem w trybie awaryjnym i wyszło coś takiego:

plik: C:\Documents and Settings\LocalService\Ustawienia lokalne\Tem

nazwa pasozyta: Win32:Adware-gen [Adw]

typ pasozyta: Reklamiarz

C:\Documents and Settings\Slawex\Ustawienia lokalne\Temp\jar_cache8545112677586640869.tmp\wedfd\HkdfkjX.class

Java:Djewers-H [Trj]

Koń trojański

avast nie dał rady tego skasować wiec poszperałem troche i skasowałem te dwa pliki:

jar_cache89521699118937061

jar_cache8545112677586640869

Mam nadzieje że nic nie spieprzyłem

deFco247 (deFco247) 2010-03-13 19:00:05 UTC #6

Zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

Adriano98 (Adek5 92) 2010-03-14 13:25:34 UTC #7

Log z GMER wygląda tak:

http://wklej.to/j35Y

a tutaj Combofix:

http://wklej.to/4NmG

deFco247 (deFco247) 2010-03-14 14:32:20 UTC #8

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

Adriano98 (Adek5 92) 2010-03-14 15:36:17 UTC #9

Log Combofix:

http://wklej.org/id/296568/

Mam nadzieje, że dobrze zrobiłem

deFco247 (deFco247) 2010-03-14 15:44:25 UTC #10

W logu już nic nie widać.

Wykonaj: Start -> Uruchom... -> Combofix /uninstall

Uruchom OTL i kliknij w nim CleanUp.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Adriano98 (Adek5 92) 2010-03-14 20:24:14 UTC #11

Wykonałem combofix/uninstall

uruchomiłem OTL i kliknąłem CleanUP

Zeskanowałem Dr.Web szybki skan, ponieważ przy uruchomieniu aplikacji nie można było nic zmienić.. (szybki skan nic nie wykrył) dopiero później zmieniłem na pełny skan lecz po 3/4 skanu zrestartował mi się komputer i mam teraz takie pytanie.. czy przy pełnym skanie można normalnie wykonywać prace na komputerze? Pytam się bo 3/4 skanu zajęło mi gdzieś 3h i wszystko szlak trafił, a jeżeli mam to robić ponownie to chce wiedzieć czy mogę coś robić czy nie.

Wyczyściłem rejestr i dysk CCleaner ale nie wiem o jakie zbędniki dokładnie chodzi, czy mam wyłączyć wszystko co mam w autostarcie?

deFco247 (deFco247) 2010-03-14 20:35:21 UTC #12

W czasie skanu raczej możesz pracować w systemie.

Alternatywnie możesz zeskanować Malwarebytes' Anti-Malware.

Tylko to co jest zbędne, czyli wymienione na stronie: http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

Adriano98 (Adek5 92) 2010-03-14 22:10:04 UTC #13

Przeskanowałem programem Malwarebytes i nic nie wykryło.

Wyłączyłem zbędniki które były na stronie.

Swoją drogą nie wiem czemu Dr.Web tak długo skanuje komputer, w malwarebytes przeskanował w 1godzine.

Czy wszystko jest w porządku czy muszę jeszcze coś robić ?

deFco247 (deFco247) 2010-03-15 09:36:59 UTC #14

Wszystko powinno być w porządku.

Adriano98 (Adek5 92) 2010-03-15 12:10:48 UTC #15

W takim razie nie pozostaje mi nic innego jak podziękować.

Dzięki wielkie deFco

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem