Rootkit - ukryty proces


(Damaroc) #1

Witam

Avast wykrył mi wirusa lecz niestety nie może sobie z nim poradzić, a po każdym restarcie sytemu pokazuje się taki komunikat:

rotkit.jpg

Wraz z problemem z nie chcianym rootkitem system nie zapamiętuje mi ustawień plików i folderów. (nie pokazuje ukrytych plików i folderów oraz z folderu Mój komputer kolejne otwiera foldery w innych oknach).

Korzystając z metody której udzielił mi wujek google.pl, a mianowicie z wpisem do rejestru poprzez plik fix.req zawierający:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

"Hidden"=dword:00000001

"ShowSuperHidden"=dword:00000001

Jedyną rzeczą jaką dał mi ten wpis do rejestru było zapamiętanie ustawień otwierania folderów w jednym oknie, niestety tak nie było w rzeczywistości.

Czy jest możliwe że ten wirus przeniósł się na mój komputer poprzez pendriva po mimo włączonych 2 antywirusów i uprzednim przeskanowaniu go?

Logi z hijacka

http://wklej.to/k7iH

Mam windowsa XP z service packiem 3. Regularnie przeprowadzam czyszczenie systemu za po pomocą easy cleanera oraz ccleanera, jak równie skanuje Adaware, który nie wykrywa nic na moich dyskach.

Proszę o pomoc.

EDIT:

Wykorzystałem jedne programów przedstawionych w tym temacie:

http://www.bezpieczenstwosystemow.pl/in ... pic=1647.0

I jak na razie żaden komunikat sie nie pojawia, ale w dalszym ciągu nie mogę się pozbyć problemu ustawień folderów.

EDIT2:

Jednak zbytnio się pośpieszyłem z entuzjazmem, znów pojawił sie komunikat avasta...

EDIT3:

Logi hijacka po działalności Malwerbytes'

http://wklej.to/SZ4h


(Henio Mazurek) #2

Jak najbardziej.

Tutaj konieczny jest log z OTL'a, wklej go. Z Hijackiem już nie wyjeżdżaj bo nie widzi tej infekcji w całości.

http://oldtimer.geekstogo.com/OTL.exe


(Damaroc) #3

Komputer jest po formacie windowsa.

Kolega powiedział żebym nie wchodził na D z dwu kliku tylko eksportuj --> pokaz ukryte pliki i foldery + pokaz pliki systemowe a następnie usunął autorun.ini z którym żaden antywirus nie dal sobie rady.

Teraz bd miał pewność ze jeżeli to pomoże to mam ten plik na pendrivie.

Jak nie pomoże to wkleję logi z OTL'a.


(Henio Mazurek) #4

O ile go zobaczysz. Ta infekcja może znacznie przemieszać w rejestrze o czym wczoraj u kolegi się przekonałem, że pomimo przestawiania opcji widoku pliki i foldery ukryte i systemowe nie były pokazane.

Prawdę mówiąc to ten format był jak strzał w stopę, bo OTL widzi tylko partycję systemową i skryptem już infekcji z innych dysków się nie usunie. A to znaczy, że musisz je usunąć ręcznie.


(Damaroc) #5

Dlatego po formacie muszę to zrobić ponieważ jeżeli wcześniej się wejdzie z dwu kliku to już go w ten sposób nie zobaczy.

Dlatego w tym momencie powtarzam format żeby się przekonać


(Leon$) #6

po co format

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

lub

Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5

:slight_smile:


(Henio Mazurek) #7

Tak jak Leon$ już napisał, przecież to drobnostka. A jak masz aktywne autoodtwarzanie to nawet bez dwukliku na dysku się zainfekujesz. Wiem, bo wczoraj koledze usunąłem infekcję ale nie chciał wyłączać autoodtwarzania. Dziś koleżanka przyniosła pendrive, tylko podłączył i już wirusek wrócił.


(Damaroc) #8

Juz po fakcie. Mam 2 komputery na biurku wiec to nie problem. Jak się nie uda po mojemu to zastosuje się do metody Leon$'a :wink:

EDIT. Udało mi się odsłonic pliki ukryte ale przeszukałem cały dysk i nie znalazłem pliku autorun.inf.

Zastosowałem sie to tej metody:

Pozostaje kwestia jak sprawdzić czy pomogło?

Metoda z CMD pomogła. Folder otwiera sie normalnie tylko trzeba zaraz po tej operacji wyczuscic rejestr i usunąć powstały na partycji folder autorun.inf. Potem jeszcze raz powtarzamy operacje przez CMD i jezeli wyskocz ze pliku nie odnaleziono to chyba jesteśmy w domu :wink:


(Henio Mazurek) #9

Tyle, że ta metoda usuwa plik autorun.inf z dysku i tworzy folder. Problem w tym, że ten folder jest kasowalny. Żeby przytwierdzić go na stałe trzeba z poziomu konsoli utworzyć wewnątrz niego plik z wadą nazwy, np w cmd dopisać

I powtórzyć tą operację (najpierw tą wcześniejszą, później tą co napisałem) dla każdego dysku.

Prostszą metodą jest użycie FlashDisinfector stąd, on wyłączy również autoodtwarzanie

http://www.searchengines.pl/index.php?s ... ntry369724

Zatem użyj go i przeskanuj dysk Kaspersky'm co podał Leon$.

Edit.

Tak, pomogło, ale po co usuwać coś co ma znaczenie ochronne. Lepiej na każdym dysku potworzyć ukryty niekasowalny folder autorun.inf. On w niczym nie przeszkadza a infekcja już nie zastartuje.