Rootkit w qandr.sys

nowator · 31 Maj 2008 08:15

Witam

Mój antywirus wykrył rootkita w pliku qandr.sys, rozszerzenie .sys nasuwa mi myśl, że jest to plik systemowy, czy mam go usunąć?

Dziękuje za odpowiedzi

huber2t · 31 Maj 2008 08:17

Podaj log z Combofix

Usuń ten plik

nowator · 31 Maj 2008 08:39

Jeszcze nie zainstalowałem, ale naprawie ten błąd za niedługo będą

Dzięki za zainteresowanie

W dniu 31.05.2008 , o godzinie 10:39 został dopisany post przez nowator

Oto i logi:

http://wklej.org/id/947bb8af72

huber2t · 31 Maj 2008 08:43

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\drivers\qandr.sys 

C:\WINDOWS\system32\aaeuqqod.tmp

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

nowator · 31 Maj 2008 09:01

Zrobiłem jak napisałeś oto logi:

http://wklej.org/id/8cd39a58d7

huber2t · 31 Maj 2008 09:06

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

nowator · 31 Maj 2008 10:14

Zrobiłem wszystko wg instrukcji, logi z kaspersky: http://www.wklej.org/id/6d4ccc3ece

huber2t · 31 Maj 2008 10:16

Przeskanu obszar twojego komputera i wtedy daj log na forum

nowator · 31 Maj 2008 11:42

OK chwile to potrwa

W dniu 31.05.2008 , o godzinie 13:42 został dopisany post przez nowator

A oto i logi;

http://www.wklej.org/id/92233400f2

Dzięki

huber2t · 31 Maj 2008 11:44

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP26\A0002386.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP26\A0002388.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP26\A0002518.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP26\A0002569.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP27\A0002962.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP27\A0002981.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP31\A0003074.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP31\A0003076.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP31\A0003170.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP31\A0003211.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

nowator · 31 Maj 2008 11:55

I logi z The Avenger http://www.wklej.org/id/9f742cc554

huber2t · 31 Maj 2008 11:56

Zainfekowane pliki zostały usunięte powinno byc ok

nowator · 31 Maj 2008 11:57

Wielkie dzięki szacun sie należy