Rootkit w qandr.sys


(P29011991) #1

Witam

Mój antywirus wykrył rootkita w pliku qandr.sys, rozszerzenie .sys nasuwa mi myśl, że jest to plik systemowy, czy mam go usunąć?

Dziękuje za odpowiedzi :wink:


(huber2t) #2

Podaj log z Combofix

Usuń ten plik


(P29011991) #3

Jeszcze nie zainstalowałem, ale naprawie ten błąd za niedługo będą

Dzięki za zainteresowanie

W dniu 31.05.2008 , o godzinie 10:39 został dopisany post przez nowator

Oto i logi:

http://wklej.org/id/947bb8af72


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\drivers\qandr.sys 

C:\WINDOWS\system32\aaeuqqod.tmp

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org


(P29011991) #5

Zrobiłem jak napisałeś oto logi:

http://wklej.org/id/8cd39a58d7


(huber2t) #6

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.


(P29011991) #7

Zrobiłem wszystko wg instrukcji, logi z kaspersky: http://www.wklej.org/id/6d4ccc3ece :wink: :wink:


(huber2t) #8

Przeskanu obszar twojego komputera i wtedy daj log na forum


(P29011991) #9

OK chwile to potrwa

W dniu 31.05.2008 , o godzinie 13:42 został dopisany post przez nowator

A oto i logi;

http://www.wklej.org/id/92233400f2

Dzięki


(huber2t) #10

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP26\A0002386.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP26\A0002388.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP26\A0002518.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP26\A0002569.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP27\A0002962.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP27\A0002981.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP31\A0003074.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP31\A0003076.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP31\A0003170.exe

E:\System Volume Information\_restore{F9A9F881-2F11-4923-9C87-976B42C35B87}\RP31\A0003211.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja


(P29011991) #11

I logi z The Avenger http://www.wklej.org/id/9f742cc554


(huber2t) #12

Zainfekowane pliki zostały usunięte powinno byc ok :slight_smile:


(P29011991) #13

Wielkie dzięki szacun sie należy