Rootkit WIn32:Evo-Gen na laptopie


(DiamondBack) #1

Dostałem laptopa Vista x86 i żaden AV nawet z poziomu bootowalnego CD nie chce go usunąć.

 

FRST:

http://www.wklej.org/id/1446907/

Addition

http://www.wklej.org/id/1446906/


(krzych5610) #2

Pobierz na pulpit i uruchom RogueKiller - http://www.dobreprog...dows,39028.html.

Pobierasz wersję, odpowiednią do zainstalowanego systemu operacyjnego, z poziomu Wszystkie wersje.

Po uruchomieniu i wykonaniu przez program skanu wstępnego, potwierdzasz zgodę na wykonanie skanowania pełnego.

Zaznaczasz do usunięcia wszystkie pozycje  zaznaczone na czerwono / pomarańczowo.

Zaznacz do usunięcia pliki HOSTS. Zostanie przywrócony systemowy..

Pozycje szare - też do usunięcia. W tym przypadku zostaną też usunięte ustawione DNS. System przełączony zostanie na tryb automatyczny.wyboru IP i DNS.

Aby tego uniknąć nie zaznaczasz do usunięcia pozycji z wpisami DNS. Radzę jednak to zrobić.

Pokaź raporty z tego skanowania.

Pokaż aktualne raporty FRST


(Acorus) #3

Odinstaluj Spybot - Search & Destroy.Otwórz Notatnik i wklej:

HKU\S-1-5-21-1539277706-2739929349-2498153432-1000\...\MountPoints2: G - G:\Autorun\Autorun.exe
HKU\S-1-5-21-1539277706-2739929349-2498153432-1000\...\MountPoints2: {1988a08f-a061-11df-b8fa-00214fbf17a2} - G:\Install.exe
HKU\S-1-5-21-1539277706-2739929349-2498153432-1000\...\MountPoints2: {62a5f649-4c38-11e1-b999-00214fbf17a2} - I:\Autorun.exe
HKU\S-1-5-21-1539277706-2739929349-2498153432-1000\...\MountPoints2: {799693ac-0e90-11de-bbae-806e6f6e6963} - G:\Autorun.exe
HKU\S-1-5-21-1539277706-2739929349-2498153432-1000\...\MountPoints2: {fe9359e4-0e4f-11de-a79a-00214fbf17a2} - G:\em8tqm.cmd
HKU\S-1-5-21-1539277706-2739929349-2498153432-1000\...\MountPoints2: {fe9359e8-0e4f-11de-a79a-00214fbf17a2} - H:\em8tqm.cmd
HKU\S-1-5-21-1539277706-2739929349-2498153432-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2926592 2009-04-11] (Microsoft Corporation) ==== ATTENTION
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
CHR HKLM\...\Chrome\Extension: [fkmkpnjoioaielnmocemighdcejngela] - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\EpuapSign.crx [2012-11-08]
S4 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
Hosts:
2014-08-18 07:51 - 2014-08-18 07:51 - 00000000 __SHD () C:\found.000
2014-08-23 00:02 - 2009-12-22 00:15 - 00000438 _____ () C:\Windows\system32\Drivers\etc\hosts.ics
C:\Users\admin\AppData\Roaming\skype.ini
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(DiamondBack) #4

Fixlog

http://wklej.to/8O8cC

 

Wciąż wyskakują przy starcie komunikaty by włożyć płytę i rootkit siedzi.

 

FRST:

http://wklej.org/id/1447326/

 

Addition:

http://wklej.org/id/1447327/


(Acorus) #5

Przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl


(DiamondBack) #6

Dr.WEB nie wykrył zagrożeń.


(Atis) #7

Napisz dokładnie gdzie wykrywa tego wirusa. Nazwa i lokalizacja zainfekowanego pliku.

W tym logu widać, że podłączałeś jakieś zainfekowane urządzenie pod USB: G:\em8tqm.cmd

Teraz nie jest podłączony dysk G, ale podobny plik był na H.

Pokaż raport UsbFix z opcji Listing.


(DiamondBack) #8

Wygląda na to, że to false-positive avasta. 

Ten plik to niby: C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe

 

 

Logu z USB fix nie wrzucam, bo laptop nie mój i pewnie któreś z urządzeń właściciela może wywoływać ten komunikat. Zmieniam AV na AVG i jeśli ten nie będzie straszył to sprawa załatwiona.

 

AVG i inne nic nie wykrywają. Dzięki za pomoc :slight_smile: Temat zamknięty.