Hej, mój avast zaczął monitować o Rootkicie w Msdtc.exe “Win32:Malware-gen”. Wczoraj przywróciłem sobie system z Ghosta i wszystko było okej ale po jakimś czasie znowu to samo. Myślałem, że może coś świruje (po aktualizacji bazy wirusów) i próbowałem ogarnąć sytuację instalując AVG zamiast niego, lecz przy próbie instalacji otrzymuję komunikat, który mowi, że najpierw muszę pozbyć się aplikacji o nazwie Rootkit. Poniżej logi z OTL. Czy ktoś może się przyjrzeć? Pozdrawiam.
OTL
OTL Extras
Po usunięciu za pośrednictwem AdwCleanera i zrestartowaniu mam dziwną sytuację. Migają mi co kilkanaście sekund okienka cmd (w sumie ok. sekundy) i w każdym coś pisze, ale nie jestem w stanie przeczytać co. Zauważyłem tylko że to okna net.exe i w środku coś piszę o Symsnamservice. Wczoraj zanim zdecydowałem się uruchomić Ghosta miałem identyczną sytuację. Proszę oto nowy log 
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
DRV - File not found [Kernel | Boot | Stopped] -- -- (mv64xx)
DRV - File not found [Kernel | Boot | Stopped] -- -- (mv61xx)
[2014-01-14 15:44:03 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-14 14:00:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\.android
[2014-01-14 14:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\cache
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Uruchom OTL i kliknij Sprzątanie.
Zrobiłem. Po restarcie ponownie wyskakują okienka cmd. Nadal nie mogę zainstalować AVG. Nowy log z OTL:
AVG znany jest z tego, że wymyśla nie istniejące rootkity.
Może chodzi o sterownik od wirtualnego napędu sptd.
Pobierz i uruchom TDSSKiller
Nie zmieniaj żadnych ustawień tylko zatwierdź akcje zalecane przez program.
Pokaż raport z TDSSKiller zapisnany na: C:\TDSSKiller.wersja_data_czas_log.txt.
Okienka związane są z Nortonem, bo usługa od tego programu nazywa się SymSnapService.
SRV - [2009-09-21 19:19:20 | 001,964,528 | ---- | M] (Symantec) [On_Demand | Running] -- C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe -- (SymSnapService)Nie widać infekcji.
Uruchom SPTDinst i kliknij Uninstall.
Zrestartuj komputer i sprawdź czy AVG nadal coś wykrywa.
AVG nadal nie chce się zainstalować. Aplikacja powodująca konflikt: Rootkit. Chyba wrócę do Avasta który mi go też wykrył i zobaczymy teraz. Mogę Ghosta wywalić manualnie i wyczyścić rejestr? czy w systemie zostanie mały bajzel?
edit: Avast przeprowadził skan i niestety wykrył Win32:Malware-gen w msdtc.exe.
Pewnie Avast popełnia błąd. Przeskanuj ten plik na VirusTotal:
Pobierz i uruchom Gmer (Download EXE)
Na czas skanowania wyłącz wszystkie programy.
Nie zmieniaj żadnych ustawień tylko kliknij Szukaj.
Po zakończeniu skanowania kliknij Zapisz i pokaż raport.
Tryb uruchomienia usługi ustaw na Ręczny lub Wyłączony.
Kliknij prawym na Mój Komputer > Zarządzaj > Usługi
Nie widać żadnego rootkita. Chodzi o usługę która powoduje problem.
Skąd mam wiedzieć w jaki sposób używasz tego Nortona?
Jeżeli regularnie tworzysz kopię to pewnie usługa musi działać, więc reinstaluj ten program.
Jeśli nie używasz tego programu to całkowicie odinstaluj.
Odinstaluj stare sterowniki z 2007:
DRV - [2007-01-31 14:33:46 | 000,005,632 | ---- | M] (GRISOFT, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\avgarkt.sys -- (AVG Anti-Rootkit)
DRV - [2007-01-18 13:00:28 | 000,003,968 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AvgArCln.sys -- (AvgArCln)
Kliknij prawym na Mój Komputer -> Zarządzaj -> Menedżer Urządzeń
W menu Widok zaznacz Pokaż ukryte urządzenia
Rozwiń gałąź Sterowniki niezgodne z Plug and Play i odinstaluj:
AVG Anti-Rootkit
AvgArCln
Kliknij prawym i wybierz Odinstaluj.
Niestety po wszystkich zabiegach system “klęknął”. Włączał się bardzo bardzo długo po czym obciążenie procesora było cały czas na poziomie 98-100%. Nie byłem w stanie zdiagnozować, jaki proces tak pożera jego zasoby, gdyż były one “losowo” przydzielane do różnych, znanych mi procesów. Jako, że nie byłem w stanie kompletnie nic zdziałać na tym systemie to odpaliłem Ghosta z pendrive’a i wgrałem go na nowo. Po tym zabiegu odistalowałem Ghosta, avasta i zainstalowałem AVG - przeskanowałem komputer i nie wykrył nic. Jedyną rzeczą którą wcześniej robiłem po zainstalowaniu systemu było wgranie back-upu mojej przeglądarki (opera - może stąd ta infekcja?) oraz aktualizacja bazy wirusów. Teraz wszystko jest w porządku, więc dziękuję bardzo za pomoc i myślę, że tę chwilę można zamknąć temat Pozdrawiam.