Rootkit Win32:Qandr [Rtk]

ekran · 8 Maj 2010 06:24

Witam,

Proszę o pomoc w naprawie systemu. W dniu wczorajszym Avast wykrył mi kilkadziesiąt zainfekowanych plików .sys rootkitem o nazwie Win32:Qandr [Rtk].

Po usunięciu błędów i restarcie komputera, system działa strasznie wolno. Nie uruchamiają się strony internetowe, programy (np. DVBDream, Allplayter, GG) i menu start. Co jakiś czas zwiesza się obraz Explorera (znika pulpit i zostaje tylko tapeta).

W trybie awaryjnym można przynajmniej otworzyć strony internetowe.

Poniżej wklejam logi robione w trybie awaryjnym.

Log z Avasta http://www.wklej.org/id/329959/

Log z OTL http://www.wklej.org/id/330077/

Log Extras http://www.wklej.org/id/330078/

Log z GMER http://www.wklej.org/id/330076/

z góry dziękuję za pomoc!

Leon1 · 8 Maj 2010 09:48

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

:OTL O4 - HKU.DEFAULT…\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found O4 - HKU\S-1-5-18…\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found O4 - HKU.DEFAULT…\RunOnce: [] File not found O4 - HKU\S-1-5-18…\RunOnce: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [] File not found O4 - HKU\S-1-5-20…\RunOnce: [] File not found O4 - HKU\S-1-5-21-1715567821-1214440339-725345543-500…\RunOnce: [] File not found O4 - Startup: C:\Documents and Settings\Dell\Menu Start\Programy\Autostart\wwwzuc32.exe (Ghisler Software GmbH) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … mv9VCM.CAB (Reg Error: Key error.) O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} http://srtest-cdn.systemrequirementslab … detect.cab (Reg Error: Key error.) O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} http://download.divx.com/webplayer/stag … Plugin.cab (Reg Error: Key error.) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan

ekran · 8 Maj 2010 09:58

Log po Fixie z OTL http://www.wklej.org/id/330097/

Nowy Log z OTL http://www.wklej.org/id/330106/

Log Extras http://www.wklej.org/id/330108/

Leon1 · 8 Maj 2010 10:10

stosowałeś Combofix pokaż log

Start >> wyszukaj >> ComboFix.txt

potem Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

W OTL kilknij CleanUp

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

możesz włączyć przywracanie

zainstaluj nową javę http://java.com/pl/download/

jessica · 8 Maj 2010 11:02

Wcale się nie dziwię, bo AVAST usunął pliki Systemowe, zamiast je wyleczyć.

Być może System sam je zrekonstruował?

Sprawdź, czy w folderze C:\WINDOWS\system32\ drivers

są te pliki:

, a jeśli nie ma, to ściągnij je stąd:

http://www.speedyshare.com/files/22327354/aec.sys

http://www.speedyshare.com/files/22327392/asyncmac.sys

http://www.speedyshare.com/files/22327405/atmarpc.sys

http://www.speedyshare.com/files/22327441/cdaudio.sys

http://www.speedyshare.com/files/22327459/dmusic.sys

http://www.speedyshare.com/files/22327474/drmkaud.sys

http://www.speedyshare.com/files/22327498/ip6fw.sys

http://www.speedyshare.com/files/22327512/ipfltdrv.sys

http://www.speedyshare.com/files/22327526/ipinip.sys

http://www.speedyshare.com/files/22327530/irenum.sys

http://www.speedyshare.com/files/22327594/modem.sys

http://www.speedyshare.com/files/22327618/mskssrv.sys

http://www.speedyshare.com/files/22327622/mspclock.sys

http://www.speedyshare.com/files/22327627/mspqm.sys

http://www.speedyshare.com/files/22327668/nwlnkflt.sys

http://www.speedyshare.com/files/22327678/nwlnkfwd.sys

http://www.speedyshare.com/files/22327707/processr.sys

http://www.speedyshare.com/files/22327718/rdpwd.sys

http://www.speedyshare.com/files/22327744/secdrv.sys

http://www.speedyshare.com/files/22327754/sfloppy.sys

http://www.speedyshare.com/files/22327771/splitter.sys

http://www.speedyshare.com/files/22327786/swmidi.sys

http://www.speedyshare.com/files/22327799/tdpipe.sys

http://www.speedyshare.com/files/22327806/tdtcp.sys

http://www.speedyshare.com/files/22327829/usbstor.sys

i umieść w folderze C:\WINDOWS\system32\ drivers \

Avast usunął też m.in sterownik Twojej karty sieciowej, sterownik NOKII, sterownik SONY (chyba kamerka?), itd, ale ja tych plików nie mam, więc Ci nie podeślę.

jessi

deFco247 · 8 Maj 2010 11:11

Start -> Uruchom… -> devmgmt.msc -> odszukaj urządzenia z wykrzyknikami i nam je tutaj podaj.

ekran · 8 Maj 2010 13:41

Wiec tak,

Wgralem nowe pliki systemowe.

Log z ComboFixa: http://www.wklej.org/id/330260/

Urzadzenia z wykrzyknikami to:

Microsoft Kernel Acoustic Echo Canceller

Microsoft Kernel Audio Splitter

Microsoft Kernel DRM Audio Desrambler

Syntezator tablicy dźwięków WAVE Microsoft Kernel GS

Log z OTL: http://www.wklej.org/id/330254/

Log Extras: http://www.wklej.org/id/330258/

deFco247 · 8 Maj 2010 13:44

Z prawokliku je odinstaluj i zrestartuj system.

W logach nic nie ma. W OTL kliknij CleanUp.

Obowiązkowo zaktualizuj system:

XP Service Pack 3

ekran · 9 Maj 2010 06:50

Zrobione!

Dzieki wielkie za pomoc!