Rootkit -"Win32:Rootkit-gen [Rtk

system · 1 Listopad 2008 23:51

Log z ComboFix : http://wklejto.pl/13772

huber2t · 2 Listopad 2008 05:00

W logu nic nie widzę

system · 2 Listopad 2008 08:29

Wyglądałoby więc,że te wszystkie starania odniosły porządany skutek ?

W : C:\Qoobox\Quarantine\C\WINDOWS\system32 - pozostały dwa pliki : spakowany “cmuti.dll.zip” ( i tu przebywa sobie ów Win32:Rootkit-gen[Rtk], a od którego to zacząła się ta cała “zabawa” ) oraz drugi plik o nazwie “cmuti.dll.vir” - czy można je ręcznie usunąć z komputera ?

Próbuje też zlokalizowac miejsce do którego przeniósł / usunął zarażone i podejrzane pliki program Dr Web Curelt (coś nie mogę znaleźć…ale już jest , pod adresem : C:\Documents and Settings\Neo\DoctorWeb\Quarantine - czy to też? będzie można skasować z komputera ?

spandaupol · 2 Listopad 2008 09:56

Tak usuń folder C:\Qoobox oraz opróżnij kwarantanne DrWeb

system · 2 Listopad 2008 10:59

Usunąłem więc to dziadostwo z komputera

Po restarcie , włączyłem ponownie pełne skanowanie Dr Web-a . Trochę to potrwa , a później zapodam info.

Gutek · 2 Listopad 2008 11:13

Ok czekamy na wynik, lecz skoro pliki jak były w Quarantine to nie było powoodu do zmartwień

system · 2 Listopad 2008 17:04

Oto raport z Dr Weba-a :

A0005300.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP23;Prawdopodobnie BATCH.Virus;;

A0005378.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Prawdopodobnie BATCH.Virus;;

A0005462.exe\32788R22FWJFW\C.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005462.exe;Prawdopodobnie BATCH.Virus;;

A0005462.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005462.exe;Program.PsExec.171;;

A0005462.exe;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;

A0005463.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Prawdopodobnie BATCH.Virus;;

A0005464.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Program.PsExec.170;;

A0005465.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Prawdopodobnie BATCH.Virus;;

A0005466.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Program.PsExec.170;;

A0005467.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Prawdopodobnie BATCH.Virus;;

A0005468.EXE;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Program.PsExec.170;;

A0005469.exe\32788R22FWJFW\C.bat;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005469.exe;Prawdopodobnie BATCH.Virus;;

A0005469.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005469.exe;Program.PsExec.171;;

A0005469.exe;C:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;

ComboFix.exe\32788R22FWJFW\C.bat;E:\DOWNLOAD\ComboFix\ComboFix.exe;Prawdopodobnie BATCH.Virus;;

ComboFix.exe\32788R22FWJFW\psexec.cfexe;E:\DOWNLOAD\ComboFix\ComboFix.exe;Program.PsExec.171;;

ComboFix.exe;E:\DOWNLOAD\ComboFix;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;

A0005366.exe\32788R22FWJFW\C.bat;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP23\A0005366.exe;Prawdopodobnie BATCH.Virus;;

A0005366.exe\32788R22FWJFW\psexec.cfexe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP23\A0005366.exe;Program.PsExec.171;;

A0005366.exe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP23;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;

A0005505.exe\32788R22FWJFW\C.bat;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005505.exe;Prawdopodobnie BATCH.Virus;;

A0005505.exe\32788R22FWJFW\psexec.cfexe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24\A0005505.exe;Program.PsExec.171;;

A0005505.exe;E:\System Volume Information_restore{4F3A8D12-12F4-4F43-84F5-92892FB17414}\RP24;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;

Czy ,aby to usunąć już na stałe , muszę wyłączyć funkcję przywracania systemu i po kolei kasować konkretne ścieżki ?

Gutek · 2 Listopad 2008 21:28

Prawoklik na Mój Komputer>>>>Właściwości>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.

system · 2 Listopad 2008 22:36

Nie mogłem wejść do System Volume Infirmation - jednak po skorzystaniu z biuletynu http://support.microsoft.com/kb/309531/pl i nadaniu sobie samemu dodatkowych uprawnień (System Windows XP Professional korzystający z systemu plików NTFS w grupie roboczej lub na komputerze autonomicznym) już na spokojnie wywaliłem wszystko co tam było .

Po ponownym włączeniu przywracania systemu i restarcie Dr Web skanuje w tej chwili cały system raz jeszcze i mam nadzieję,że już nic złego nie znajdzie.

Oczywiście dam później info.

Gutek · 2 Listopad 2008 23:11

Ok czekam

system · 2 Listopad 2008 23:50

Czysto

Dr Webb nic nie znalazł.

Wygląda więc na to ,że to już koniec…

Serdecznie dziękuję wszystkim , ktorzy udzielali mi pomocnych wskazówek.

Co my byśmy bez Was zrobili