Rootkit win32:rootkit-gen [Rtk]


(Lakusz Mac) #1

Hej w ciągu tygodnia drugi raz dopadł mnie ten rootkit, za pierwszym razem potraktowałem go CF, ale potem miałem trochę roboty, bo przestało mi działać kilka programów, tym razem chciałbym załatwić go bardziej punktowo, ale w logach z HJ nie widzę nic nadzwyczajnego :frowning:

http://www.wklej.eu/index.php?id=ab48d2bae5

a tu z OTL:

http://www.wklej.eu/index.php?id=0d53601562

może ktoś pomóc ?

mam podejrzenia co do :

2010-04-22 19:05:48 | 000,031,232 | ---- | C -- C:\WINDOWS\NIRCMD.exe

2010-04-22 19:05:47 | 000,212,480 | ---- | C -- C:\WINDOWS\SWXCACLS.exe

2010-04-22 19:05:47 | 000,161,792 | ---- | C -- C:\WINDOWS\SWREG.exe

2010-04-22 19:05:47 | 000,136,704 | ---- | C -- C:\WINDOWS\SWSC.exe

oraz

2010-04-22 19:07:24 | 000,262,400 | ---- | C -- C:\cmldr

2010-04-22 19:05:48 | 000,077,312 | ---- | C -- C:\WINDOWS\MBR.exe

2010-04-22 19:05:47 | 000,261,632 | ---- | C -- C:\WINDOWS\PEV.exe

2010-04-22 19:05:47 | 000,098,816 | ---- | C -- C:\WINDOWS\sed.exe

2010-04-22 19:05:47 | 000,080,412 | ---- | C -- C:\WINDOWS\grep.exe

2010-04-22 19:05:47 | 000,068,096 | ---- | C -- C:\WINDOWS\zip.exe


(jessica) #2

Obiekty, które uważasz za podejrzane - sa prawidłowe, to np. obiekty ComboFixa.

W logu nie widać żadnej infekcji. Nie napisałeś nawet, gdzie (ścieżka) wykrywany jest ten Rootkit?

jessi