Rootkit - zablokowany antywirus i programy diagnostyczne


(Reticxe) #1

Witam,

Złapałem jakiegoś paskudnego rootkita. Być może jego nazwa to wintems.exe, gdyż w pewnym momencie wyświetlił mi się taki błąd. Komputer wolniej działa, antywirus Avast został zablokowany, nie mogę uruchomić HijackThis i ComboFix (wyświetla się, że nie jest aplikacją Win32), ponadto nie mogę odtwarzać dźwięku - błąd ze sterownikami.

Logi Silent Runners: http://wklejto.pl/14193

Aplikacji Gmer również nie mogę uruchomić, udało mi się za to przeskanować system Catchme. Oto log: http://wklejto.pl/14188

Proszę o pomoc.

Pozdrawiam.


(Spandau) #2

Pobierz Malwarebytes' Anti-Malware Instrukcja i program tutaj http://cybertrash.pl/Tata/MBAM/Malwareb ... lware.html przeskanuj wszystkie dyski i daj log na forum. Jeśli program się nie uruchomi to:

Pobierz System Repair Engineer Instrukcja i program tutaj http://www.cybertrash.pl/images/tata/Sy ... ineer.html przeskanuj system i daj log na forum


(Reticxe) #3

http://wklejto.pl/14266


(Leon$) #4

należało to co znajdzie Malware zaznaczyć i usunąć


(Reticxe) #5

Tak też zrobiłem, ale nadal nie mogę uruchomić HijackThis i mam problemy z dźwiękiem.


(Reticxe) #6

Prawdopodobnie mam robaka Bagle. Sytuacja u mnie przedstawia się w następujący sposób:

Po ponownym przeskanowaniu systemu programem Malwarebytes odnajdywany jest nieprawidłowy wpis

Gdy próbuję go usunąć, program informuje mnie, że całkowite usunięcie wpisu będzie możliwe po ponownym uruchomieniu komputera. Jednak po restarcie Malwarebytes znowu wykrywa ten sam wpis, a czasem nawet pojawiają się nowe - te, które wcześniej usunąłem: http://wklejto.pl/14286

Uruchomienie HijackThis i ComboFix jest niemożliwe (nawet po użyciu UnHookExec.inf i exefix.reg). Wyświetla się komunikat

Próbowałem uruchomić "zakamuflowaną" wersję HijackThis.com, aby nie wykrył go robak: viewtopic.php?t=220732 , jednak program wyłącza się po kilku sekundach, zanim zdążę wygenerować logi.

Próbowałem także uruchomić Windowsa w trybie awaryjnym, po uprzednim użyciu SafeBootKeyRepair.exe. Jednak program znajduje jakiś błąd: http://wklejto.pl/14287 , a trybu awaryjnego nie da się uruchomić.

Nadal mam problemy z dźwiękiem:

beztytuuhd1.th.pngthpix.gif


(Spandau) #7

Pobierz System Repair Engineer Instrukcja i program tutaj http://www.cybertrash.pl/images/tata/Sy ... ineer.html przeskanuj system i daj log na forum


(Reticxe) #8

http://wklejto.pl/14330


(Spandau) #9

Uruchom System Repair Engeneer zakładka Boot Items - Services - Drivers - odszukaj i usuń

Uruchom System Repair Engeneer zakładka System Repair - Browser Adds On - odszukaj i usuń

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

Jeśli się nie uda to

Pobierz Malwarebytes' Anti-Malware Instrukcja i program tutaj http://cybertrash.pl/Tata/MBAM/Malwareb ... lware.html

Uruchom program zakładka Narzędzia - Uruchom File Assassin - znajdź i usuń

Następnie pobierz Combofix przeskanuj system i daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka


(Reticxe) #10

Niestety, wciąż nie mogę uruchomić ComboFixa, a także The Avenger, HijackThis i Gmera. Bagle ciągle blokuje uruchamianie programów diagnostycznych, a tryb awaryjny nie działa. Zrobiłem tyle co byłem w stanie za pomocą Malwarebytesa, ale robak się odbudowuje.


(Spandau) #11

Zrozumiałem że za pomocą File Assassin w Malwarebyte możesz usuwać pliki więc zrób tak

Uruchom program zakładka Narzędzia - Uruchom File Assassin - znajdź i usuń

Następnie pobierz Malwarebytes' Anti-Malware Instrukcja i program tutaj http://cybertrash.pl/Tata/MBAM/Malwareb ... lware.html przeskanuj wszystkie dyski i usuń wszystko co znajdzie

Następnie pobierz Combofix spróbuj uruchomić przeskanuj system i daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

Zobacz też usuwanie Bagle http://www.searchengines.pl/Usuwanie-ro ... 06680.html

Pobierz Kaspersky Removal Tool http://www.searchengines.pl/index.php?showtopic=18695 usuń wszystko co znajdzie.


(Reticxe) #12

Nareszcie jakiś postęp. Udało mi się zrobić wszystko według tamtej instrukcji.

Logi ComboFix: http://wklejto.pl/14378

Logi HijackThis: http://wklejto.pl/14379


(Spandau) #13

Logi wyglądają na czyste.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!


(system) #14

Dla sprostowania - nie musi uruchamiać Kasperskiego przez IE - teraz przepisali na Jave i działa pod każdą przeglądarką.


(Reticxe) #15

Zrobione. Nic nie znalazło. Już myślałem, że czeka mnie format.

Wielkie dzięki! :slight_smile: