system
(system)
16 Kwiecień 2010 19:05
#1
Witam.
Pewnego razu zauważyłem, że od pewnego czasu żadne antywirusy mi nic nie wykrywają (a na pewno jakieś wirusy są). Gdzieś wyczytałem, że rootkity mogą przejąć kontrolę nawet nad antywirusem. Folder mój komputer, gdy się otwiera to trzeba poczekać jakieś 10 sekund zanim pokażą się wszystkie ikonki (wcześniej jest tylko białe tło). Ale najważniejszy powód jest taki, że w program AVG Anti-Rootkit Free znalazł rootkita w folderze C:\WINDOWS\system32\drivers . Nie usuwałem tego, bo nie wiem czy to może nie popsuć systemu. Wklejam loga z OTL i proszę o pomoc. Z góry bardzo dziękuję i jednocześnie proszę o wyrozumiałość, bo robię to pierwszy raz.
log z OTL: http://www.wklejto.pl/64121
Pozdrawiam
Marpop92.
deFco247
(deFco247)
16 Kwiecień 2010 20:14
#2
Jeśli faktycznie rootkit siedzi tam gdzie podałeś, to OTL tego nawet nie zauważy.
W tych przypadkach obowiązkowy jest log z GMER .
Przed uruchomieniem powyższych narzędzi odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
system
(system)
16 Kwiecień 2010 22:21
#3
Oto log z programu GMER:
http://www.wklejto.pl/64152
Byłbym wdzięczny, gdyby ktoś mógł przeanalizować log z OTL, który umieściłem w pierwszym poście - jestem pewien, że specjalista znajdzie tam jakieś szkodliwe oprogramowanie.
deFco247
(deFco247)
17 Kwiecień 2010 10:00
#4
Byłbym wdzięczny, gdyby ktoś mógł przeanalizować log z OTL, który umieściłem w pierwszym poście - jestem pewien, że specjalista znajdzie tam jakieś szkodliwe oprogramowanie.
Ja jestem jednym z tych specjalistów i już przeanalizowałem ten log. Inaczej niewielu by wiedziało, że OTL nie widzi tego typu infekcji (rootkit).
Tak faktycznie w logu GMER też nie widać infekcji rootkitem. Jedyne co można by obarczać podejrzeniem o te alarmy to pozostałości po AVG Anti-rootkit.
Kosmetycznie w białe dolne okno Custom Scans/Fixes OTL wklej:
:OTL DRV - [2007-01-31 15:33:46 | 000,005,632 | ---- | M] (GRISOFT, s.r.o.) [Kernel | Boot | Running] – C:\WINDOWS\System32\DRIVERS\avgarkt.sys – (AVG Anti-Rootkit) DRV - [2007-01-18 14:00:28 | 000,003,968 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] – C:\WINDOWS\system32\drivers\AvgArCln.sys – (AvgArCln) O3 - HKLM…\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O33 - MountPoints2{28377330-a4e5-11de-ac81-001f1f054eab}\Shell\AutoRun\command - “” = nqdymj.exe O33 - MountPoints2{28377330-a4e5-11de-ac81-001f1f054eab}\Shell\open\Command - “” = nqdymj.exe MsConfig - StartUpReg: ASUS SmartDoctor - hkey= - key= - C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe File not found MsConfig - StartUpReg: AVG8_TRAY - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: Sony Ericsson PC Suite - hkey= - key= - Reg Error: Value error. File not found :Commands [emptytemp] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
system
(system)
17 Kwiecień 2010 11:29
#5
Mam to wkleić w OTL i kliknąć Run Fix tak?
Jak można dokładnie sprawdzić czy nie mam w systemie rootkita?
Mój antywirus nic nie wykrywa, bo nie mam wirusów na kompie?
deFco247
(deFco247)
17 Kwiecień 2010 11:37
#6
Zapomniałem dopisać instrukcję na końcu poprzedniego posta. Już poprawiłem.
system
(system)
17 Kwiecień 2010 12:06
#7
Mam pewien problem. Nie pamiętam co trzeba zaznaczyć w ustawieniach OTL, a obrazek w temacie “OTL, GMER, RSIT, DDS i inne instrukcje” nie działa.
deFco247
(deFco247)
17 Kwiecień 2010 12:08
#8
system
(system)
17 Kwiecień 2010 12:18
#9
Dziękuje. Zaraz wstawię log z usuwania i log z skanu.
Już komputer uruchomił się ponownie po usuwaniu wpisów i teraz chcę zrobić ponowne skanowania, ale nie wiem czy teraz też w dolne okno wkleić to:
system
(system)
17 Kwiecień 2010 12:41
#11
A jeśli przeskanowałem razem z tym tekstem wklejonym to wstawić?
log z usuwania: http://www.wklejto.pl/64202
log ze skanu po usuwaniu i restarcie systemu: http://www.wklejto.pl/64203
Log ze skanu jest z wklejonym w programie tym tekstem:
Mogę zrobić jeszcze raz bez tego teksu.
deFco247
(deFco247)
17 Kwiecień 2010 13:29
#12
Nie jest potrzebny ponowne wklejanie tekstu itd.
Wszystko co trzeba się usunęło.
W OTL kliknij CleanUp .
Wykonaj pełny skan Dr.Web CureIt .
Gdy będą wirusy, pokaż raport.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
No i obowiązkowe aktualizacje do Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie) oraz Java 6 Update 20 .
system
(system)
17 Kwiecień 2010 15:05
#13
RegUBP2b-S.reg C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Usunięty.
raport ze skanowania: http://www.wklejto.pl/64218
deFco247
(deFco247)
17 Kwiecień 2010 15:08
#14
Nie miałeś wklejać kompletnego raportu, lecz tylko ten zawierający usunięte pliki.
O ile wiem to trzeba wybrać z menu plik -> zapisz listę raportu -> nazwa dowolna, format csv .
system
(system)
17 Kwiecień 2010 16:09
#15
Tylko, że teraz jak skanuje jeszcze raz to tego wirusa już nie ma, bo został usunięty.