System32 Koń trojański Rootkit-Agent.EL


(Emv93) #1

Witam, podczas skanowania za pomocą AVG, program wykrył właśnie tego wirusa, pojawia się informacja: "Obiekt znajduje się na białej liście (plik krytyczny/systemowy, którego nie należy usuwać)" ta informacja pojawiła się dwukrotnie na liście wirus znajduje się w następującym pliku: C:\WINDOWS\system32\drivers\cdrom.sys, oprócz tego również ten sam wirus tylko w innym pliku, z wynikiem "zainfekowany" C:\WINDOWS\system32\dllcache\cdrom.sys

Liczę na pomoc w rozwiązaniu problemu :slight_smile:


(deFco247) #2

To mi wygląda na rootkita Alureon/TDLL/Olmarik, a tym przypadku obowiązkowo trzeba stosować Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

Zawartość logów wklejasz na wklej.org lub wklej.to, a w poście dajesz link.


(Emv93) #3

Mam problem z utworzeniem loga, próbując tworzyć zgodnie z instrukcją w OTL, gdy już naciskam Run Scan wyskakuje mi komunikat "List index out of bounds (0)" Muszę tu dodać że mam problemy z normalnym uruchomieniem komputera, aktualnie siedzę na trybie awaryjnym z obsługą sieci. Co teraz mogę zrobić?


(deFco247) #4

Ja nie proszę o log OTL, tylko od razu o Combofix (to jest b. ciężka infekcja, która wymaga użycia tego narzędzia).


(Emv93) #5

Wyłączyłam firewalle antywirus też jest niby wyłączony, jednak podczas uruchamiania ComboFixu wyskakuje komunikat, że antywirus wciąż jest włączony (AVG). Może chwilowo go odinstalować, czy to jednak za dużo zagrożenie? Czy zignorować komunikat i próbować z 'włączonym'


(deFco247) #6

Narzędzia -> Ustawienia zaawansowane -> Ochrona rezydentna -> odznacz pole wyboru Włącz Ochrona rezydentna.


(Emv93) #7

Oto link:

http://wklej.org/id/326996/

Czekam na werdykt :slight_smile:


(Katalonczyk97) #8

Dorzuć loga z GMER gmer.net


(Emv93) #9

i z gmer'a:

http://wklej.org/id/327075/


(deFco247) #10

Combofix pousuwał w większości to co trzeba i podmienił zainfekowany plik systemowy. Pozostały tylko resztki.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(Emv93) #11

http://wklej.org/id/327113/


(deFco247) #12

Teraz jest czysto.

Wykonaj: Start -> Uruchom... -> Combofix /uninstall

Zastosuj OTC.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).