TR/Rootkit.Gen - Trojan

Admek69 · 14 Marzec 2010 08:25

Witam. Antywirus “Antyvir” wykrył mi “TR/Rootkit.Gen - Trojan” w C:\Windows\system32\drivers\ctmjqpk

Komputer strasznie zamulony, internet baardzo słabo chodzi. Proszę o pomoc zamieszczam tu potrzebne loga:

OTL:

http://wklejto.pl/60412

OTL z instrukcjami deFco247:

http://wklejto.pl/60414

SREng:

http://wklejto.pl/60413

Dodam: Że ręcznie nie da się usunąć pliki: “ctmjqpk” wyskakuje: “NIe można odczytać z pliku lub dysku źródłowego”

Prosze o pomoc

jessica · 14 Marzec 2010 08:45

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"Gadu-Gadu 10"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). Potem: Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\ctmjqpk.sys

C:\WINDOWS\System32\fjhdyfhsn.bat

C:\Documents and Settings\Admin\Dane aplikacji\avdrn.dat

C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat

C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\winesm32.exe


Registry values to delete: 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Flashget


Drivers to delete:

ctmjqpk

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

jessi

Admek69 · 14 Marzec 2010 08:53

Avenger:

http://wklejto.pl/60415

jessica · 14 Marzec 2010 08:58

W zasadzie już po sprawie, ale trochę niepokoi mnie ten strumień ADS, podpięty pod plik “win.ini”.

Chyba lepiej go usunąć:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera

Daj ten raport, który pokaże się po restarcie

jessi

Admek69 · 14 Marzec 2010 09:03

OTL raport:

http://wklejto.pl/60416

– Dodane 14.03.2010 (N) 10:07 –

Teraz Skanuję kompa Malwarebytes oto raport:

http://wklejto.pl/60417

jessica · 14 Marzec 2010 09:13

Ten strumień się nie usunął.

Dobra, zostawiamy go w spokoju, bo nawet nie wiem, czy to szkodliwy strumień, czy nie.

To co wykrył MBAM, to tylko usunięty plik, który jest w Kwarantannie Avengera, oraz kopia tego pliku w folderze “Przywracania Systemu”.

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną. (zniknie też Avenger ze swoją Kwarantanną

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

.

jessi