TR/Rootkit.Gen zaatakował \system32\drivers\sptd.sys


(Kopczynski1991) #1

W dniu dzisiejszym mój komputer został najwyraźniej zainfekowany wirusem TR/rootkit.gen trojan. Wykrywa go Avira AntyVir. Czuje się bezradny, gdyż brakuje mi wiedzy umożliwiającej usunąć trojana samemu.

Do tematu dołączam skany. Uprzejmie prosiłbym o pomoc.

http://www.wklejto.pl/122989


(Spandau) #2

To jest sterownik emulacji napędów wirtualnych bardzo często antywirusy się tutaj mylą. Proszę o raporty OTL zgodnie z instrukcją analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741


(Kopczynski1991) #3

Raczej to wirus, co jakiś czas otwiera się automatycznie przeglądarka Internet Explorer i po chwili sama się wyłącza. Po za tym w tle słychać kliknięcia jak by myszki... Procesor pracuje prawie cały czas na 100% przez co przymula bardzo laptopa...

Extras :arrow: http://wklejto.pl/122992

OTL :arrow: http://wklejto.pl/122993


(Spandau) #4

Teraz widzę że wirus i to nie byle co, bo rootkit zeroaccess.

Proszę rozpocząć o użycia Combofixa zgodnie z instrukcją. Jak prawidłowo przygotować system do użycia Combofixa znajdziesz tutaj http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/ Jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum


(Kopczynski1991) #5

Raport :arrow: http://wklejto.pl/123009


(Spandau) #6

Combofix nie zdołał usunąć folderu

Pobierz GrantPerms http://download.bleepingcomputer.com/fa ... tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Kopczynski1991) #7

ustawienia OTL mają być takie jak wcześniej przy tej operacji?


(Spandau) #8

Nie. To jest skrypt do wykonania tutaj ustawienia nie odgrywają już takiej roli.


(Kopczynski1991) #9

Z usuwania :arrow: http://wklejto.pl/123018

Ze skanu: :arrow: http://wklejto.pl/123019


(Spandau) #10

Proszę powtórzyć

Pobierz GrantPerms http://download.bleepingcomputer.com/fa ... tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Kopczynski1991) #11

Następne

Z usuwania: :arrow:http://wklejto.pl/123027

Ze skanu: :arrow: http://wklejto.pl/123028


(Spandau) #12
  1. Pobierz SetACL.exe http://sendfile.pl/157547/SetACL.exe umieść program w katalogu C:\windows

  2. Wklej do notatnika:

Plik zapisz jako fix.txt Zachowaj na dysku *C:*

Start - Uruchom - wpisujesz cmd i Enter W linii komend wpisz

SetACL -on "c:\windows\$NtUninstallKB62785$" -ot file -actn restore -bckp C:\fix.txt i Enter. Jeśli komenda się wykona bez błędów

Następna komenda

fsutil reparsepoint delete c:\windows\$NtUninstallKB62785$ /C i Enter

Włącz pokazywanie ukrytych plików i folderów http://www.cybertrash.pl/Tata/Wiedza/Uk ... ytych.html

Znajdź i następnie spróbuj usunąć folder c:\windows\ $NtUninstallKB62785$ przez Shift+Del Napisz czy się udało. Jeśli będą jakieś błędy pisz.


(Kopczynski1991) #13

hm... zrobiłem wszystko... przeskanowałem dysk i plik sptd.sys nie ma juz wirusa... Jednak w tym samym folderze plik afd.sys ma teraz tego wirusa...


(Spandau) #14

Tutaj walka nie jest taka prosta. Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz opcje Skip


(Kopczynski1991) #15

wykrywa właśnie ten plik co wspomniałem. Naciskam te SKIP i avira nadal wyszukuje tego wirusa na tym pliku

-- Dodane 19.04.2012 (Cz) 14:21 --

a może z tego programu skorzystać Webroot AntiZeroAccess?

ze strony tej której mi podałeś http://www.fixitpc.pl/topic/8-dezynfekc%20...%20entry33542


(Spandau) #16

Ty masz zaprezentować raport z Kasperski TDSSkiller abym podał kolejne instrukcje.


(Kopczynski1991) #17

Spróbowałem nie nie ukrywać pliku przez skip tylko przez uleczenie cure i wirusów na komputerze nie wykrywa. Wygląda na to że wszystko jest już w porządku.

Wielkie dzięki za pomoc! !!


(Spandau) #18

No ale moment chcesz wyczyścić komputer do końca z tej infekcji czy nie, bo to jeszcze nie koniec. Jak będzie koniec to powiem. Proszę o raport Gmera instrukcja http://www.fixitpc.pl/topic/60-diagnost ... u-rootkit/


(Kopczynski1991) #19

Wczoraj miałem problem z tym raportem a mianowicie z jego zapisaniem dlatego dopiero dziś go umieszczam...

Raport GMERa: :arrow: http://wklejto.pl/123095


(Spandau) #20
  1. Odinstalujemy Combofixa w prawidłowy sposób. Start - Uruchom - wpisujesz lub skopiuj

"c:\documents and settings\Admin\Pulpit\ComboFix.exe" /uninstall i Enter

Nastęnie Start - Panel sterowania - Aplet Dodaj usuń programy - znajdź i odinstaluj

Następnie wykonaj pełny skan KVRT http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak program coś wykryje nic nie usuwaj tylko pokaż raport z wykrytych infekcji na forum. Jak nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189

Następnie pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum.

Następnie uruchom ponownie OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum