TR/Rootkit.Gen zaatakował \system32\drivers\sptd.sys

W dniu dzisiejszym mój komputer został najwyraźniej zainfekowany wirusem TR/rootkit.gen trojan. Wykrywa go Avira AntyVir. Czuje się bezradny, gdyż brakuje mi wiedzy umożliwiającej usunąć trojana samemu.

Do tematu dołączam skany. Uprzejmie prosiłbym o pomoc.

http://www.wklejto.pl/122989

To jest sterownik emulacji napędów wirtualnych bardzo często antywirusy się tutaj mylą. Proszę o raporty OTL zgodnie z instrukcją analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

Raczej to wirus, co jakiś czas otwiera się automatycznie przeglądarka Internet Explorer i po chwili sama się wyłącza. Po za tym w tle słychać kliknięcia jak by myszki… Procesor pracuje prawie cały czas na 100% przez co przymula bardzo laptopa…

Extras :arrow: http://wklejto.pl/122992

OTL :arrow: http://wklejto.pl/122993

Teraz widzę że wirus i to nie byle co, bo rootkit zeroaccess.

Proszę rozpocząć o użycia Combofixa zgodnie z instrukcją. Jak prawidłowo przygotować system do użycia Combofixa znajdziesz tutaj http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Jak wszystko pójdzie dobrze i narzędzie skończy pracę powstanie raport, który pokażesz na forum

Raport :arrow: http://wklejto.pl/123009

Combofix nie zdołał usunąć folderu

Pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

ustawienia OTL mają być takie jak wcześniej przy tej operacji?

Nie. To jest skrypt do wykonania tutaj ustawienia nie odgrywają już takiej roli.

Z usuwania :arrow: http://wklejto.pl/123018

Ze skanu: :arrow: http://wklejto.pl/123019

Proszę powtórzyć

Pobierz GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Następne

Z usuwania: :arrow:http://wklejto.pl/123027

Ze skanu: :arrow: http://wklejto.pl/123028

  1. Pobierz SetACL.exe http://sendfile.pl/157547/SetACL.exe umieść program w katalogu C:\windows

  2. Wklej do notatnika:

Plik zapisz jako fix.txt Zachowaj na dysku *C:*

Start - Uruchom - wpisujesz cmd i Enter W linii komend wpisz

SetACL -on “c:\windows$NtUninstallKB62785$” -ot file -actn restore -bckp C:\fix.txt i Enter. Jeśli komenda się wykona bez błędów

Następna komenda

fsutil reparsepoint delete c:\windows$NtUninstallKB62785$ /C i Enter

Włącz pokazywanie ukrytych plików i folderów http://www.cybertrash.pl/Tata/Wiedza/Uk … ytych.html

Znajdź i następnie spróbuj usunąć folder c:\windows\ $NtUninstallKB62785$ przez Shift+Del Napisz czy się udało. Jeśli będą jakieś błędy pisz.

hm… zrobiłem wszystko… przeskanowałem dysk i plik sptd.sys nie ma juz wirusa… Jednak w tym samym folderze plik afd.sys ma teraz tego wirusa…

Tutaj walka nie jest taka prosta. Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz opcje Skip

wykrywa właśnie ten plik co wspomniałem. Naciskam te SKIP i avira nadal wyszukuje tego wirusa na tym pliku

Dodane 19.04.2012 (Cz) 14:21

a może z tego programu skorzystać Webroot AntiZeroAccess?

ze strony tej której mi podałeś http://www.fixitpc.pl/topic/8-dezynfekc%20…%20entry33542

Ty masz zaprezentować raport z Kasperski TDSSkiller abym podał kolejne instrukcje.

Spróbowałem nie nie ukrywać pliku przez skip tylko przez uleczenie cure i wirusów na komputerze nie wykrywa. Wygląda na to że wszystko jest już w porządku.

Wielkie dzięki za pomoc! !!

No ale moment chcesz wyczyścić komputer do końca z tej infekcji czy nie, bo to jeszcze nie koniec. Jak będzie koniec to powiem. Proszę o raport Gmera instrukcja http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/

Wczoraj miałem problem z tym raportem a mianowicie z jego zapisaniem dlatego dopiero dziś go umieszczam…

Raport GMERa: :arrow: http://wklejto.pl/123095

  1. Odinstalujemy Combofixa w prawidłowy sposób. Start - Uruchom - wpisujesz lub skopiuj

“c:\documents and settings\Admin\Pulpit\ComboFix.exe” /uninstall i Enter

Nastęnie Start - Panel sterowania - Aplet Dodaj usuń programy - znajdź i odinstaluj

Następnie wykonaj pełny skan KVRT http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Jak program coś wykryje nic nie usuwaj tylko pokaż raport z wykrytych infekcji na forum. Jak nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189

Następnie pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

Klikasz Look pokaż log na forum.

Następnie uruchom ponownie OTL klikasz Skanuj pokaż nowy raport OTL.txt na forum