TR/Rootkit.Gen zaatakował \system32\drivers\sptd.sys

kopek11111 · 20 Kwiecień 2012 08:16

Raport z KVRT(wykrył coś): http://wklejto.pl/123097

Mam dalej kontynuować te czynności co Pan napisał?

– Dodane 20.04.2012 (Pt) 9:19 –

Widzę że cały raport się nie zmieścił dosyłam miejsce w którym odnaleziono zakażenie pliku : http://wklejto.pl/123099

– Dodane 20.04.2012 (Pt) 9:51 –

Raport SystemLook: http://wklejto.pl/123101

Raport OTL: http://wklejto.pl/123102

spandaupol · 20 Kwiecień 2012 10:56

Plik znaleziony przez Kasperskiego spróbuj wyleczyć opcja Disinfect

Przed wykonaniem skryptu zamknij wszystkie przeglądarki

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\ComboFix\catchme.sys – (catchme) IE - HKU\S-1-5-21-1993962763-884357618-1177238915-1004…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=119999&babsrc=SP_ss&mntrId=208c50490000000000001c4bd61f3a12 IE - HKU\S-1-5-21-1993962763-884357618-1177238915-1004…\SearchScopes{75670963-3D03-4AF2-A6EB-BC87233BFF43}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=6G&apn_dtid=YYYYYYYYPL&apn_uid=6fd5bd04-c9ae-4e5c-8a19-d009f1dfe930&apn_sauid=207BC2C4-8B4E-411B-9D3B-3054691DB2A6 IE - HKU\S-1-5-21-1993962763-884357618-1177238915-1004…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-1993962763-884357618-1177238915-1004…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2090540 FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.defaultthis.engineName: “Mario Forever Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2247187&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?AF=119999&babsrc=adbartrp&mntrId=208c50490000000000001c4bd61f3a12&q=” [2012-03-30 11:41:53 | 000,000,000 | —D | M] (Mario Forever Community Toolbar) – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\hkwj8b9b.default\extensions{707db484-2428-402d-afb5-d85b387544c7} [2012-02-14 22:03:39 | 000,002,574 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\hkwj8b9b.default\searchplugins\askcom.xml [2010-08-05 21:31:24 | 000,000,929 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\hkwj8b9b.default\searchplugins\conduit.xml [2011-03-19 15:33:32 | 000,002,055 | ---- | M] () – C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\hkwj8b9b.default\searchplugins\daemon-search.xml :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\AskToolbar C:\Documents and Settings\NetworkService\Dane aplikacji\BabylonToolbar C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\Admin\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Babylon :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

kopek11111 · 20 Kwiecień 2012 12:10

Z usuwania: http://wklejto.pl/123111

Ze skanu: http://wklejto.pl/123113

spandaupol · 20 Kwiecień 2012 15:04

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt.

Następnie uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną

Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

Ponieważ był tutaj rootkit zmień wszystkie hasła logowania

kopek11111 · 20 Kwiecień 2012 15:18

spandaupol · 20 Kwiecień 2012 15:21

Uaktualnij

http://www.dobreprogramy.pl/Adobe-Reade … 11539.html

Ponieważ był tutaj rootkit dla bezpieczeństwa zmień wszystkie hasła logowania

kopek11111 · 20 Kwiecień 2012 15:26

Dobrze. Dziękuje bardzo za pomoc!