Trojan.NtRootKit.6360

http://www.wklejto.pl/61544

siedzi w : C:/windows/system32/drivers

i Dr.WEB nie może go wywalić.

Tzn. wyszukuje go, kasuje i przy pełnym skanowaniu następnego dnia wirus ciągle jest tam gdzie był… .

To tego, może ktoś wie jak pozbyć się go skutecznie?

Log źle wklejony - brak ukośników ****.

Nie wklejasz loga poprzez Przeglądaj… , tylko ręcznie kopiujesz jego zawartość w pole do wklejania tekstu.

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

Przed uruchomieniem poniższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Po usuwaniu pokazujesz obowiązkowo logi z OTL + GMER.

W OTL przestawiasz Processes i Modules na All, Standard Registry na Standard oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

(Na Windows Vista i 7 uruchamiamy programy z menu Uruchom jako Administrator… ).

http://www.wklejto.pl/61572

http://www.wklejto.pl/61573

http://www.wklejto.pl/61575

No a log GMER? Przede wszystkim z niego jest potrzebny skan.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

bo nie jestem w stanie przeprowadzić tego skanowania (można przeklinac?)

wczoraj wieczorem non stop się zawieszał, dwa razy restartowałam laptop, pomyślałm że się przegrzał może (obudowa prawie zaczęła się topić był taki gorący)

dzisiaj rano podobnie: przy (albo podczas skanowania) raz się zawiesił musiałam wyłączyć i włączyć drugi raz sam się wyłączył;

czy jest coś co zastępuje skanowanie gmer?

GMER niestety ma na niektórych systemach problemy.

Przede wszystkim należy również wyłączyć wszelkie aplikacje ochronne.

W zastępstwie GMER-a można jeszcze użyć RootRepal.

Przechodzisz na zakładkę Report i klikasz Scan.

W okienku które się pojawi zaznaczasz wszystkie opcje, a do skanu wybierasz tylko partycję systemową.

Raport znajdziesz na partycji systemowej pod nazwą RootRepeal Raport [data i godzina skanowania].txt

Logi OTL - pokazujesz raport z poprzedniego usuwania i nowy log.

RoorRepal każe mi skontaktować się z autorem więc chyba też nic z tego nie będzie,

Otl poniżej:

http://www.wklejto.pl/61622

http://www.wklejto.pl/61624

Jak to każe skontaktować się z autorem?

Skoro jednak sam Dr.Web nie znalazł innego rootkita, to można mu wierzyć.

W logach czysto.

W OTL kliknij CleanUp.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Usuń stare wersje Javy i zaktualizuj ją za pomocą JavaRa

CleanUp wyczyściłam,

zbędniki:

  1. odznaczyłam Java-automatyczna aktualnizacja,

  2. niestety klikając pr klawiszem na autostarcie nie wykakuje żadna możliwość kasowania czegokolwiek,

  3. używam ang i hiszp czasami - więc nie odznaczam,

  4. mam:

AGRSMMSGR

PTHOSTTR

SynPTEnh

AsTsVcc

HP Wireless Assistant

SCfgSvc

ifrmewrk

QlbCtrl

Recguard

Remind_XP

Scheduler

smax4pnp

iPlusChecker

jusched

qttask

SpIDerAgent

spiderml

spiderui

SearchSettings

op_mon

feedback

dumprep O -k

msnmsgr

BitComet

odk_mcd

ctfmon

WMPNSCFG

BTTray

OpenOffice.org2.4

jak widać więc nie ma czego odznaczać,

  1. nigdy nie pokazało mi się okno "przypominacza msconfig "-nie wiem co to jest tak naprawdę (sory, dla Ciebie to pewnie śmieszne ale ja ale umiem obsługiwać niektóre programy, na komputerach się nie znam),

  2. nie mam itunes, ale znalazłam w ProgramyFiles: Apple\Mobile Device - nie wiem co to jest: nigdy nie kupiłam/ściągnęłam/ukradłam żadnego produktu apple chciałam więc to skasować ale wyskoczył komunikat, że usunięcie spowoduje nie funkcjonowanie niektórych programów (niestety nie napisało których) więc zostawiłam,

  3. wyszukiwarka nia znalazła “Alexę HJT” więc nie było czego usuwać,

  4. nie wiem gdzie sprawdzić czy mam te błędy, wyszukiwarka podała że nazwa jest nieprawidłowa,

  5. ostatni zbędnik: niestety nie wiem gdzie szukać “opcji softu” więc tym bardziej nie wiem jak znaleść cokolwiek w nich…;

i ostatni pkt: z dodaj/usuń programy wyrzuciłąm: Java SE Development Kit 6 Update 5, Java 6 Update 5, Java 6 Update 4, Java 6 Update 3.

Java 6 Update 17 nie dało się odinstalować, mimo to ściągnęłam i zainstalowałam Java Re za pomocą juchceck ściągnięta została Java 6 Update 18 (pokazała sięw "dodaj/usuń programy więc chyba jest o.k.);

taa, teraz coś jeszcze?

Mylisz się i to grubo, bo tutaj można połowę z tego powyłączać…

wyłączyłam pliki zawarte w drugim okienku,

za pierwszym razem nie wyglądały ja te zawarte w “zbędniku” więc dzięki za czujność;

to chyba tyle, co?

sprawdziłam w katalogu w którym był zainfekowany plik i NIE MA GO - więc jestem dobrej myśli

pozdrawiam bardzo!

Pełne skanowanie nie wykazało żadnego wirusa!

Niestety, po uruchomieniu pokazuje się komunikat /Narzędzie konforguracji systemu/ informujący, że zostało ono użyte do zmiany sposobu uruchamiania systemu windows i że jest ono w trybie uruchamiania diagnostycznego lub selektywnego.

Później wyskakuje drugie okienko o tej samen nazwie, gdzie na zakładce /ogólne/ zaznaczone jest uruchamianie selektywne (do wyboru jest jeszcze normalne i diagnostyczne).

Nie jest to wynikiem wczorajszego wyłączania różnych rzeczy? Jeśli pozwolę mu przełączyć się na uruchamianie normalne to automatycznie włączą się opcje wyłączone wczoraj?