Trojan.NtRootKit.6725

Dla specjalistów Bezpieczeństwo
#21

Spróbuj w normalnym, a jak nie to w awaryjnym z dostępem do sieci.

Wyłącz przywracanie systemu na wszystkich partycjach

Start / Wszystkie programy / Akcesoria / Narzędzia systemowe / Przywracanie systemu

PS. Podana strona może się czasem zgłosić jako nieaktywna. Ponów zgłoszenie.

#22

Wynik skanowania Eset:

C:\Program Files\Spyware Cease\opfile.dll Win32/Adware.SpywareCease aplikacja wyleczony przez usunięcie - poddany kwarantannie

C:\Program Files\Spyware Cease\RkHitApi.dll Win32/Adware.SpywareCease aplikacja wyleczony przez usunięcie - poddany kwarantannie

C:\Program Files\Spyware Cease\SpywareCease.exe odmiana zagrożenia Win32/Adware.SpywareCease aplikacja wyleczony przez usunięcie - poddany kwarantannie

C:\Program Files\Spyware Cease\ussafe.dll Win32/Adware.SpywareCease aplikacja wyleczony przez usunięcie - poddany kwarantannie

C:\WINDOWS\system32\drivers\RKHit.sys Win32/Adware.SpywareCease aplikacja wyleczony przez usunięcie - poddany kwarantannie

Przywracanie wyłączone

#23

Wykonaj ponownie OTL, powinny powstać 2 raporty.

#24

Zrobiłam OTL ale raporty się nie pokazały. Zrestartowałam komputer ponieważ był uruchamiany jeszcze przed wykonaniem Eset oraz przed wyłączeniem przywracania. Znów zrobiłam OTL ale przez kolejny kwadrans raportów nie było.

Chciałam zainstalować łatę chroniącą przed ise32.exe, z podanej wcześniej strony. Niestety Avast ją zablokował jako zagrożenie. Wtyczka Flash uległa awarii więc nie miałam możliwości napisać na forum.

Próba ponownego uruchomienia Mozilli kończyła się komunikatem : Aplikacja lub biblioteka Dll C:\ Program Files\Mozilla Firefox\xul.dll nie jest poprawnym obrazem systemu Windows NT.

Uruchomiłam komputer ponownie. Samoistnie zainicjował się CHKDSK. Jeszcze raz spróbowałam OTL, jednak raportów brak.

Próba napisania postu na forum też spełzła na niczym, bo komputer nie reagował na moje działania. Piszę więc znów z awaryjnego.

Jest już bardzo późno, wypoczywajcie. Mam nadzieję, że jutro znów powalczymy razem.

#25
  1. Mozilla jest do przeinstalowania ( uszkodzony xul.dll )

2.Adobe Flash do pobrania z http://www.dobreprogramy.pl/Adobe-Flash … 13091.html

  1. Łata na ise.exe w moim przypadku też została zablokowana przez CIS 2012 5.8. Wg mnie w tej łacie jest coś co jest interpretowane jako zagrożenie, lub jest zainfekowana. Zrobiłem to sprawdzenie wcześniej, czekałem na reakcję ze strony twojego AVAST-a, dlatego zaleciłem zmianę DNS.

  2. Możesz wykonać OTL w trybie awaryjnym z obsługą sieci.

#26

Mozilla i Adobe Flash same się przeinstalowały więc znów mogłabym pewnie pisać na forum z trybu normalnego. Ale OTL w normalnym nadal nie generuje raportów, dlatego - zgodnie z Twoimi zaleceniami - uruchomiłam go w awaryjnym. Proszę o wskazanie czy do dalszych działań mam wrócić do trybu normalnego.

Oto raporty z OTL:

http://wklej.to/H8gNI

http://wklej.to/W0Ils

#27

Wyrzuć wszystkie Toolbary [Ask itp.], i inne zbędne programy, których nie używasz.

W logach nie widać objawów infekcji Sality, ale to chyba przez Tryb Awaryjny. Sprawdź katalog C:_OTL w trybie normalnym

Dodane 25.10.2011 (Wt) 14:40

Daj log z GMER otl-gmer-rsit-dss-inne-instrukcje-t370405.html#p2400589 [nie usuwaj tego co wskaże]

#28

Wyłącz Firefoxa.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.W USBFix użyj opcji Uninstall.

Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Przeskanuj progr.Malwarebytes Anti-Malware

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

#29

Acorus , zgodnie z zaleceniami Locked1986 , zanim napisałeś swój post, zdążyłam odinstalować już programem Revo Uninstaller Ask Toolbar oraz (wg mnie już zbędny) SpywareCease. Boję się, że przygotowany przez Ciebie skrypt może być już nieaktualny. Czy mam mimo wszystko go wykonać i zrobić wszystko, co dalej wskazałeś/

Czyli póki co zrezygnować z gmera?

#30

Wykonaj bo masz przekierowanie przeglądarki.I pozostałe zalecenia.

#31

Mam nadzieję, że moja nieporadność Was rozbawi, nie zirytuje.

  • Wykonałam podany skrypt w OTL. program wprawdzie zalecił restart komputera, jednak stwierdziłam, że powinnam najpierw wykonać pozostałe Wasze zalecenia. Zleciłam “Sprzątanie” i ponownie wyskoczyło okienko z zaleceniem restartu. Sądziłam, że program ponawia poprzednią prośbę, tę, która ukazała się po wykonaniu skryptu, więc ponownie zamknęłam okienko. Przez dłuższy czas nic się nie działo, ale ponieważ nigdy nie wykonywałam polecenia sprzątania w OTL, nie wiedziałam w jaki sposób i jak długo będzie ono wykonywane. Tym bardziej, że komputer pracował w tle (migająca dioda). Zostawiłam włączony laptop na noc, jednak kiedy nadal nic nowego się nie pojawiło, uruchomiłam komputer ponownie. Jeszcze raz zleciłam sprzątanie.

  • Odinstalowałam USBFix, usuwając resztki ręcznie.

  • Włączyłam przywracanie systemu, ponieważ (po poprzednim zaleceniu jego wyłączenia) ciągle było wyłączone.

  • Zeskanowałam komputer programem Malwarebytes, z uaktualnioną bazą wirusów - nic nie znalazł.

  • Zainstalowałam podane aktualizacje (SecurityCheck).

Nie mogę sprawdzić katalogu C:/_OTL, ponieważ go tam nie ma. Nie wiem też jakie programy usunąć, ponieważ jest tego dość dużo, a ja nie orientuję się, które są potrzebne do prawidłowego działania sprzętu oraz które będą mi potrzebne do korzystania z komputera. Używam go do celów domowych, bez żadnych specjalistycznych funkcji. W tym względzie też bardzo liczę na Waszą pomoc.

A oto log z GMERa: http://wklej.to/JOioa

A tutaj log z SecurityCheck: http://wklej.to/LqG4H . Wklejam go bo nie wiem czy mam coś zrobić, czy programy zostały uaktualnione automatycznie tym programem.

#32

Wykonaj ponownie raporty OTL.

Poczekaj na weryfikację i skrypty, gdy w trakcie pracy ( procesu czyszczenia ) OTL zażąda restartu należy go potwierdzić.

Po auto-starcie laptopa jeżeli na pulpicie nie będzie startera OTL.exe, pobierasz ponownie i wykonujesz kolejną czynność - sprzątanie.

PS. W jakim zakresie jest zainstalowane Comodo Internet Security i która wersja? Proszę o podanie stanu instalacji. Jest na pierwszym ekranie po otwarciu:

1 - Antywirus ?

2 - Defence+ ?

3 - zapora ( firewall )

#33

Miałam problemy bo OTL znów nie chciał utworzyć raportów, być może dlatego, że znów pojawiły się problemy z Flash i przeglądarką (Aplikacja lub biblioteka Dll C:\ Program Files\Mozilla Firefox\xul.dll nie jest poprawnym obrazem systemu Windows NT).

Zaktualizowałam Avasta, Comodo, Mozillę oraz zainstalowałam Flash Player. Przeglądarka już działa (chociaż komputer czasem się wiesza), ale OTL nadal nie tworzył raportów. Dlatego uruchomiłam go w trybie awaryjnym.

Raporty z OTL (w trybie awaryjnym): http://wklej.to/taHYC i http://wklej.to/H6ytt .

Mam Comodo Firewall - wersja produktu: 5.8.213334.2131.

#34

Mozilla do przeinstalowania. [Najlepiej pobierz nowego instalatora, link bezpośredni: http://download.mozilla.org/?product=fi … in〈=pl ]. Nawet jeśli błąd zniknie radzę przeinstalować w trybie awaryjnym. Jeśli po przeinstalowaniu błąd z xul nadal wystąpi, spakuj go WinRAR’em lub 7-zipem i wyślij go tu: http://www.virustotal.com/. Daj log [link do strony]. Możliwe ze infekcja Sality jest w trakcie działania i zaraża kolejno pliki exe, dll, ocx…

Z poziomu awaryjnego zaktualizuj Avast do najnowszej wersji i bazę sygnatur. Z poziomu normalnego spróbuj wykonać pełny skan.

Pobierz Kaspersky TDSS Killer: [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) - instrukcja. Link do narzędzia: http://support.kaspersky.com/pl/faq/?qid=208283359 . [Tryb awaryjny lub normalny]

To co wykryje nie usuwaj.

Teraz przyda się sprawdzić co masz w Autostarcie. Pobierz program Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr … 13208.html uruchom go jako administrator i poczekaj aż wszystko zeskanuje [na dole będzie pisać: (Escape to cancel) Scanning…]. Kliknij File - Save i zapisz plik następnie spakuj go i wrzuć na darmowy hosting plików [odsiebie.com itp.]

#35

  • Pobrałam i zainstalowałam ponownie Mozillę z podanej strony (w trybie awaryjnym);

  • na VirusTotal ( w trybie normalnym) nie mogłam sprawdzić spakowanego xull, bo albo wyskakiwał komunikat: “Bad Gateway. The proxy serwer received an invalid respouse from an upstreams server”, albo: “Internal server error”;

  • przeskanowałam ten plik na http://virusscan.jotti.org/pl - nic nie znaleziono;

  • W trybie awaryjnym strona VirusTotal, po zeskanowaniu pliku podsumowała: http://www.virustotal.com/file-scan/rep … 1319714391 - nie wiem czy mogę już tę stronę zamknąć;

  • w trybie awaryjnym nie mogę uaktualnić avasta, ponieważ “został zatrzymany lub jego stan jest niespójny”, a próba jego uruchomienia kończy się niepowodzeniem. Nie reaguje na aktualizację;

  • nie wiem czy mam w takiej sytuacji przejść do dalszych działań ( z otwartą stroną VirusTotal oraz niezaktualizowanym avastem. Jestem w awaryjnym

#36

Przeskanuj TDSS Killerem. Kontynuuj działania z Avastem [Pełny Skan]. Oraz daj log z Autoruns. Stronę VirustTotal możesz zamknąć.

#37

Pobierz i uruchom - http://www.dobreprogramy.pl/ThreatFire, … 15679.html

Wykonaj skanowania.

#38

Wszystkie czynności wykonywałam w trybie normalnym.

  • TDSS Killer nic nie wykrył,

  • Awast (uaktualniony program i baza wirusów, pełny skan) - również nic nie znalazł,

  • log z Autoruns, przed instalacją ThreatFire: http://www.wrzuc.to/linki/d5whZb08 ,

  • ThreatFire wykrył ukryty folder z wysokim ryzykiem, w lokalizacji: C:##aswSnx private storage .

Ponieważ nie wiem czy dać ten plik do kwarantanny, czy wykluczyć, poczekam na poradę (pewnie do jutra).

#39

Do kwarantanny.

Dodane 27.10.2011 (Cz) 23:52

Nie wyłączaj Threat Fire. To co jest w kwarantanne, możesz w dowolnym czasie usunąć całkowicie.

#40

Poddano kwarantannie.