/Win32:Rootkit-gen / nie do usunięcia

jasiek1975 · 1 Marzec 2010 21:29

Witam

Problem już zakrawa o szaleństwo.

Mam dwa dyski twarde na kompie na jednym system a na drugim dane.

Od pewnego czasu wywalał komunikat AVAST o znalezieniu win32:rookit-gen. /i po usunięciu ,nadal to samo.

Skanowanie podczas rozruchu Avastem wykryło tego samego syfa na drugim dysku fizycznym również.

Zrobiłem format dysku na którym był system,po instalacji systemu na świeżo na drugi dzień to samo syf dalej był identyfikowany przez avasta

Poniżej wklejam link do loga zrobionego Combofixem.Proszę o help!

jessica · 1 Marzec 2010 21:45

Jest CONFICKER.

Wklej do Notatnika :

File::

c:\windows\system32\vzutz.dll


Driver::

hqbpxt


NetSvc::

hqbpxt


Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4847:TCP"=-

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hqbpxt]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi

jasiek1975 · 1 Marzec 2010 22:00

Dzięki Stary za szybką odp. pojawiło mi się światło w tunelu.

O to wygenerowany log

http://wklej.org/id/288754/

jessica · 1 Marzec 2010 22:07

Nie ma już żadnego śladu Conficker’a.

Więcej nic szkodliwego tu nie widzę.

Usuń ręcznie folder C:\Qoobox.

jessi

jasiek1975 · 1 Marzec 2010 22:21

THX za interpretacje loga!

Zastanawiam się teraz czy na drugim dysku też już nic będzie,jutro się okaże czy problem zniknął,napiszę na pewno.

Na razie jeszcze raz wielkie THX.

Jasiek

– Dodane 01.03.2010 (Pn) 23:43 –

Utworzyły mi się na każdej partycji dysków pliki recycler siedział tam rootkit-gen usunąłem AVASTEM trochę dziwne,czytałem coś kiedyś o symulacjach koszy.

Jasiek

– Dodane 01.03.2010 (Pn) 23:56 –

Opróżniłem kosz w systemie i pliki recycler z każdej partycji znikły.

jessica · 1 Marzec 2010 22:58

Taki RECYCLER jest elementem Conficker’a, ale dlaczego ComboFix go nie widział?

Powinien go zobaczyć/pokazać w logu.

jessi

jasiek1975 · 2 Marzec 2010 16:04

Na partycji systemowej plik recycler się nie utworzył.

Jasiek

P.S zaczynam właśnie testy,może będzie O.K

– Dodane 02.03.2010 (Wt) 19:59 –

:o No i stało się,syf nie odpuścił,to samo.Posyłam dzisiejsze logi.

http://wklej.org/id/289144/

http://wklej.org/id/289147/

Proszę o dalszą pomoc

– Dodane 02.03.2010 (Wt) 20:07 –

http://wklej.org/id/289156/