Win32:Rootkit-gen [Rtk] - a ComboFix nie można pobrać


(Ma24) #1

Witam serdecznie,

Jak większość internautów jestem laikiem w kwestiach technicznych. Usiłowałem doczytać się czym zwlaczyć pojawiający się komunikat od avast o znalezieniu:

Win32:Rootkit-gen [Rtk] w pliku: C:\Windows\System32\Drivers\kfyacbbt.sys

Co najciekawsze skanowanie Norman Cleaner nie znalazło tego, bo w sumie po 8h skanowania w końcu się zaciał, ComboFix nie można pobrać z żadnej ze stron...!

Tymczasem większość postów dotyczyło właśnie użycia tego programu. Dodatkowo przeskanowałem NOD online, który także nie wykrył w przeciwieństwie do avasta tego pliku.

Czy mogłbym poprosić Was co powinienem w obecnej sytuacji zrobić?

Jeśli dać jakies logi to z czego skoro combofix nie moze zostac pobrany bo jest niedostepny?

-- Dodane 17.12.2009 (Cz) 11:37 --

Generalnie na komputerze działa prawie wszystko z wyjątkiem tego, że pobrany Norman i zapisany na pulpicie jest nie do usunięcia, próba wywalenia go do kosza powoduje zwieszenie się explorer-windowe i dlugie obliczanie czasu pozostalego do usuniecia.

Skanuje teraz dodatkowo kmpa Dr.Web oraz Anti ... worm - www.gdata.pl - póki co kazdy jest w połowie i nic nie wykrył...

Avast jednak nadal wywala komunikat o tym rootkicie... :frowning:

Czy coś robię źle - czegoś Wam nie udostępniam albo nie podaje?


(Serwis Komputery) #2

Po pierwsze skanowanie przeprowadź w trybie awaryjnym (podczas uruchamiania komputera wciskaj F8),nie instaluj kilku antywirusów naraz,ja radzę wszystko to odinstalować i zainstalować Avirę(darmowa i napewno lepsza niż Avast),ale zanim to zrobisz po wyrzuceniu wszystkich tych skanerów i Avasta oczywiście,zainstaluj Trojan Remover,uaktualnij definicję i przeskanuj nim,jeżeli jest coś nie tak powinien zniszczyć zagrożenie i poprosić o restart po restarcie mozesz go odinstalować i zainstalować Avirę tak jak napisałem wcześniej


(jessica) #3

Możesz pobrać mój ComboFix >http://www.speedyshare.com/files/19764394/kombik.com

Albo logi z:

1) OTL NA SAMYM DOLE STRONY

2) http://www.gmer.net/ ->Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.

3) SRENG (System Repair Engineer)

(Po uruchomieniu kliknij "SmartScan", zaznacz "Verify...", kliknij "Scan", czekasz na raport, klik na "Save...", potem na "Close").

jessi


(Ma24) #4

Serdecznie Wam dziękuję - to cenne informacje. Niektórych programów nie mogę odinstalować, ale w miedzyczasie zanim to napisaliście zainstalowalem kaspersky na miesiac wywalajac avasta. Kaspersky po szybkim skanie nie stwierdzil nic podejrzanego. Skanuje nim teraz normalnie, el zrobie tak jak doradzacie, wylaczam skan, sciagam avira i Trojan Remover. Zrobie to w tym awaryjnym trybie. Mam nadzieje ze sie uda...

-- Dodane 17.12.2009 (Cz) 12:44 --

Sorry, że pytam ale nie jestem tutaj mocny w tej dziedzinie - czy po pobraniu tego combofix punkty 1, 2 i 3 które wymieniłeś dotyczą skanowania tym programem?

Mimo, że teoretycznie ta ścieżka w 3 krokach jest napisana to troszkę jej nie bardzo rozumiem...


(jessica) #5

W innym temacie widziałam, że Kaspersky nie potrafi zobaczyć tego typu Rootkita, ale może teraz to się już zmieniło?Zobaczymy.

Do tej pory tylko Avast i ComboFix potrafiły dostrzegać tego typu Rootkita.

Inne Rootkity są widziane przez wiele różnych narzędzi, a te nie.

EDIT:

Napisałam chyba wyraźnie: albo ComboFix, albo te trzy . Wybieraj sam.

Jeśli użyjesz ComboFixa, to pozostałych trzech nie potrzeba, i odwrotnie.

jessi


(Virtual) #6

witam, podpinam sie pod temat bo mam podobny problem, kaspersky wykryl rootkit.win32.agent.aaba i nie potrafil go usunac, objawy mam takie, ze nie dzialaja mi strony w obu(FF i IE)przegladarkach, a gg dziala, oto logi z OTL:

http://www.wklej.org/id/238549


(Ma24) #7

Ok, jestem i pytanie do Was czy AVAST mógł podawać nieprawdziwą informację o tym Rootkicie?

ponieważ za Waszą radą przeksanowałem w trybie awaryjnym najpierw TrojanRemover, który nic nie znalazł....

Natomiast po skanie ComboFix - ciężko mi powiedzieć co to wszystko znaczy, ale czytając poprzednie wątki wiem, ze trzeba wrzucić tutaj logi.

Proszę o sprawdzenie i odpowiedź co one znaczą i czy mój komputer jest czysty?

http://wklejto.pl/50519


(jessica) #8

Jest Rootkit!

Wklej do Notatnika :

File::

c:\windows\system32\drivers\kfyacbbt.sys


Driver::

kfyacbbt


Registry::

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\kfyacbbt]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Log wklej na http://wklejto.pl/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

jessi


(Ma24) #9

Wynik trojan remover:

Scan result: 0 infected items

Scan completed in: Scan completed in 17 minute(s) 19 sec.

Files were scanned: 15918


(Monczkin) #10

maxmario , popraw post z logiem według tych zasad. http://forum.dobreprogramy.pl/zasady-wklejania-logow-forum-t253052.html


(Ma24) #11

Nowy log poo skanowaniu wg tego co mi napisaliście:

http://wklejto.pl/50518

Mam nadzieję, żę ten log jest poprawny, gdyż poczekałem aż combofix skonczy wszystkie procesy i udostepni log komunikatem.

Proszę o opinie czy jest tam jeszcze coś czy już komputer jest czysty.

Baaaardzo dziękuję.

-- Dodane 17.12.2009 (Cz) 14:25 --

A tutaj jednocześnie robiłem to samo na drugim komputerze, zapasowym w panice przed rootkitami.

Będę wdzięczny za informacje czy w tym wcześniejszym logu jest wirus, czy jest już czysty oraz także w tym z II kompa:

http://wklejto.pl/50520


(jessica) #12

Komputer nr 1:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\drivers\kfyacbbt.sys

c:\users\Mario\AppData\Roaming\fvgqad.dat

c:\users\Mario\AppData\Roaming\avdrn.dat


Driver::

kfyacbbt


Registry::

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\kfyacbbt]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Komputer nr 2:

Była infekcja, ale ComboFix już ją usunął, i nic więcej szkodliwego nie widzę.

Na tym komputerze zrób jeszcze tylko to:

Usuń ręcznie folder C:\Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":


(Ma24) #13

Komputer nr 1.

Podczas wykonywania z combofixem opisanej akcji pojawił się blue screen i zrestartowało mi komputer.

http://wklejto.pl/50522

Po uruchomieniu sie kompa wraz z systemem automatycznie uruchomil sia kaspersky, ktory wykryl tego rootkita i kazal usunac. Wybralem usun bo nie pojawil sie juz ekran z combofixem... i musze tereaz zrestartowac komputer.

Czy w zwiazku z tym musze ponownie wykonac operacje z combofix ostatnio opisaną"?


(jessica) #14

Ja nie wiem, czy usuwanie się udało.

Sprawdzimy to bez ComboFixa:

Daj log z OTL - na samym dole strony

OTL wprawdzie nie będzie widział całego Rootkita, ale jego pliki będzie widział, jeśli nie usunęły się.

jessi


(Ma24) #15

Zrobiłem to zgodnie z wskazówkami....

http://wklejto.pl/50529

I co tam wyszło? :frowning:


(jessica) #16

Głównego pliku nie widać, ale dwa pozostałe są, więc można przypuszczać, że ten Rootkit jest dalej.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(Ma24) #17

Po restarcie komputera pojawił się plik txt z takim raportem: http://wklejto.pl/50535

teraz uruchamiam na nowo otl aby sprawdzić wg wzskazówek.

P.S.

Baaardzi Ci jestem wdzięczny... mam nadzieję iz uda się to wywalić...

-- Dodane 17.12.2009 (Cz) 16:01 --

Po uruchomieniu komputera i przeskanowaniu OTL (ustawionego zgodnie z wskazówkami z podanej strony z forum wcześniej) otrzymałem taki raport: http://wklejto.pl/50537

Czy nadal są tam te pliki rootkita?


(jessica) #18

Pozostaje pytanie:

czy "not found" w tym przypadku oznacza brak pliku, czy też może OTL nie potrafi go dostrzec?

Na końcu trzeba to będzie sprawdzić przy pomocy Avasta - jeśli Avast będzie wykrywał ten plik, to będzie oznaczało całkowitą klapę usuwania.

EDIT:

W nowym logu nie widać tych plików.

Włącz Avasta, niech sprawdzi, czy naprawdę Rootkit został usunięty.

jessi


(Ma24) #19

Tylko ze wywaliłem avasta i zastąpiłem go kaspersky 1 miesiac free.

Więc może zrobię go tym combofixem, aby się upewnić?

* a całkowita klapa usuwania oznacza mialaby format dysków?? :frowning: :frowning:

Czy to oznacza, że powinienem odistalowac kaspersky (bo gryzł sie z avastem) i zainstalowac avasta?


(jessica) #20

Jeśli dobrze pamiętam to Kasper nie widział tego Rootkita?

W takim przypadku pozostaje ComboFix.

jessi