Win32:Rootkit-gen[Rtk] Problem z rootkitem


(Patryk1gb) #1

Mam problem z powyższym wirusem. Proszę powiedźcie mi, co powinienem zrobić.

Oto log z Combofix:

http://www.wklejto.pl/68988

A oto log z HijackThis:

http://www.wklejto.pl/68995

P.S> Wirus odciął mi dostęp do Internetu.


(deFco247) #2

Para logów tutaj wstawionych jest tutaj zabroniona. HijackThis ze względu na b. małą ilość informacji podawaną w logu, a Combofix ze względu na potężne ingerowanie w system.

Aktualnie obowiązuje zestaw logów OTL + GMER i tego się należy trzymać.

Poza tym obecne log są źle wklejone - brak ukośników **.

Nie wklejasz loga poprzez Przeglądaj... , tylko ręcznie kopiujesz jego zawartość w pole do wklejania tekstu.


(Patryk1gb) #3

Serdecznie przepraszam za powyższe logi. Jestem tu nowy i nie zapoznałem się jeszcze z regulaminem.

Oto log z OTL: http://www.wklejto.pl/69067

A tu drugi log z OTL(extras): http://www.wklejto.pl/69068

Tutaj log z GMER: http://www.wklejto.pl/69109 *

Co powinienem zrobić?

/EDIT/ *


(deFco247) #4

Infekcji tutaj żadnych nie widzę, chociaż właśnie log GMER wygląda na ten z preskanu.

Pełny log powinien powstać po kliknięciu przycisku Szukaj, wiec wykonaj go i pokaż.


(Patryk1gb) #5

Powinienem zaznaczyć wszystkie dyski do skanowania?

Poza tym, jeśli chodzi Ci o Szukaj, to masz na myśli Scan?


(deFco247) #6

Skanuj na domyślnych opcjach bez zmiany czegokolwiek. Do skanu zaznaczona tylko partycja systemowa.

W GMER-ze na karcie Rootkit/makware są tylko przyciski Szukaj/Kopiuj/Zapisz. Mi chodzi o szukanie.


(Patryk1gb) #7

Reasumując, oto logi z OTL-a:

http://www.wklejto.pl/69067

http://www.wklejto.pl/69068 (extras)

A oto log z GMER-a:

http://www.wklejto.pl/69109

Proszę, powiedzcie mi, co powinienem zrobić.


(deFco247) #8

W logach brak infekcji, więc raczej bez dokładnej informacji nt pliku w którym wykryto infekcję się nie zrobi.

Podaj w jakim dokładnie pliku na dysku wykrywana jest infekcja.


(Patryk1gb) #9

C:/Documents and Settings/Admin/Menu Start/Programy/Autostart/fyfpck32.exe

oraz w:

C:/Documents and Settings/Admin/Ustawienia lokalne/Temporary Internet Files/Content.Ies/Hezdrzob/load[1].exe


(deFco247) #10

Zastosuj TFC.

Następnie pobierz Combofix, ale nie uruchamiaj.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(Patryk1gb) #11

Czyli reasumując:

  1. Użyć TFC.

  2. Pobrać Combofix.

  3. Odinstalować Alcohola.

  4. Ściągnąć, a następnie usunąć sterownik SPTD.

  5. Wyłączyć firewalla oraz antywirusa.

  6. Otworzyć notatnik i wkleić do niego adres rootkita oraz słowo Rootkit::

  7. Zapisać pod nazwą CFScript, w tym samym folderze, co combofix.exe

8.Wrzucić log na forum.

Czy tak?

Jeśli coś źle zrozumiałem to daj znać.


(deFco247) #12

Tak jak napisałeś, ale w kolejności: 1, 3, 4, 5, 2, 6, 7, 8.


(Patryk1gb) #13

Oto log po usunięciu rootkita z pliku C:/Documents and Settings/Admin/Menu Start/Programy/Autostart/fyfpck32.exe :

http://www.wklejto.pl/69206

A oto log po usunięciu z C:/Documents and Settings/Admin/Ustawienia lokalne/Temporary Internet Files/Content.Ies/Hezdrzob/load[1].exe :

http://www.wklejto.pl/69207

Mam jeszcze zainfekowany jeden plik. Później usunę z tamtąd roottkita i dam loga.