Win32:Rootkit-gen [Rtk] w \\127.0.0.1\admin$\System32

Dla specjalistów Bezpieczeństwo
#1

Witam,

Avast dzis na lapie mojej kobiety znalazl : Win32:Rootkit-gen [Rtk] w \127.0.0.1\admin$\System32\drivers\agp440.sys i nie moze go usunac. System na lapie: Vista. Komputer wczoraj byl laczony z netem przez proxy.

Teraz trojan widac dziala bo skasowal lub przeniosl plik firefox.exe nie mozna tez pisac norlamnie na klawiaturze.

Ponizej logi z OTL:

http://wklej.org/id/267840/

Z gory dzieki za pomoc w imieniu mojej kobiety.

#2

Tutaj jest zainfekowany plik systemowy i zapewne do tego rootkit, więc zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

#3

Oki odpalilem combo na kompie narzeczonej jak sie skonczy wkleje loga.

Mam jeszcze pytanie czy sciezka to zarazonego pliku (\127.0.0.1\admin$\System32\drivers\agp440.sys) nie mowi, ze zarazony jest plik na jakims serverze “127.0.0.1” czy to jakis adres visty dysku lokalnego ?

#4

127.0.0.1 to loopback, czyli innymi słowy twój własny host/komputer.

#5

http://wklej.org/id/267871/ - oki to log z combo.

Po resecie nie da sie odpalic zadnego programu… loga przenioslem z kompa narzeczonej na mojego na penie mam nadzieje nie przenioslem wira.

Co ja bym zrobil bez tego forum.

#6

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

#7

Wyskakuje

"C:\User\Agata\Desktop\vir\ComboFix.exe

Illegal operation attempted on a registry key that has been marked from deletion"

I to samo wyskakuje jak chcialem odpalic jakiegos exe :frowning:

Narzeczona mowi mi jeszcze, ze windows defender dzis jej wyskoczyl i kliknela cos ale nie pamieta juz co… ehhhh.

Dodane 24.01.2010 (N) 21:58

Oki problem już prawie rozwiązany tu: http://www.searchengines.pl/index.php?showtopic=134633 . Sorry, ale kobita kompa na jutro do pracy potrzebuje i mi się śpieszyło. Dzięki za pomoc!