xeran
(Cyniobrodno)
9 Grudzień 2009 10:13
#1
Witam. Od kilku dni mam problem z nastepujacym rootkitem: Win32:Rootkit-gen [Rtk]. Problem wystapil oczywiscie po podlaczeniu pendrive’a. Co ciekawe, podlaczalem juz dziesiatki pendrive’ow do komputera, a dopiero ten jeden jedyny Sandiskowy flash spowodowal takie problemy. Przeczytalem dosc sporo wpisow na ten temat dostepnych w necie, ale sam nie umiem sobie poradzic odpowiednim dla mnie skryptem…
Moim zdaniem (nie sugerujcie sie tym ) chodzi o te linijki:
O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009-12-08 22:29:24 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT – [NTFS] O32 - AutoRun File - [2009-12-05 04:23:32 | 00,000,035 | RHS- | M] () - F:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-12-05 04:23:52 | 00,000,035 | RHS- | M] () - H:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-12-05 04:23:53 | 00,000,035 | RHS- | M] () - I:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-12-05 04:23:53 | 00,000,035 | RHS- | M] () - J:\autorun.inf – [NTFS] O33 - MountPoints2{3e252bd0-e49f-11de-8c93-806d6172696f}\Shell - “” = AutoRun O33 - MountPoints2{3e252bd1-e49f-11de-8c93-806d6172696f}\Shell - “” = AutoRun O33 - MountPoints2{3e252bd2-e49f-11de-8c93-806d6172696f}\Shell - “” = AutoRun O33 - MountPoints2{3e252bd3-e49f-11de-8c93-806d6172696f}\Shell - “” = AutoRun O33 - MountPoints2{778e2dc7-e446-11de-9578-806d6172696f}\Shell - “” = AutoRun O33 - MountPoints2{778e2dc7-e446-11de-9578-806d6172696f}\Shell\AutoRun\command - “” = I:\ctrun\start.exe – File not found
Wymienione partycje (F, H, I, J) dotycza tylko jednego dysku twardego. Wszystkie partycje na drugim, wiekszym dysku sa w porzadku (tzn nie sygnalizuja zadnych problemow). Bardzo prosze o pomoc, sam sobie z tym nie poradze.
PS. W logu widnieje plik autorun.inf. Gdy chce wejsc na dana partycje pojawia sie komunikat, ze Windows nie moze odnalezc pliku “explore.exe” bla bla bla…
Oto log z OTL:
http://wklej.org/id/229780/
jessica
(jessica)
9 Grudzień 2009 10:21
#2
Chyba masz rację.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O32 - AutoRun File - [2009-12-05 04:23:32 | 00,000,035 | RHS- | M] () - F:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-12-05 04:23:52 | 00,000,035 | RHS- | M] () - H:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-12-05 04:23:53 | 00,000,035 | RHS- | M] () - I:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-12-05 04:23:53 | 00,000,035 | RHS- | M] () - J:\autorun.inf – [NTFS] O33 - MountPoints2{778e2dc7-e446-11de-9578-806d6172696f}\Shell\AutoRun\command - “” = I:\ctrun\start.exe – File not found :Files C:\RECYCLER :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
xeran
(Cyniobrodno)
9 Grudzień 2009 11:23
#3
Dziekuje za odpowiedz. Zrobilem jak kazalas.
Po restarcie wszedlem na kazda partycje, antywirus nic nie krzyczy (opcja autoodtwarzania zniknela)…
Zauwazylem, ze na niektorych partycjach ciagle byl plik explore.exe, ale tym razem dalo sie go usunac recznie.
Teraz wydaje sie, ze wszystko jest dobrze
Co robic, gdy plik explore.exe bedzie sie pojawial?
Log z czyszczenia:
http://www.wklej.org/id/229822/
Nowy log:
http://www.wklej.org/id/229824/
jessica
(jessica)
9 Grudzień 2009 15:34
#4
Zgłosić się na Forum z logami.
Użyj >Panda Vaccine - to choć troszeczkę zabezpieczy przed reinfekcją.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
xeran
(Cyniobrodno)
9 Grudzień 2009 17:42
#5
Bardzo Ci dziekuje za pomoc