Win32:Rootkit-gen [Rtk]

blagoy · 30 Styczeń 2010 19:53

Witam,

Otoz avast wykryl mi tego cos , jak w temacie i nie mogl sobie z tym poradzic, co nic dziwnego z tego co czytalem podobne posty.

Uzylem paru Anty-rootkitow, ale niewiele pomogly.

Prosze zatem o pomoc , jak to g… usunac.

Ponizej logi z OTL

http://wklej.to/ZwA8

Z gory dziekuje za pomoc!

deFco247 · 30 Styczeń 2010 20:36

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.

Wyłącz Avasta na czas działania OTL-em, gdyż może on blokować jego działania.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL O2 - BHO: (Burn4Free Toolbar Helper) - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll File not found O3 - HKLM…\Toolbar: (Burn4Free Toolbar) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (Burn4Free Toolbar) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll File not found O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\dawid\USTAWI~1\Temp\herss.exe File not found O4 - HKCU…\Run: [iGoD] C:\Documents and Settings\dawid\Pulpit\iGoDr0728.exe File not found O32 - AutoRun File - [2010-01-30 14:09:03 | 000,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-30 14:09:03 | 000,000,057 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-29 15:01:28 | 000,000,049 | RHS- | M] () - E:\autorun.inf – [FAT] O32 - AutoRun File - [2010-01-30 14:09:03 | 000,000,057 | RHS- | M] () - H:\autorun.inf – [NTFS] O33 - MountPoints2{962d3a3e-7b63-11de-bf04-004f4e6092b8}\Shell\AutoRun\command - “” = E:\y.exe – [2010-01-29 07:09:10 | 000,100,864 | RHS- | M] () O33 - MountPoints2{962d3a3e-7b63-11de-bf04-004f4e6092b8}\Shell\open\Command - “” = E:\y.exe – File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Przed kliknięciem Run Scan wklejasz w OTL taki tekst:

blagoy · 31 Styczeń 2010 09:22

Zrobilem tak, jak napisales.

RUN FIX Log z usuwania http://wklej.to/mzg8

Nowy log robiony opcja RUN SCAN http://wklej.to/FLke

Jak to wyglada i co dalej ?

deFco247 · 31 Styczeń 2010 11:45

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania.

Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub Panda USB Vaccine.

Lub format.

blagoy · 31 Styczeń 2010 13:34

log z usuwania http://wklej.to/UDAB

Czy to wystarczy ?

Zaraz zabiore sie za pendrive`a

Dzieki za pomoc!

deFco247 · 31 Styczeń 2010 13:36

Akurat plik infekcji znajdował się na pendrive znajdującym się pod literką *E:* , więc go musisz w pierwszej kolejności “odkazić”.

W OTL kliknij CleanUp.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

No i zaktualizuj system do stanu Service Pack 3.