Nagle mi avast zakomunikował o wirusie Win32:Rootkit-gen [Rtk]. Komp zamula lub w ogóle nie działa.
Tutaj link do loga z hijackthis:
Nagle mi avast zakomunikował o wirusie Win32:Rootkit-gen [Rtk]. Komp zamula lub w ogóle nie działa.
Tutaj link do loga z hijackthis:
Nawiasem mówiąc: nawet w logu Hijacka widać ślady infekcji.
jessi
.
Log z OTL:
http://www.wklej.org/id/302213/
a tutaj drugi log z OTL z uwzględnieniem tego co tam miało być w oknie “custom scans/fixes”:
Masz dwie sktywne infekcje i ślady trzeciej.
Z jednej infekcji raczej się uda wyjść, natomiast z drugiej szanse na wyjście z niej są marne.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
po restarcie:
http://www.wklej.org/id/302247/
po ponownym uruchomieniu:
http://www.wklej.org/id/302251/
avast dalej szaleje:
C:\WINDOWS\system32\drivers\PCIDump.sys
i podobne pliki dla tej samej lokalizacji
Te pliki Systemowe są chyba albo zarażone, albo podmienione przez wirusa.
To prawdopodobnie są prawidłowe pliki Systemowe, ale zostały ukryte przez wirusa.
Sprawdź , czy są i jeśli są, to jakie mają rozmiary.
Wszystkie pliki wymienione wyżej sprawdź na > JOTTI/albo na VIRUSTOTAL.
Najlepiej byłoby wymienić je, ale moje pliki nie są zgodne z Twoim ServicePack 2 (ja mam ServicePack 3)
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
Napisz, co wykrył.
Linki zapasowe (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >
>http://www.load.to/NgQs8AtlkG/launch.com
>http://www.zshare.net/download/7343719520109dad/
>http://www.sendspace.pl/file/423882c759f3af5052baabe
>http://www.turboupload.com/5vxbyx3nwqky/launch.com.html
jessi
Raport z usuwania:
http://www.wklej.org/id/302952/
Nowy log z OTL:
http://www.wklej.org/id/302953/
To mi znalazł DrWeb:
msgmr.dll Trojan.MulDrop.18194 c:\program files\messenger
Tych prawidłowych plików nie było na dysku i nie mam jak ich zamienić/uzupełnić.
Na kompie nie ma już wirusów, ale dalej zamula po uruchomieniu (trzeba czekać parę min, żeby coś można było zrobić) - w procesach jest pełno czegoś takiego: “svchost.exe” - znalazłem o tym temat na forum i zrobiłem tak jak tam było napisane.
W nowym logu nie widzę tych plików podmienionych przez wirusa - czy usuwałeś je?
Jeśli usunąłeś bez podmiany i nie ma ich teraz, to ściągnij je stąd i umieść w C:\WINDOWS\system32\drivers\
http://www.speedyshare.com/files/21590996/ipinip.sys
http://www.speedyshare.com/files/21591002/irenum.sys
http://www.speedyshare.com/files/21591008/ipfltdrv.sys
http://www.speedyshare.com/files/21591009/ip6fw.sys
http://www.speedyshare.com/files/21591014/secdrv.sys
http://www.speedyshare.com/files/21591015/modem.sys
http://www.speedyshare.com/files/21591016/mskssrv.sys
http://www.speedyshare.com/files/21591018/mspclock.sys
http://www.speedyshare.com/files/21591020/nwlnkflt.sys
http://www.speedyshare.com/files/21591023/mspqm.sys
Jeśli natomiast te pliki dalej są i mają nieprawidłowy rozmiar (czyli dalej mają 000,838,144), to w takim przypadku zrobisz to:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera.
Przyczyny nie muszą być “wirusowe”.
Pozamieniałem pliki za pomocą OTL’a. Komp dalej zamula przy logowaniu się (zanim coś mogę na nim robić to muszę odczekać aż 30min), wcześniej (przed tym wirusem) komp chodził bardzo dobrze.
W takim razie szukamy dalej:
Daj dwa logi z ComboFix
na ustawieniu:
>>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)
>>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>
Przed uruchomieniem GMER trzeba zrobić najpierw to:
użyć >defogger
usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Daj log z ComboFix
jessi
Ok. Zrobiłem coś innego - zarzuciłem instalką windowsa, dałem “napraw” i komp działa.
Dzięki za pomoc!