Win32:Rootkit-gen [Rtk]

Nagle mi avast zakomunikował o wirusie Win32:Rootkit-gen [Rtk]. Komp zamula lub w ogóle nie działa.

Tutaj link do loga z hijackthis:

http://www.wklej.org/id/302172/

Nawiasem mówiąc: nawet w logu Hijacka widać ślady infekcji.

jessi

.

Log z OTL:

http://www.wklej.org/id/302213/

a tutaj drugi log z OTL z uwzględnieniem tego co tam miało być w oknie “custom scans/fixes”:

http://www.wklej.org/id/302228/

Masz dwie sktywne infekcje i ślady trzeciej.

Z jednej infekcji raczej się uda wyjść, natomiast z drugiej szanse na wyjście z niej są marne.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

po restarcie:

http://www.wklej.org/id/302247/

po ponownym uruchomieniu:

http://www.wklej.org/id/302251/

avast dalej szaleje:

C:\WINDOWS\system32\drivers\PCIDump.sys

i podobne pliki dla tej samej lokalizacji

Te pliki Systemowe są chyba albo zarażone, albo podmienione przez wirusa.

To prawdopodobnie są prawidłowe pliki Systemowe, ale zostały ukryte przez wirusa.

Sprawdź , czy są i jeśli są, to jakie mają rozmiary.

Wszystkie pliki wymienione wyżej sprawdź na > JOTTI/albo na VIRUSTOTAL.

Najlepiej byłoby wymienić je, ale moje pliki nie są zgodne z Twoim ServicePack 2 (ja mam ServicePack 3)

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Napisz, co wykrył.

Linki zapasowe (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >

>http://www.load.to/NgQs8AtlkG/launch.com

>http://www.zshare.net/download/7343719520109dad/

>http://www.sendspace.pl/file/423882c759f3af5052baabe

>http://www.turboupload.com/5vxbyx3nwqky/launch.com.html

jessi

Raport z usuwania:

http://www.wklej.org/id/302952/

Nowy log z OTL:

http://www.wklej.org/id/302953/

To mi znalazł DrWeb:

msgmr.dll Trojan.MulDrop.18194 c:\program files\messenger

Tych prawidłowych plików nie było na dysku i nie mam jak ich zamienić/uzupełnić.

Na kompie nie ma już wirusów, ale dalej zamula po uruchomieniu (trzeba czekać parę min, żeby coś można było zrobić) - w procesach jest pełno czegoś takiego: “svchost.exe” - znalazłem o tym temat na forum i zrobiłem tak jak tam było napisane.

W nowym logu nie widzę tych plików podmienionych przez wirusa - czy usuwałeś je?

Jeśli usunąłeś bez podmiany i nie ma ich teraz, to ściągnij je stąd i umieść w C:\WINDOWS\system32\drivers\

http://www.speedyshare.com/files/21590996/ipinip.sys

http://www.speedyshare.com/files/21591002/irenum.sys

http://www.speedyshare.com/files/21591008/ipfltdrv.sys

http://www.speedyshare.com/files/21591009/ip6fw.sys

http://www.speedyshare.com/files/21591014/secdrv.sys

http://www.speedyshare.com/files/21591015/modem.sys

http://www.speedyshare.com/files/21591016/mskssrv.sys

http://www.speedyshare.com/files/21591018/mspclock.sys

http://www.speedyshare.com/files/21591020/nwlnkflt.sys

http://www.speedyshare.com/files/21591023/mspqm.sys

Jeśli natomiast te pliki dalej są i mają nieprawidłowy rozmiar (czyli dalej mają 000,838,144), to w takim przypadku zrobisz to:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Przyczyny nie muszą być “wirusowe”.

Pozamieniałem pliki za pomocą OTL’a. Komp dalej zamula przy logowaniu się (zanim coś mogę na nim robić to muszę odczekać aż 30min), wcześniej (przed tym wirusem) komp chodził bardzo dobrze.

W takim razie szukamy dalej:

Daj dwa logi z ComboFix

na ustawieniu:

  1. >>gmer>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

  2. >>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>

Przed uruchomieniem GMER trzeba zrobić najpierw to:

  1. użyć >defogger

  2. usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Daj log z ComboFix

jessi

Ok. Zrobiłem coś innego - zarzuciłem instalką windowsa, dałem “napraw” i komp działa.

Dzięki za pomoc! :slight_smile: