Wykryty Trojan.NtRootKit.7240


(Ap1) #1

Dr web wykrył mi Trojan.NtRootKit.7240 którego nie moze usunac.

Avas wykryl rootkit win32:Qandr [RTK] o Win32: Malware-gen

tez ich nie moze usunac.

wirusy sie pojawily jak sciagnełam aktulaizacje do avastu

prosze o pomoc co z tym zrobic ? oczywiscie z komputera jestem noga :slight_smile:

skanowałam tez spybot`em ale nic nie złapał.


(Katalonczyk97) #2

Daj loga z OTL http://www.instalki.pl/programy/downloa ... re/OTL.php na stronkę wklejto.pl wklejasz logi które wyskoczą czyli OTL.txt+ Extras.txt( są tam skąd uruchamiałaś OTL) Daj również loga z GMER www.gmer.net klikasz szukaj. po skanie kopiujesz i wklejasz na wklejto.pl


(Ap1) #3

http://wklejto.pl/64941

czy wlasnie to ?


#4

Tak to jest to, ale brakuje pliku "Extras.txt" (powinien się on znajdować w tym samym katalogu co "OTL.txt"), który też jest ważny. Poza tym każdy z logów wkleja się osobno na stronę http://wklej.to lub http://wklej.org.


(Ap1) #5

wkleiłam cały plik OTL.txt

wiec moze jednak cos zle zrobilam ?

poza tym mam porblem z kompem, caly czas mi sie wiesza.


#6

Pokaż logi z narzędzia OTL. Ustawiasz go tak jak na tym obrazku http://wstaw.org/m/2010/02/02/OTL.png oraz wklejasz w dolne białe okienko Custom Scans/Fixes to:

Klikasz Run Scan i pokazujesz logi OTL.txt + Extras.txt.


(Ap1) #7

http://www.wklejto.pl/64948

http://www.wklejto.pl/64950


(deFco247) #8

Typowy rootkit nie zostanie zauważony przez OTL, więc wstaw dodatkowo log z GMER.

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Poza tym odinstaluj przestarzałą wersję avasta. Po usunięciu infekcji zainstalujesz nową wersję piątą.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

Odinstaluj poprzez Dodaj/usuń programy: Google Update Helper , free-downloads.net Toolbar , Winamp Toolbar.


(Ap1) #9

mam duze problemy z komputerem co chwila sie wiesza, przegladarka chodzi jak chce. nie moge wkleic log z gmer na stronie wklejto.pl bo zawiesza mi natychmiast komputer i musze go restetowac wiec wklejam to tutaj. odintalowałam to co kazales. zaraz zrobie log z OTL

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-04-24 22:51:25

Windows 5.1.2600 Dodatek Service Pack 3

Running: cfyqhpgt.exe; Driver: C:\DOCUME~1\Ania\USTAWI~1\Temp\ufaoqaob.sys

---- Devices - GMER 1.0.15 ----

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- EOF - GMER 1.0.15 ----

-- Dodane 24.04.2010 (So) 23:10 --

http://www.wklejto.pl/64960

raport, który wyskoczył po usuwaniu OTL-em

-- Dodane 24.04.2010 (So) 23:16 --

http://www.wklejto.pl/64961

nowy log robiony opcją Run Scan

-- Dodane 24.04.2010 (So) 23:33 --

http://www.wklejto.pl/64965

-- Dodane 25.04.2010 (N) 0:02 --

czy to juz koniec klopotow? zainstlowac jakies antywirasa? jakiego polecasz?


(Katalonczyk97) #10

nie używałaś skryptu 2 razy? bo w logu z usówania pisze że nic się nie wykonało. pobierz SystemLook http://www.bezpieczenstwosystemow.pl/in ... pic=4889.0

Wklej w okienko:

klikasz Look czekasz na loga.


(Ap1) #11

http://www.wklejto.pl/64988

log raportu z systemLook

wydaje mi sie ze jest wszytko usuniete komputer chodzi super. wczoraj otworzenie przegladarki bylo masakra, wszytko sie wieszalo.

-- Dodane 25.04.2010 (N) 12:50 --

czy nstalowac teraz avast 5 ? nie zainstalowałam jeszcze zadnego antywirusa.


(deFco247) #12

Źle kopiujesz skrypt do OTL-a, przez co nic się nie wykonało. Nie pomijaj dwukropka przed :OTL

Tylko że nic z infekcji nie zostało usunięte. Same pliki tymczasowe poszły w niepamięć. :stuck_out_tongue:

Jak widać było ich b. dużo.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.


(Ap1) #13

zrobiłam co kazales, dwukropek byl skopiowany :slight_smile:

tylko ze restarcie log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) nie wyskoczyl ! nie ma :frowning:

ponizej link do nowy log robiony opcją Run Scan

http://www.wklejto.pl/65001


(Katalonczyk97) #14

jeszcze na kasację: (kolejno tak jak podam)

Żeby to widzieć musisz wejść w :

Panel Sterowania-> Opcje Folderów->->Widok zaznacz: Pokaż ukryte pliki i foldery, oraz odznacz ukryj Chronione pliki Systemu operacyjnego(zalecane).Zastosuj kasujesz w dokładnej kolejności jak podałem potem możesz odznaczyć Pokaż ukryte pliki i foldery oraz zaznaczyć ukryj chronione pliki systemu operacyjnego.


(deFco247) #15

Usuń powyższe.

W OTL kliknij CleanUp.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Niezbędne aktualizacje:

Java 6 Update 20 + Skype 4.2 + Adobe Reader 9.3.2 + Celestia 1.6.0


(Ap1) #16

nie wiem czy rozumiem polecenie na "jeszcze na kasację: (kolejno tak jak podam)"

czy mam C:\WINDOWS\ServicePackFiles\i386\changer.sys

wpisac w OTL ? najpierw jedno potem drugie itd? bo nie lapie tego. pisalam ze jestem noga z komputera :slight_smile: trzeba wyrazniej :slight_smile:

weszłam w panel sterowania w opcje folderów i mam pytanie:

czy mam odznaczyc inne rzeczy nie wymione przez Ciebie okienka ? i zaznaczyc Pokaż ukryte pliki i foldery jest i odznaczyc i nacisnac zastosuj ? czy inne polecenie ?

bo jak otwieram panel sterowania -> widok to sa pozanznaczenie inne okienka i odznaczone jest Chronione pliki Systemu operacyjnego(zalecane) i zaznaczone jest Pokaż ukryte pliki i foldery jest zaznaczone i wtedy polecenie zastosuj jest nieaktywne.


(deFco247) #17

Po kolei skasuj te pliki poprzez Shift+Delete w takiej kolejności jak podano.

To oznacza, ze nic nie musisz zmieniać i te wcześniej wspomniane pliki zobaczysz (normalnie mają status ukryty).


(Ap1) #18

ok ale jak mam znalesc C:\WINDOWS\ServicePackFiles\i386\changer.sys

tylko sie nie denerwuj, bardzo prosze :slight_smile:

ania

-- Dodane 25.04.2010 (N) 17:02 --

weszłam w C:\WINDOWS potem w plik system32 nie ma takiego pliku dllcache\changer.sys

jest : divxdec.ax. potem dllhost.exe potem dllhst.3g.exe potem damdim.exe itd

nie wiem gdzie znalesc ten plik.

plik C:\WINDOWS\ServicePackFiles\i386\changer.sys juz wykasowałam.

-- Dodane 25.04.2010 (N) 17:05 --

C:\WINDOWS\system32\drivers\changer.sys

tez nie ma :frowning: tzn nie wiem gdzie znalesc.

-- Dodane 25.04.2010 (N) 17:09 --

znalazłam !!


(Katalonczyk97) #19

dla absolutnej pewności daj drugiego loga z systemLook

wklejasz to:


(Ap1) #20

komputer jest czysty. wszytkim bardzo dziekuje za pomoc i okazana cierpliwosc :slight_smile:

Czy Malwarebytes' Anti-Malware ma byc moim antywirusem na stale ? prosze o oinfo.