Rootkit gen w drivers nie można usunąć pliku

**Posty:** 4 · przez **brubeck** 07 Mar 2010, 14:08

Witam,
Avast wykrył rootkit-gen, udało się (chyba w większości) usunąć za pomocą bodaj ad-aware. Po drodze powstały szkody, m.in w postaci braku dźwięku, w czasie reinstalacji sterowników (płyta asus p5k i karta realtek alc883) i jednego z restartów pojawił się komunikat o niemożności uruchomienia windowsa z powodu uszkodzenia pliku cpi.sys. Konsola odzyskiwania + oryginalna płyta z windowsem nie wystarczyły, nie było możliwości podmiany tego pliku, skończyło się na reinstalacji windowsa. Następnie udało się odzyskać dźwięk, konieczne było też odinstalowanie ie8, w którym pojawiał się błąd "wymagany klucz wyszukiwania nie został odnaleziony w żadnym aktywnym kontekście aktywacji". Zamiast avasta zainstalowałem kaspersky, który wykrywa mi jeszcze rootkit w pliku kyzfahy.sys w c:\windows\system32\drivers, próbowałem bezskutecznie usunąć ten plik różnymi programami. Jak pozbyć się ostatecznie tego rootkita?

log z otl (po run scan pojawia się tylko ten jeden):
http://wklej.org/id/291877/

i z rsit
http://wklej.org/id/291881/

Trzy próby skanu gmerem kończyły się zawieszeniem komputera (alcohol, daemon już wcześniej usunąłem, w katalogu alcohola został jeden plik jakiś log, który nie chce się usunąć). W sumie już półtora dnia walczę z kompem na różnych frontach, więc proszę o wyrozumiałość, jeśli coś źle wkleiłem, opisałem. Zapoznałem się z tematami o wklejaniu itd., chociaż są one trochę sprzeczne, w jednym jest mowa o rsit, w drugim o gmer, w jednym otl daje tylko jeden log, w drugim ma być jeszcze extras... Mam nadzieję, że ww. informacje wystarczą, aby mi pomóc rozwiązać problem.

**Posty:** 12734 · przez **Mikou@j** 07 Mar 2010, 15:27

brubeck napisał(a):alcohol, daemon już wcześniej usunąłem

(Duplex Secure Ltd.) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

ale sterowników nie usunąłeś, więc to zrób i daj loga gmera.
Jak ustawisz wszystkie opcje w OTL tak jak na screenie, to będziesz miał drugiego loga.
Czytać !! zasady-wstawiania-logow-vt93842.html

**Posty:** 4 · przez **brubeck** 07 Mar 2010, 17:20

ok, usunąłem ten plik, który wskazałeś, wrzucam nowe logi:

otl:
http://wklej.org/id/292027/

extras
http://wklej.org/id/292028/

gmer:
http://wklej.org/id/292030/

w trakcie pracy gmera komp zaczyna mulić, zużycie procesora rośnie do 97-99%, w tym takie procesy: avp.exe, svchost.exe, lsass.exe

**Posty:** 18165 · przez **wojtas** 07 Mar 2010, 17:34

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
O3 - HKU\S-1-5-21-2000478354-1580436667-682003330-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-2000478354-1580436667-682003330-1004\..\Toolbar\WebBrowser: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - No CLSID value found.
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [sysgif32] C:\WINDOWS\Temp\~TME.tmp (tzuk)
O4 - HKU\S-1-5-21-2000478354-1580436667-682003330-1004..\Run: [wsctf.exe] File not found
O33 - MountPoints2\{5598e418-bd6f-11dc-bd8a-001d60ef160d}\Shell\AutoRun\command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{5598e418-bd6f-11dc-bd8a-001d60ef160d}\Shell\explore\Command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{5598e418-bd6f-11dc-bd8a-001d60ef160d}\Shell\open\Command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{d81a5f33-bb91-11dc-bd7f-001d60ef160d}\Shell\AutoRun\command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{d81a5f33-bb91-11dc-bd7f-001d60ef160d}\Shell\explore\Command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{d81a5f33-bb91-11dc-bd7f-001d60ef160d}\Shell\open\Command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{d81a5f34-bb91-11dc-bd7f-001d60ef160d}\Shell\AutoRun\command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{d81a5f34-bb91-11dc-bd7f-001d60ef160d}\Shell\explore\Command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{d81a5f34-bb91-11dc-bd7f-001d60ef160d}\Shell\open\Command - "" = G:\EXPLORER.EXE -- File not found
O33 - MountPoints2\{e5268008-f070-11dc-bdf9-001d60ef160d}\Shell - "" = AutoRun
O33 - MountPoints2\{e5268008-f070-11dc-bdf9-001d60ef160d}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found

:Files
C:\Documents and Settings\LocalService\Dane aplikacji\rbuwzv.dat
C:\Documents and Settings\mb\Dane aplikacji\rbuwzv.dat
C:\WINDOWS\System32\drivers\kyzfahy.sys
C:\Documents and Settings\mb\Dane aplikacji\avdrn.dat

:Commands
[emptytemp]

Kliknij w Run Fix. I potwierdź reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera + log z Gmera

**Posty:** 4 · przez **brubeck** 07 Mar 2010, 18:47

otl:
http://wklej.org/id/292098/

czyszczenie (rozumiem, że to to, co wyskoczyło z otl po opisanych przez Ciebie czynnościach);
http://wklej.org/id/292099/

gmer:
http://wklej.org/id/292100/

gmer w tym miejscu się zatrzymuje, pisząc:
IAT: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe(836)
C:Windows\system32\kernell32.dll

nie chce ruszyć dalej i komp się zawiesił

**Posty:** 18165 · przez **wojtas** 07 Mar 2010, 18:58

Czynności końcowe :

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )

Zaktualizuj zabezpieczenia:
>>> Adobe Reader 9.3
>>> Internet Explorer 8
>>> Service Pack 3
>>> Java™ 6 Update 18

**Posty:** 4 · przez **brubeck** 07 Mar 2010, 22:11

Dzięki, uff, mam nadzieję, że to koniec przygód.

Malware wykrył mi jeszcze rootkit.agent w str.sys (drivers) - usunięty.

Z pozycji świeżego usera uprzejmie proponuję zmianę w podpiętych wątkach, bo naprawdę można się w tym pogubić, nawet jak ktoś chce postępować według wskazówek. Owszem jest temat "zasady wstawiania logów" ale nad nim jest "jak tworzyć logi z rsita i otl" - skoro rsit jest niepotrzebny, a otl w tym drugim wątku ma podane inne ustawienia niż w pierwszym (nie generuje wtedy extras), to znaczy, że ten drugi wątek niespecjalnie pomaga.

Przy gmerze też starałem się postępować według instrukcji, po odinstalowaniu daemona i alcohol, po sprawdzeniu SPTDinst wydawało mi się, że to już wszystko. A przez to, że nie usunąłem sterownika, nie mogłem zrobić skanu gmerem.

Dla jasności - jestem bardzo wdzięczny za pomoc, powyższe uwagi mają tylko na celu usprawnienie działania forum. Zwykle przecież trafiają tu osoby, które właśnie są w trakcie poważnych problemów

i trudno może być wpaść na to, że w jednym temacie są informacje aktualne, a w drugim sąsiednim nieaktualne.
Pozdrawiam

**Posty:** 18165 · przez **wojtas** 07 Mar 2010, 22:39

brubeck napisał(a):Z pozycji świeżego usera uprzejmie proponuję zmianę w podpiętych wątkach, bo naprawdę można się w tym pogubić, nawet jak ktoś chce postępować według wskazówek. Owszem jest temat "zasady wstawiania logów" ale nad nim jest "jak tworzyć logi z rsita i otl" - skoro rsit jest niepotrzebny, a otl w tym drugim wątku ma podane inne ustawienia niż w pierwszym (nie generuje wtedy extras), to znaczy, że ten drugi wątek niespecjalnie pomaga.

już niedługo bedą zmiany

pozdro

Kto jest na forum