Win32:rootkit-gen [rtk] i wyrwane z głowy włosy

**Posty:** 3 · przez **MoorPH** 24 Mar 2010, 23:54

Witam wszystkich mam nielada problem. Złapałem od kumpła wira jak w temacie i męczę się z nim już kilka dni. Prosiłbym o sprawdzenie logów i ewentualne naprowadzenie jak się tego świństwa pozbyć.

Poniżej wklejam skan z OTL:

http://wklej.org/id/303487/

Avast wykrywa mi go w plikach
C:\ji... .exe
i taki sam plik na D:
Bądź też na pendrajwie jak jest podłączony.

**Posty:** 18165 · przez **wojtas** 25 Mar 2010, 00:05

a więc tak dałeś log OTL.txt wg obowiązkowych zasad w dziale bezpieczeństwo powinieneś dać loga extras.txt oraz Gmera.
do tego
Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji 5 i pokaż raport na forum.

**Posty:** 3 · przez **MoorPH** 25 Mar 2010, 01:03

Co do obowiązkowych zasad wstawiania logów:
"Nie masz zezwoleń by czytać to forum."

Tu jest log z extras.txt
Obecnie dysk I: to Play Online
http://wklej.org/id/303514/

Log z USBFIX

http://wklej.org/id/303516/

Log z Gmer który wyskoczył zaraz po jego uruchomieniu:

http://wklej.org/id/303518/

Dodano Dzisiaj, 00:11:
Niewiem czy tak powinno być ale po zaznaczeniu drugiej partycji (D:) w programie Gmer procesor zaczął chodzić w 100%. Czy to normalne?
Procesy aktywne tzn te które zajmują całą pamięć procesora to:
- iFramewrk.exe
- ZCfgSvc.exe

**Posty:** 18165 · przez **wojtas** 25 Mar 2010, 01:13

przy podłączonym pendrivie:

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found.
O3 - HKU\S-1-5-21-839522115-362288127-1177238915-1002\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-839522115-362288127-1177238915-1002\..\Toolbar\ShellBrowser: (no name) - {63AB4C54-3310-44c9-85D8-AA92C2263D58} - No CLSID value found.
O3 - HKU\S-1-5-21-839522115-362288127-1177238915-1002\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O4 - HKU\S-1-5-21-839522115-362288127-1177238915-1002..\Run: [cdoosoft] C:\Documents and Settings\MoorPH\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKU\S-1-5-21-839522115-362288127-1177238915-1002..\Run: [fsm] File not found
O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\del.exe ()
O4 - Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\z.cmd ()
O32 - AutoRun File - [2010-03-24 22:47:02 | 000,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-02-23 22:12:30 | 000,000,000 | ---D | M] - D:\AUTO -- [ NTFS ]
O32 - AutoRun File - [2010-03-24 22:47:02 | 000,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2008-04-23 22:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.) - I:\AutoRun.exe -- [ CDFS ]
O32 - AutoRun File - [2008-07-04 12:03:32 | 000,000,051 | R--- | M] () - I:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{2868bce1-be62-11de-861c-0013e895e99d}\Shell - "" = AutoRun
O33 - MountPoints2\{2868bce1-be62-11de-861c-0013e895e99d}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- [2008-04-23 22:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.)
O33 - MountPoints2\{2be42568-be6b-11de-bc54-806d6172696f}\Shell\AutoRun\command - "" = D:\ji83j.exe -- [2010-03-23 20:28:12 | 000,128,512 | RHS- | M] ()
O33 - MountPoints2\{2be42568-be6b-11de-bc54-806d6172696f}\Shell\open\Command - "" = D:\ji83j.exe -- [2010-03-23 20:28:12 | 000,128,512 | RHS- | M] ()
O33 - MountPoints2\{2be4256a-be6b-11de-bc54-806d6172696f}\Shell\AutoRun\command - "" = C:\ji83j.exe -- [2010-03-23 20:28:12 | 000,128,512 | RHS- | M] ()
O33 - MountPoints2\{2be4256a-be6b-11de-bc54-806d6172696f}\Shell\open\Command - "" = C:\ji83j.exe -- [2010-03-23 20:28:12 | 000,128,512 | RHS- | M] ()

:Files
C:\autorun.inf
D:\ey.exe
C:\ey.exe
G:\ey.exe
D:\autorun.inf
G:\autorun.inf
C:\Documents and Settings\MoorPH\Ustawienia lokalne\Temp\cvasds0.dll
C:\Documents and Settings\MoorPH\Ustawienia lokalne\Temp\cvasds1.dll
C:\ji83j.exe
D:\ji83j.exe
G:\ji83j.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[purity]
[emptytemp]

Kliknij w Run Fix. I potwierdź reset kompa .Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera

Autor postu otrzymał pochwałę

**Posty:** 3 · przez **MoorPH** 25 Mar 2010, 01:16

Gmer jak narazie znalazł to:

http://wklej.org/id/303520/

Ale nie mam jeszcze podłączonego przenośnego dysku - który wydaje mi się że może również być zarażony.

Dodano Dzisiaj, 00:31:
Mam dziwne wrażenie jakby komputer włączył się zdecydowanie szybciej.. Ale może to już moja psychika siada :wink:

http://wklej.org/id/303523/

Oraz nowy log z OTL z extras.txt:

http://wklej.org/id/303524/

**Posty:** 18165 · przez **wojtas** 25 Mar 2010, 15:34

Czynności końcowe :

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )

Zaktualizuj zabezpieczenia:
>>> Internet Explorer 8
>>> Java™ 6 Update 18
>>> Avast 5