Win32: rootkit-gen[rtk]

[mik3]

Wykryte przez avast.
Do tego dochodzą problemy z internetem, i generalnie dosyć wolna praca.

http://www.wklej.org/id/492175/
http://www.wklej.org/id/492176/
http://www.wklej.org/id/492177/

[wojtas]

widzę dwa programy zabezpieczające :

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)

O4 - HKLM..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe (AVAST Software)

stosowne jest mieć tylko jeden taki program, więc pozbądź się jednego ( zostaw lepiej Avasta)

odinstaluj Winamp Toolbar, HyperCam Toolbar

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [userini] File not found
O7 - HKU\S-1-5-21-527237240-1078081533-1417001333-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe
O4 - HKU\S-1-5-21-527237240-1078081533-1417001333-1004..\Run: [CE8SIIFGSU] File not found
O4 - HKU\S-1-5-21-527237240-1078081533-1417001333-1004..\Run: [userini] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe
@Alternate Data Stream - 37376 bytes -> C:\WINDOWS\explorer.exe:userini.exe
@Alternate Data Stream - 37376 bytes -> C:\WINDOWS\explorer.exe.tmp:userini.exe

:Files
C:\WINDOWS\explorer.exe:userini.exe
C:\WINDOWS\explorer.exe.tmp:userini.exe
C:\Documents and Settings\Mik3\Dane aplikacji\Toolbar4
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\tasks\czfem.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + Gmer

[mik3]

Czysczenie
http://www.wklej.org/id/492248/
OTL
http://www.wklej.org/id/492249/
http://www.wklej.org/id/492251/
Gmer
http://www.wklej.org/id/492253/

[wojtas]

Wykonaj czynności końcowe :
*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie i pokaż raport )
* Skasuj stan przywracania systemu


Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Java™ 6 Update 24
>>> Avast 6 (odinstaluj starszą wersję i zainstaluj nową)

i napisz jak sytuacja

[mik3]

wczoraj przeskanowałem tylko dysk C

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Wersja bazy: 6046

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702

2011-03-14 00:09:23
mbam-log-2011-03-14 (00-09-23).txt

Typ skanowania: Pełne skanowanie (C:\|)
Przeskanowano obiektów: 181497
Upłynęło: 16 minut(y), 27 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 5
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 2

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VXEG3ZNNE5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
c:\documents and settings\MG\Pulpit\stressrelief\stressrelief.exe (Joke.Stressreducer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{538caf7a-a38e-40a0-b9e3-879795ca67b5}\RP7\A0009599.sys (Rootkit.Rustock) -> Quarantined and deleted successfully.


dzisiaj całość:

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Wersja bazy: 6048

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702

2011-03-14 14:02:19
mbam-log-2011-03-14 (14-02-19).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Przeskanowano obiektów: 340854
Upłynęło: 2 godzin(y), 30 minut(y), 16 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 2

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
c:\system volume information\_restore{538caf7a-a38e-40a0-b9e3-879795ca67b5}\RP7\A0009628.EXE (Joke.Stressreducer) -> Quarantined and deleted successfully.
e:\guitar.pro.v5.1\GP5.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.


[wojtas]

powinno być ok

Autor postu otrzymał pochwałę

[mik3]

Jak narazie żadnych problemów, chyba jest ok
Dzięki za pomoc