Problem - win32 rootkit

**Posty:** 11 · przez **cslynx** 25 Lut 2010, 00:31

Witam,

Jako że jestem nowy na forum - Witam Wszystkich!

Do rzeczy: przyniosłem sobie na pendrive jakieś badziewie, które avast wykrywa jako win32 rootkit. Narazie jedyne objawy to takie że wchodząc na dyski przez Moj komputer uruchamiają mi sie w nowych oknach oraz nie moge zmienić opcji widoku aby zobaczyć ukryte pliki. Choroba postępuje bo avast co jakiś czas wykrywa kolejne "dziwne" pliki. Skanowanie avastem wykrylo kilkanaście plików ale ich usunięcie nic nie dało, odnawiają się.

Poniżej zamieszczam log z OTL:
http://wklej.org/id/285528/

Przy pomocy strony http://www.virustotal.com/pl/ przeskanowałem jeden z dziwnych plików wskazanych przez avasta:

Kod: Zaznacz wszystko: Plik został już przeskanowany: MD5: 94b72bcc98c87e163c150e83f55dfd65 First received: 2010.02.24 13:37:35 UTC Data: 2010.02.24 18:32:30 UTC [<1D] Wyniki: 11/41 Permalink: analisis/8717e75946027e48e513ddf2f2fd3458641fc991cb2e10e6e545e3b19c38fb4d-1267036350

szczegóły: http://www.virustotal.com/pl/analisis/8717e75946027e48e513ddf2f2fd3458641fc991cb2e10e6e545e3b19c38fb4d-1267036350

Proszę pomóżcie usunąć to g.... i co zrobić z pendrivem? Jak go podłącze to wszystko będzie na nowo...

**Posty:** 18165 · przez **wojtas** 25 Lut 2010, 01:01

na penie jest syf...

Podepnij dysk przenośny (pendrive, karta pamięci). Wejdź w Start >>> Uruchom >>> CMD i wpisz polecenie:

X:

(za X podstaw literę pod jaką jest widoczny dysk przenośny)

Następnie wpisz polecenie tworzenia raportu:

DIR /A:H >C:\LOG.TXT & start notepad C:\LOG.TXT

Wklejasz zawartość pliku log.txt na forum

**Posty:** 11 · przez **cslynx** 26 Lut 2010, 08:16

Ok wiec oto log z pendriva:

Kod: Zaznacz wszystko: Wolumin w stacji I to KINGSTON Numer seryjny woluminu: C8AF-1D45 Katalog: I:\ 2010-02-07 22:20 91˙648 ws.exe 2010-02-26 07:14 51 autorun.inf 2010-02-17 19:46 95˙744 tgt.exe 2010-02-23 17:43 97˙792 62.exe 2010-02-25 17:47 99˙328 s1.exe 2010-02-07 09:30 <DIR> Recycled 2010-02-07 09:30 172˙543 qfnumt.exe 6 plik(˘w) 557˙106 bajt˘w 1 katalog(˘w) 3˙273˙211˙904 bajt˘w wolnych

**Posty:** 18165 · przez **wojtas** 26 Lut 2010, 17:10

z podlączonym pendrivem :

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\herss.exe ()
O32 - AutoRun File - [2010-02-24 23:12:39 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-02-24 23:12:39 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-02-24 23:12:40 | 000,000,051 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-02-24 23:12:40 | 000,000,051 | RHS- | M] () - F:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2008-05-06 11:23:11 | 000,189,808 | R--- | M] (Adobe Systems Incorporated) - H:\AutoPlay.exe -- [ CDFS ]
O32 - AutoRun File - [2008-06-27 18:27:41 | 000,000,000 | R--D | M] - H:\Autoplay -- [ CDFS ]
O32 - AutoRun File - [2006-08-22 12:33:08 | 000,000,055 | R--- | M] () - H:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{1b39de28-d2c1-11dd-9b51-aadcb4013837}\Shell\AutoRun\command - "" = I:\tgt.exe -- File not found
O33 - MountPoints2\{1b39de28-d2c1-11dd-9b51-aadcb4013837}\Shell\open\Command - "" = I:\tgt.exe -- File not found
O33 - MountPoints2\{7251bdc8-f2f5-11de-9b5a-001bfc78f342}\Shell - "" = AutoRun
O33 - MountPoints2\{7251bdc8-f2f5-11de-9b5a-001bfc78f342}\Shell\AutoRun\command - "" = H:\autorun.exe -- File not found
O33 - MountPoints2\{c11f01f5-f56d-11de-9b64-001bfc78f342}\Shell - "" = AutoRun
O33 - MountPoints2\{c11f01f5-f56d-11de-9b64-001bfc78f342}\Shell\AutoRun\command - "" = H:\Autoplay.exe -- [2008-05-06 11:23:11 | 000,189,808 | R--- | M] (Adobe Systems Incorporated)

:Files
C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\cvasds0.dll
C:\s1.exe
C:\62.exe
C:\ws.exe
C:\tgt.exe
C:\Recycled
C:\qfnumt.exe
d:\s1.exe
d:\62.exe
d:\ws.exe
d:\tgt.exe
d:\Recycled
d:\qfnumt.exe
e:\s1.exe
e:\62.exe
e:\ws.exe
e:\tgt.exe
e:\Recycled
e:\qfnumt.exe
f:\s1.exe
f:\62.exe
f:\ws.exe
f:\tgt.exe
f:\Recycled
f:\qfnumt.exe
i:\s1.exe
i:\62.exe
i:\ws.exe
i:\tgt.exe
i:\autorun.inf
i:\Recycled
i:\qfnumt.exe

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]

Kliknij w Run Fix. I potwierdz reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera

**Posty:** 11 · przez **cslynx** 26 Lut 2010, 19:53

ok, to jest log z OTL po skanowaniu : http://wklej.org/id/286374/

a tutaj jest raport z naprawy: http://wklej.org/id/286375/

Z samego działania kompa widze ze jest dobrze - widze ukryte pliki, dyski otwieraja sie normalnie, avast milczy.

Na czytaniu logów za bardzo sie nie znam, wiec czy już nie mam tego świństwa?

Pozdrawiam

**Posty:** 2183 · przez **NieWiem** 27 Lut 2010, 17:12

Na czytaniu logów za bardzo sie nie znam

Nie przejmuj się, ja też się nie znam :lol:

Wyczyszczone ładnie i nie zostało nic

Pobierz program OTC
Kliknij dwukrotnie na ikonę, aby uruchomić program (użytkownicy systemów Vista oraz Se7en => prawoklik oraz wybrać opcję Uruchom jako Administrator).
Wciśnij przycisk Clean Up!
Na pytanie "Begin cleanup Process?" wciśnij Yes.
Jeśli padnie prośba o restart - zgódź się.

Pobierz program TFC
Zamknij wszystkie otwarte programy - inaczej TFC zrobi to za Ciebie
Kliknij dwukrotnie na ikonę, aby uruchomić program (użytkownicy systemów Vista oraz Se7en => prawoklik oraz wybrać opcję Uruchom jako Administrator).
Kliknij przycisk Start
Czyszczenie lokalizacji tymczasowych może chwilę potrwać (ale znowu bez przesady), uzbrój się w cierpliwość.
Jeśli padnie prośba o restart - zgódź się.

Wyłączenie przywracania systemu
- Na pulpicie => prawoklik na Mój Komputer
- opcja Właściwości
- zakładka Przywracanie systemu
- Zaznaczyć opcję Wyłącz przywracanie systemu
- Kliknąć Zastosuj, a potem OK.
Zrestartować komputer!
Włączanie przywracania systemu
- Na pulpicie => prawoklik na Mój Komputer
- opcja Właściwości
- zakładka Przywracanie systemu
- Odznaczyć opcję Wyłącz przywracanie systemu
- Kliknąć Zastosuj, a potem OK.

Tyle

**Posty:** 11 · przez **cslynx** 02 Mar 2010, 01:22

Dzieki wielkie

Wszystko działa jak należy!

Niebawem zajmę się kompem od którego przyniosłem to świństwo...

Pozdrawiam

**Posty:** 17 · przez **dvoorek** 03 Mar 2010, 09:41

Witam. Ja również mam problem z tym rootkitem z tą różnicą, że nie poprzez pendriva a ... nie wiem dlaczego. Pewnie mój brat coś kombinował pod moją nieobecność. Za każdym razem jak włączam komputer to wyskakują komunikaty z wirusami. Zazwyczaj znajdują się w folderach windowsowskich z driverami itp.

Czy ta porada dwa posty niżej sprawdzi się również z moim problemem?
Kompletnie nie znam się na tych sprawach. Nawet nie wiem jak zrobić zdjęcie tego loga czy jakoś tak : P

Proszę o pomoc...

**Posty:** 12734 · przez **Mikou@j** 03 Mar 2010, 10:39

dvoorek, załóż swój temat, odpowiednio go nazwij i zastosuj się do zasady-wstawiania-logow-vt93842.html

Kto jest na forum