X

Win32:Rootkit-gen [Rtk] - wirus systemowy

radocha93 21 Jan 2011 20:32
  • #1 21 Jan 2011 20:32
    radocha93
    Level 7  
    Helpful post? (0)
    Witam mam problem a mianowicie od pewnego czasu Avast wykrywa Win32:Rootkit-gen [Rtk] którego nie mogę usunąć .
    Wszystko dzieje się w X:\WINDOWS\System32.
    Dodaje log z ComboFiz'x http://wklejto.pl/87525
    Proszę o pomoc.
    Pozdrawiam
  • #2 21 Jan 2011 21:04
    Acorus 20
    Spec od komputerów
    Helpful post? (0)
    Pokaż logi z OTL http://oldtimer.geekstogo.com/OTL.exe
    Zaznacz-Wszyscy użytkownicy.Wszystkie panele-Użyj filtrowania.Zaznacz-infekcja LOP iPurity.
  • #3 22 Jan 2011 11:19
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    Log z OTL:
    http://wklej.to/3oxmM
  • #4 22 Jan 2011 11:39
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Odinstaluj: Winamp Toolbar, BearShare MediaBar, DAEMON Tools Toolbar, vshare toolbar, BearShare.

    Jaka dokladnie nazwe ma zainfekowany plik?


    Wykonaj taki skrypt w OTL:

    :OTL
    IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    IE - HKU\S-1-5-21-1614895754-1979792683-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
    IE - HKU\S-1-5-21-1614895754-1979792683-725345543-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
    FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
    FF - prefs.js..browser.search.order.1: "BearShare Web Search"
    FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
    [2010-12-01 16:11:29 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
    [2010-08-14 20:40:04 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593}
    [2010-11-25 19:49:58 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\extensions\DTToolbar@toolbarnet.com
    [2010-11-10 18:52:56 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\extensions\vshare@toolbar
    [2010-04-12 13:01:54 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\searchplugins\BearShareWebSearch.xml
    [2010-09-29 18:23:12 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\searchplugins\web-search.xml
    [2010-12-01 16:17:35 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\searchplugins\winamp-search.xml
    [2010-04-12 13:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
    O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
    O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\DataMngr\IEBHO.dll (MusicLab, LLC)
    O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
    O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    O3 - HKU\S-1-5-21-1614895754-1979792683-725345543-1003\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
    [2010-08-14 20:44:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Radocha\Dane aplikacji\bearsharemediabartb
  • #5 22 Jan 2011 12:52
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    Oto log z operacji jaką poleciłeś zrobić:
    http://wklej.to/xEHXg
    Oraz ss z wpisu do kwarantanny w Avascie !!!
    http://img708.imageshack.us/i/78984863.jpg/
    Nie moge określić nazwy zarażonego pliku.
  • #6 22 Jan 2011 13:29
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Zrob skan przy pomocy mbam oraz cureit i zobacz czy cos wykryja.
  • #7 22 Jan 2011 19:47
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    robiłem skan za pomocą mbam i niestety wykryło 3 zagrożenia ....
  • #8 22 Jan 2011 20:01
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    To je usun w mbam.
  • #9 23 Jan 2011 13:25
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    Log po procesie usunięcia wirusów:
    http://wklej.to/DfV7y
  • #10 23 Jan 2011 13:42
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Czy jeszcze wystepuje jakis problem?
  • #11 29 Jan 2011 13:12
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    niestety tak problem nadal wystepuje mimo zalecen
  • #12 29 Jan 2011 13:20
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Czy pelny skan przy pomocy cureit cos wykrywa?
    Daj log z Mbrcheck.exe (Znajdziesz na google), po wyswietleniu wynikow wylacz program (nie wybieraj opcji!).
    Daj tez log z gmera. W gmerze klikasz Szukaj, czekasz az skonczy, klikasz Kopiuj, wklejasz do pliku txt i dajesz w zalaczniku. Przed uzyciem uzyj Defoggera.
  • #13 29 Jan 2011 14:42
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    ss z cureita: http://img833.imageshack.us/i/45575277.jpg/
    log z Mbrcheck.exe : http://wklej.to/Pm9Ta
    log z gmera : http://wklej.to/GVrD1
    licze na pomoc
    pozdrawiam
  • #14 29 Jan 2011 15:23
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Dlaczego wczesniej nie wykonales skanowania przy pomocy cureit? Jak sam widzisz usunal on infekcje.

    Wykonaj tak skrypt w OTL:

    :OTL

    :Files
    C:\WINDOWS\system32\pzzepfx.dll

    :Services
    wfxfakzgw

    Po wykonaniu daj log z usuwania, nowy log z OTL oraz nowy log z gmera.

    Uzyj tez log z: Tdsskiller http://support.kaspersky.com/downloads/utils/tdsskiller.exe
    Daj tylko raport, jak cos wykryje to wybierz Skip.
  • #15 29 Jan 2011 16:24
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    log z OTL : http://wklej.to/GyU5h
    log z gmer : http://wklej.to/t6913
    raport z Tdsskiller :http://wklej.to/FIhsh
    http://img502.imageshack.us/i/15734175.png/
  • #16 29 Jan 2011 16:44
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Gemera uzyles przed uzyciem OTL? Jezeli po to wpisz w uruchom:

    sc delete wfxfakzgw

    Po wykonaniu daj nowy log z gmera, najlepiej po zrobiony po ponownym uruchomieniu systemu.
  • #17 29 Jan 2011 16:57
    pro759
    Level 13  
    Helpful post? (0)
    reinstaluj Windowsa.
    Najpewniejszy sposób.

    Moderated By jankolo:

    Ostrzeżenie za namawianie do nieuzasadnionej reinstalacji systemu

  • #18 29 Jan 2011 17:23
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    log z gmera : http://wklej.to/7zhD7
  • #19 29 Jan 2011 17:51
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Daj log z combofix.
  • #20 29 Jan 2011 19:35
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    http://wklej.to/z6amv
  • #21 29 Jan 2011 19:41
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Uzyj CFScript.txt z combofix:

    Driver::
    wfxfakzgw

    NetSvcs::
    wfxfakzgw

    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfxfakzgw]
    [-HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

    Po wykonaniu daj log, ktory sie utworzy.
  • #22 29 Jan 2011 19:51
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    nie zrozumiałem co mam zrobić możesz jaśniej co mam zrobić z tym logiem co podałes
  • #23 29 Jan 2011 20:08
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Utworz plik CFScript.txt, wklej do niego to co podalem, zapisz i przeciagnij go na ikone combofix.exe.
  • #24 29 Jan 2011 20:29
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    http://wklej.to/8gEHj
  • #25 29 Jan 2011 20:40
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Wyglada ok.
  • #26 29 Jan 2011 20:45
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    robiąc skana CF wykryło Rootkita zapewne widać to na logu.
  • #27 29 Jan 2011 20:51
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Jezeli chodzi Ci o to ze antywirus cos wykryl podczas dzialania combofix to jest to falszywy alarm. Wybierz w OTL Sprzatanie jezeli juz wszystko jest ok.
  • #28 29 Jan 2011 21:00
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    ale cały czas narzuca się poczatkowy problem tego wirusa w folderze systemowym \system32\svchost.exe ;/
  • #29 29 Jan 2011 21:05
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Przeciez wszystko juz zostalo usuniete, zainfekowany plik oraz usluga.
    Avast dalej cos wykrywa?
  • #30 29 Jan 2011 21:07
    radocha93
    Level 7  
    Topic author Helpful post? (0)
    no niestety Avast dalej wykrywa wirusa to już 3 raz dzisiejszego dnia !!!
  Search 4 million + Products
Browse Products