Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Kategoria: Kamery IP / Alarmy / Automatyka Bram
Montersi
Kategoria: Akumulatorki / Baterie / Ładowarki

Win32:Rootkit-gen [Rtk] - wirus systemowy

radocha93 21 Sty 2011 20:32
  • #1 21 Sty 2011 20:32
    radocha93
    Poziom 7  

    Witam mam problem a mianowicie od pewnego czasu Avast wykrywa Win32:Rootkit-gen [Rtk] którego nie mogę usunąć .
    Wszystko dzieje się w X:\WINDOWS\System32.
    Dodaje log z ComboFiz'x http://wklejto.pl/87525
    Proszę o pomoc.
    Pozdrawiam

  • #4 22 Sty 2011 11:39
    Kolobos
    Spec od komputerów

    Odinstaluj: Winamp Toolbar, BearShare MediaBar, DAEMON Tools Toolbar, vshare toolbar, BearShare.

    Jaka dokladnie nazwe ma zainfekowany plik?


    Wykonaj taki skrypt w OTL:

    :OTL
    IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    IE - HKU\S-1-5-21-1614895754-1979792683-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
    IE - HKU\S-1-5-21-1614895754-1979792683-725345543-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
    FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
    FF - prefs.js..browser.search.order.1: "BearShare Web Search"
    FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
    [2010-12-01 16:11:29 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
    [2010-08-14 20:40:04 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593}
    [2010-11-25 19:49:58 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\extensions\DTToolbar@toolbarnet.com
    [2010-11-10 18:52:56 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\extensions\vshare@toolbar
    [2010-04-12 13:01:54 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\searchplugins\BearShareWebSearch.xml
    [2010-09-29 18:23:12 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\searchplugins\web-search.xml
    [2010-12-01 16:17:35 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Radocha\Dane aplikacji\Mozilla\Firefox\Profiles\rrobgyjt.default\searchplugins\winamp-search.xml
    [2010-04-12 13:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
    O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
    O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\DataMngr\IEBHO.dll (MusicLab, LLC)
    O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
    O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
    O3 - HKU\S-1-5-21-1614895754-1979792683-725345543-1003\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
    [2010-08-14 20:44:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Radocha\Dane aplikacji\bearsharemediabartb

  • #6 22 Sty 2011 13:29
    Kolobos
    Spec od komputerów

    Zrob skan przy pomocy mbam oraz cureit i zobacz czy cos wykryja.

  • #7 22 Sty 2011 19:47
    radocha93
    Poziom 7  

    robiłem skan za pomocą mbam i niestety wykryło 3 zagrożenia ....

  • #8 22 Sty 2011 20:01
    Kolobos
    Spec od komputerów

    To je usun w mbam.

  • #10 23 Sty 2011 13:42
    Kolobos
    Spec od komputerów

    Czy jeszcze wystepuje jakis problem?

  • #11 29 Sty 2011 13:12
    radocha93
    Poziom 7  

    niestety tak problem nadal wystepuje mimo zalecen

  • #12 29 Sty 2011 13:20
    Kolobos
    Spec od komputerów

    Czy pelny skan przy pomocy cureit cos wykrywa?
    Daj log z Mbrcheck.exe (Znajdziesz na google), po wyswietleniu wynikow wylacz program (nie wybieraj opcji!).
    Daj tez log z gmera. W gmerze klikasz Szukaj, czekasz az skonczy, klikasz Kopiuj, wklejasz do pliku txt i dajesz w zalaczniku. Przed uzyciem uzyj Defoggera.

  • #14 29 Sty 2011 15:23
    Kolobos
    Spec od komputerów

    Dlaczego wczesniej nie wykonales skanowania przy pomocy cureit? Jak sam widzisz usunal on infekcje.

    Wykonaj tak skrypt w OTL:

    :OTL

    :Files
    C:\WINDOWS\system32\pzzepfx.dll

    :Services
    wfxfakzgw

    Po wykonaniu daj log z usuwania, nowy log z OTL oraz nowy log z gmera.

    Uzyj tez log z: Tdsskiller http://support.kaspersky.com/downloads/utils/tdsskiller.exe
    Daj tylko raport, jak cos wykryje to wybierz Skip.

  • #16 29 Sty 2011 16:44
    Kolobos
    Spec od komputerów

    Gemera uzyles przed uzyciem OTL? Jezeli po to wpisz w uruchom:

    sc delete wfxfakzgw

    Po wykonaniu daj nowy log z gmera, najlepiej po zrobiony po ponownym uruchomieniu systemu.

  • #17 29 Sty 2011 16:57
    pro759
    Poziom 13  

    reinstaluj Windowsa.
    Najpewniejszy sposób.

    Moderowany przez jankolo:

    Ostrzeżenie za namawianie do nieuzasadnionej reinstalacji systemu

  • #21 29 Sty 2011 19:41
    Kolobos
    Spec od komputerów

    Uzyj CFScript.txt z combofix:

    Driver::
    wfxfakzgw

    NetSvcs::
    wfxfakzgw

    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfxfakzgw]
    [-HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

    Po wykonaniu daj log, ktory sie utworzy.

  • #22 29 Sty 2011 19:51
    radocha93
    Poziom 7  

    nie zrozumiałem co mam zrobić możesz jaśniej co mam zrobić z tym logiem co podałes

  • #23 29 Sty 2011 20:08
    Kolobos
    Spec od komputerów

    Utworz plik CFScript.txt, wklej do niego to co podalem, zapisz i przeciagnij go na ikone combofix.exe.

  • #26 29 Sty 2011 20:45
    radocha93
    Poziom 7  

    robiąc skana CF wykryło Rootkita zapewne widać to na logu.

  • #27 29 Sty 2011 20:51
    Kolobos
    Spec od komputerów

    Jezeli chodzi Ci o to ze antywirus cos wykryl podczas dzialania combofix to jest to falszywy alarm. Wybierz w OTL Sprzatanie jezeli juz wszystko jest ok.

  • #28 29 Sty 2011 21:00
    radocha93
    Poziom 7  

    ale cały czas narzuca się poczatkowy problem tego wirusa w folderze systemowym \system32\svchost.exe ;/

  • #29 29 Sty 2011 21:05
    Kolobos
    Spec od komputerów

    Przeciez wszystko juz zostalo usuniete, zainfekowany plik oraz usluga.
    Avast dalej cos wykrywa?

  • #30 29 Sty 2011 21:07
    radocha93
    Poziom 7  

    no niestety Avast dalej wykrywa wirusa to już 3 raz dzisiejszego dnia !!!

  Szukaj w 4mln produktów
Przeglądaj produkty