Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Laptop Lenovo/G 510 - GMER wykrywa rootkita w systemie

Oldex53 23 Kwi 2016 14:06 540 4
  • #1 23 Kwi 2016 14:06
    Oldex53
    Poziom 5  

    Laptop Lenovo G 510, system Windows 10 Home - wersja 1511 (X64). Po przeskanowaniu systemu, GMER wykrył rootkita i wyświetla komunikat, że dokonano modyfikacji systemu. Programy antywirusowe nie wykrywają natomiast żadnego zagrożenia. W załączniku przesyłam logi ze skanów OTL, AdwCleaner, Farbar Recovery Scan Tool, TDSSKiller i Malwarebytes Anti-Malware. Czy to faktycznie rootkit? Proszę o pomoc w jego ewentualnym usunięciu z systemu. Dodam, że komputer pracuje sprawnie i szybko i tym większe moje zaskoczenie. System i programy są na bieżąco aktualizowane i skanowane.

    0 4
  • #2 23 Kwi 2016 17:41
    krzychupar
    Poziom 40  

    Na razie wykonaj to:
    Odinstaluj:
    Otwórz notatnik i wklej:
    Task: {4B8F1036-DD11-4314-8C8F-C00997CF15D3} - \Microsoft\Windows\Setup\GWXTriggers\Time-3xd -> Brak pliku <==== UWAGA
    Task: {6B23900D-9AD2-4671-9944-57760CA66B09} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {7E3E81C5-9E1E-4CDA-9DDF-7E4A70C20966} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {88757D2C-770E-4982-B8EC-5097C017E604} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {8AF5DE94-44E6-4F6E-9C2B-A419BC466A8D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {F9A22535-138C-4593-8FEB-0335C2CF072B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Hosts:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1340600770-1778608474-1324350179-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1340600770-1778608474-1324350179-1001 -> {503CB7AE-FEBD-421F-902C-B5043AA9A803} URL =
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku
    Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - Brak pliku
    FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL [Brak pliku]
    U0 Partizan; system32\drivers\Partizan.sys [X]
    2016-04-22 21:34 - 2015-08-19 17:11 - 00000000 ____D C:\AdwCleaner

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.
    Po wykonaniu skryptu zamieść nowe logi.

    0
  • #5 23 Kwi 2016 19:30
    Oldex53
    Poziom 5  

    Po użyciu DelFixa zrobiłem jeszcze jedno skanowanie GMER-em i niestety, ale w dalszym ciągu wyświetla on na koniec skanu komunikat: "GMER odnalazł modyfikacje systemu wskazujące na obecność ROOTKIT-a".
    W załączniku ostatnie logi (również z FRST).

    EDIT
    Mój temat utknął w martwym punkcie. Zrobiłem zatem na nowo instalację Windowsa 10 z serwerów Microsoftu. Na dysku nie zostało nic z poprzedniej wersji. Wszystko zostało wyczyszczone. Doinstalowałem tylko kilka programów ze stron producentów i włączyłem skanowanie programem GMER. I oto rezultat: GMER odnalazł modyfikacje systemu wskazujące na obecność ROOTKIT'a. Czyżby Microsoft instalował w swoim systemie rootkita? Albo ten cały GMER jest do d...y i pokazuje false positive. W załączniku dodatkowe logi Addition i FRST oraz GMERa. Użyłem też Dr.Web CureIt!, który nic nie wykrył. Bardzo proszę o ostateczną opinię fachowców, bo już nie wiem co o tym wszystkim myśleć.

    Scaliłem
    RADU23

    0