Mam problem, bo przy starcie systemu Avast wykrywa mi Win32:Rootkit-gen i to w wielu plikach.
proszę przeanalizujcie: log z OTL
http://www.wklej.eu/index.php?id=3f0e7c1222
Avast wykrywa mi Win32:Rootkit-gen i to w wielu plikach
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
8 posty(ów)
• Strona 1 z 1
Avast wykrywa mi Win32:Rootkit-gen i to w wielu plikach
przez melex89 » 26 Lut 2010, 22:14
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8
- melex89
- Forumowicz
- Posty: 33
- Dołączenie: 26 Lut 2010, 22:06
Re: Rootkit - pomocy!!!
przez mateo8898 » 26 Lut 2010, 22:22
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6
Trochę tego jest.
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
klikasz Execute
Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt + nowy log z OTL + log z GMER
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
- Kod: Zaznacz wszystko
Files to delete:
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Oml.exe
C:\WINDOWS\msa.exe
C:\WINDOWS\system32\sshnas21.dll
C:\Program Files\Mozilla Firefox\plugins\npwachk.dll
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ihaupd32.exe
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\sysfgs32.exe
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
C:\WINDOWS\System32\drivers\TVICHW32r.sys
C:\WINDOWS\System32\drivers\TVICHW32q.sys
C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\Documents and Settings\Administrator\Dane aplikacji\avdrn.dat
C:\Documents and Settings\Administrator\Dane aplikacji\wiaservg.log
Drivers to delete:
SSHNAS
TVICHW32r
TVICHW32q
Folders to delete:
C:\RECYCLER
E:\RECYCLER
F:\RECYCLER
klikasz Execute
Potwierdzasz i zgadzasz się na restart klikając OK.Po wykonaniu wklej raport na forum C:\avenger.txt + nowy log z OTL + log z GMER
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Rootkit - pomocy!!!
przez melex89 » 26 Lut 2010, 22:47
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8
- melex89
- Forumowicz
- Posty: 33
- Dołączenie: 26 Lut 2010, 22:06
Re: Rootkit - pomocy!!!
przez mateo8898 » 26 Lut 2010, 23:01
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6
Uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Wylecz pamięci przenośne Flash Disinfector lub sformatuj
w oknie Custom Scans/Fixes wklej::OTL
O4 - HKCU..\Run: [amva] C:\WINDOWS\System32\amvo.exe File not found
O4 - HKCU..\Run: [cdoosoft] C:\WINDOWS\System32\olhrwef.exe File not found
O4 - HKCU..\Run: [TOY5KNQ8OC] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Oml.exe File not found
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-2251296513-6939254038-060758433-6097\nissan.exe) - C:\RECYCLER\S-1-5-21-2251296513-6939254038-060758433-6097\nissan.exe File not found
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-2251296513-6939254038-060758433-6097\nissan.exe) - C:\RECYCLER\S-1-5-21-2251296513-6939254038-060758433-6097\nissan.exe File not found
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-9218645847-9570870124-061323397-1233\wnzip32.exe) - C:\RECYCLER\S-1-5-21-9218645847-9570870124-061323397-1233\wnzip32.exe File not found
O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
:Files
C:\Avenger
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"NeroFilterCheck"=-
"nwiz"=-
"QuickTime Task"=-
"RemoteControl"=-
"RTHDCPL"=-
"SecurDisc"=-
"SunJavaUpdateSched"=-
:Commands
[emptytemp]
[reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Wylecz pamięci przenośne Flash Disinfector lub sformatuj
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Rootkit - pomocy!!!
przez melex89 » 26 Lut 2010, 23:31
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8
- melex89
- Forumowicz
- Posty: 33
- Dołączenie: 26 Lut 2010, 22:06
Re: Rootkit - pomocy!!!
przez mateo8898 » 26 Lut 2010, 23:39
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6
Ok, więcej nic nie widzę.
W OTL kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
W OTL kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
InstrukcjaWykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Rootkit - pomocy!!!
przez paupon » 27 Lut 2010, 00:14
UA: Opera/9.62 (Windows NT 5.1; U; pl) Presto/2.1.1
Witam,
jestem noga komputerowa, a chyba sciagnęłąm sobie jakieś badziewie. Na Waszym forum przeczytałam, żeby jak sie ma win32:rootkin-gen sciagnąć program SDTix - tak tez zrobilam, postąpiłam zgodnie z instrukcją i teraz wklejam mój raport:)
jak sie komputer uruchomil to ia tak Avast zaczał szaleć, teraz głośno chodzi komputer - nie wiem czy ten program mi wyczyścil kompa czy nie - raportu kompletnie nie kumam, choc wydaje mi sie ze nic nie zostao znalezione
- proszę o pomoc, bardzo bardzo:)
Dzieki
ponizej moj raport:
SDFix: Version 1.240
Run by Paulina on 2010-02-26 at 22:41
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 22:50:20
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"="C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe:*:Enabled:Nowe Gadu-Gadu"
"C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program glowny"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Program Files\\Opera\\opera.exe"="C:\\Program Files\\Opera\\opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Program Files\\BitComet\\BitComet.exe"="C:\\Program Files\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\\totalcmd\\TOTALCMD.EXE"="C:\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
Files with Hidden Attributes :
Tue 23 Feb 2010 215,040 ..SHR --- "C:\RECYCLER\S-1-5-21-5855031227-5042611147-020826732-0515\nissan.exe"
Fri 26 Feb 2010 98,816 ..SHR --- "C:\RECYCLER\S-1-5-21-0381740481-4199194580-788539027-8054\wnzip32.exe"
Wed 20 Jan 2010 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 23 Feb 2010 444 ...HR --- "C:\Documents and Settings\Paulina\Dane aplikacji\SecuROM\UserData\securom_v7_01.bak"
Finished!
jestem noga komputerowa, a chyba sciagnęłąm sobie jakieś badziewie. Na Waszym forum przeczytałam, żeby jak sie ma win32:rootkin-gen sciagnąć program SDTix - tak tez zrobilam, postąpiłam zgodnie z instrukcją i teraz wklejam mój raport:)
jak sie komputer uruchomil to ia tak Avast zaczał szaleć, teraz głośno chodzi komputer - nie wiem czy ten program mi wyczyścil kompa czy nie - raportu kompletnie nie kumam, choc wydaje mi sie ze nic nie zostao znalezione
- proszę o pomoc, bardzo bardzo:)
Dzieki
ponizej moj raport:
SDFix: Version 1.240
Run by Paulina on 2010-02-26 at 22:41
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 22:50:20
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"="C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="C:\\Program Files\\Nowe Gadu-Gadu\\gg.exe:*:Enabled:Nowe Gadu-Gadu"
"C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program glowny"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Program Files\\Opera\\opera.exe"="C:\\Program Files\\Opera\\opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Program Files\\BitComet\\BitComet.exe"="C:\\Program Files\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\\totalcmd\\TOTALCMD.EXE"="C:\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
Files with Hidden Attributes :
Tue 23 Feb 2010 215,040 ..SHR --- "C:\RECYCLER\S-1-5-21-5855031227-5042611147-020826732-0515\nissan.exe"
Fri 26 Feb 2010 98,816 ..SHR --- "C:\RECYCLER\S-1-5-21-0381740481-4199194580-788539027-8054\wnzip32.exe"
Wed 20 Jan 2010 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 23 Feb 2010 444 ...HR --- "C:\Documents and Settings\Paulina\Dane aplikacji\SecuROM\UserData\securom_v7_01.bak"
Finished!
- paupon
- Forumowicz
- Posty: 1
- Dołączenie: 27 Lut 2010, 00:07
Re: Rootkit - pomocy!!!
przez mateo8898 » 27 Lut 2010, 09:34
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6
paupon nie podpinaj się pod cudze tematy, tylko załóż nowy, bo się bałagan robi.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
8 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]