Win32:Rootkit-gen - prosba o pomoc

przez **Rohu** » 28 Lut 2010, 19:23

Zwracam sie z prosba o pomoc w usunieciu syfu z laptopa.
Problem zaczal sie w piatek. Po uruchomieniu wyskoczyl komunikat z antywirusa (Avast 4.8 - Proffesional) o znalezieniu Rootkit:gen. Dalem opcje napraw, programowi sie nie udalo. Po chwili zaczely wyskakiwac kolejne okienka z Avasta o wykryciu innych wirusow, trojanow i robali. Bylo tego mnostwo. Nie nadazalem z zamykaniem okienek. Ustawilem skanowanie przy starcie i zrestartowalem kompa. Avast znalazl kilkanascie infekcji, ktore usunal. Potem przeskanowalem kompa Malware Bytes - Antimalware. Znalazl 11 infekcji i je usunal z powodzeniem.
Wlaczylem mozille i znowu wyskoczyl komunikat z Avasta o znalezionych wirusach. Przeskanowalem znowu przed startem i znowu cos usunal.
Komp sie zawiesza i strasznie dlugo sie wlacza.
Poczytalem troche na necie o rootkitach i przeskanowalem kompa w safe mode SDFix-em. Niby wszystko czyste - ale problemy nie zniknely.
Po wlaczeniu kompa i wcisnieciu Alt+Ctrl+Del dopiero po ok. 15 minutach wyskoczylo okienko menadzera systemu. svchost zuzywal 100% CPU.
Przeskanowalem kompa OTL i GMER - tak jak jest tutaj napisane na forum. Oto logi:
GMER:
http://www.wklej.eu/index.php?id=39177f45fe
OTL:
http://www.wklej.eu/index.php?id=200611e624

Komp dziala tylko w safe-mode. Normalnie tak muli, ze nie da rady go uzywac.
Czy cos sie jeszcze da z tym zrobic, czy tylko format pomoze.
PS. Przepraszam za brak polskich znakow, pisze w safe-mode i nie wiem jak tu przelaczyc klawiature.

przez **Rohu** » 28 Lut 2010, 19:36

Jeszcze dodam informacje z antywirusa o znalezionym syfie:
http://www.wklej.eu/index.php?id=0812d5cc54

przez **mateo8898** » 28 Lut 2010, 20:46

Widzę, że używałeś Combofixa, więc podaj log który wtedy utworzył.

Uruchom OTL

w oknie Custom Scans/Fixes wklej:

:OTL
O4 - Startup: C:\Documents and Settings\Administrator\Start Menu\Programs\StartUp\Vongo Tray.lnk = C:\Program Files\Vongo\Tray.exe File not found
O4 - Startup: C:\Documents and Settings\Default User\Start Menu\Programs\StartUp\Vongo Tray.lnk = C:\Program Files\Vongo\Tray.exe File not found
O4 - Startup: C:\Documents and Settings\Witold.PC170042226520\Start Menu\Programs\Startup\sysfgs32.exe ()

:Files
C:\Documents and Settings\Witold.PC170042226520\Start Menu\Programs\Startup\sysfgs32.exe
C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\System32\sshnas21.dll

:Services
sshnas

:Commands
[emptytemp]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL

przez **Rohu** » 28 Lut 2010, 21:34

Z tego co pamietam to z Combofixem bylo tak, ze gdzies o nim przeczytalem na forum i go sciagnalem, uruchomilem, ale antywirus go zablokowal (teraz wiem, ze chyba powinienem wylaczyc Avasta), wiec ostatecznie nim nie skanowalem kompa. Ale moze sie myle, bo juz tyle rzeczy przez dwa dni na kompie probowalem zrobic. Jestem raczej malo zaawansowany jezeli chodzi o tego typu rzeczy, wiec nie bardzo wiedzialem co robic.
Czy mam nim przeskanowac teraz kompa i wrzucic loga?

Przed chwila w safe mode uruchomilem OTL, wkleilem to co napisales i dalem Run Fix.
Potem program zapytal o restart kompa, zgodzilem sie. Uruchomil sie ponownie, ale nie w safe mode tylko normalnie. Wyskoczyl log z usuwania:
http://www.wklej.eu/index.php?id=c8062d0834
I juz nic sie nie dalo zrobic na kompie bo sie zwiesil.
Zrestartowalem go, uruchomilem w safe mode, puscilem skan w OTL. Tutaj log:
http://www.wklej.eu/index.php?id=03dbd24831

przez **mateo8898** » 28 Lut 2010, 23:29

W takim razie użyj Combofixa i daj log z niego.

przez **Rohu** » 01 Mar 2010, 00:06

OK. Przeskanowalem Combofixem. Log:
http://www.wklej.eu/index.php?id=b71d140f2e

przez **mateo8898** » 01 Mar 2010, 17:23

Wklej do notatnika:

Kod: Zaznacz wszystko: File:: c:\windows\system32\drivers\lbrtfdc.sys c:\windows\system32\dllcache\lbrtfdc.sys c:\windows\system32\drivers\changer.sys c:\windows\system32\dllcache\changer.sys c:\windows\system32\drivers\arp1394.sys c:\windows\system32\dllcache\arp1394.sys c:\windows\system32\config\systemprofile\Application Data\pdytbs.dat Registry:: [-HKLM\~\startupfolder\C:^Documents and Settings^Witold.PC170042226520^Start Menu^Programs^StartUp^sysfgs32.exe] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"=- "igfxhkcmd"=- "igfxpers"=- "Adobe Reader Speed Launcher"=- "Adobe ARM"=-

Plik

zapisz jako

CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

przez **Rohu** » 01 Mar 2010, 20:46

Wkleilem to do notatnika, zapisalem i przenioslem na ikone Combofixa. Oto log:
http://www.wklej.eu/index.php?id=0c840b5389

przez **mateo8898** » 01 Mar 2010, 22:41

Nic tu więcej nie widać.

Pobierz OTC uruchom i kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach

Instrukcja

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik

Zapisz Listę Raportu)

przez **Rohu** » 02 Mar 2010, 09:29

Zrobilem po kolei wszystko jak napisales. Tutaj raport z Dr.Web:
http://www.wklej.eu/index.php?id=ca2c149381

przez **mateo8898** » 02 Mar 2010, 09:32

Ok, jak teraz wygląda sytuacja???

przez **Rohu** » 02 Mar 2010, 14:57

Dalej jest coś nie tak.Włączyłem kompa w normalnym trybie pracy. Niby się uruchamia. Mogę włączyć wszystko co jest na pulpicie (otwierają się foldery ze zdjęciami, pliki txt, katalogi), ale nie włącza się menu Start, Menadżer Zadań (wciśnięcie Alt+Ctrl+Del nic nie daje).
Włączyłem Mozille, po niepełnym uruchomieniu strony startowej zawiesiła się. Mogłem bez problemu ją zminimalizować. W dalszym ciągu mogłem otwierać wszystko na pulpicie, ale Start i cały pasek na dole nie działał.
Poczekałem 10-15 minut - bez reakcji. Jak przeszedłem do okienka Mozilli (tylko Alt+Tab, bo na pasku na dole na pulpicie nawet nie było pokazane, że jest otwarta) to strona dalej zawieszona (klepsydra zamiast normalnego kursora).
W końcu musiałem zrestartować komputer.
Działa tylko safe-mode.

przez **mateo8898** » 02 Mar 2010, 17:29

Widzę, że niestety z tą infekcją w większości przypadków tak jest. Spróbuj jeszcze instalacji nakładkowej

[strona nie jest już dostępna]

przez **Rohu** » 03 Mar 2010, 00:56

Zrobiłem instalację nakładkową, ale niestety część programów nie działała.
Skopiowałem interesujące mnie dane na komputer stacjonarny, nagrywam je na płytkę, a na laptopie robię format.
Szkoda, że nie dało się w łagodniejszy sposób sobie z tym poradzić

Mimo to dziękuję bardzo za pomoc i poświęcony czas.
Pozdrawiam.

przez **przessmyk** » 08 Mar 2010, 18:29

Hej ja mam tez taki problem i na dodatek jestem zielona jesli chodzi te całe comba. Sytuacja wygląda tak: wlącza mi się co chwile avast z informacją, ze wykryl tego calego Win:32Rootkit-gen [rtk], a kiedy próbuje to usunąc (avastem) lub dać do kwarantanny, to wyskakuje mi:" nie mozna przetworzyc pliku..." i kolejna informacja o znalezionym zakazonym pliku

. Nie mam pojęcia co robić, czy mógłby mi ktoś pomóc, tak najlepiej krok po kroku? Z góry dziękuje

Win32:Rootkit-gen - prosba o pomoc

Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Re: Win32:Rootkit-gen - prosba o pomoc

Kto jest na forum