Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Win32:Rootkit-gen - prosba o pomoc
28 Lut 2010, 19:23
Zwracam sie z prosba o pomoc w usunieciu syfu z laptopa.
Problem zaczal sie w piatek. Po uruchomieniu wyskoczyl komunikat z antywirusa (Avast 4.8 - Proffesional) o znalezieniu Rootkit:gen. Dalem opcje napraw, programowi sie nie udalo. Po chwili zaczely wyskakiwac kolejne okienka z Avasta o wykryciu innych wirusow, trojanow i robali. Bylo tego mnostwo. Nie nadazalem z zamykaniem okienek. Ustawilem skanowanie przy starcie i zrestartowalem kompa. Avast znalazl kilkanascie infekcji, ktore usunal. Potem przeskanowalem kompa Malware Bytes - Antimalware. Znalazl 11 infekcji i je usunal z powodzeniem.
Wlaczylem mozille i znowu wyskoczyl komunikat z Avasta o znalezionych wirusach. Przeskanowalem znowu przed startem i znowu cos usunal.
Komp sie zawiesza i strasznie dlugo sie wlacza.
Poczytalem troche na necie o rootkitach i przeskanowalem kompa w safe mode SDFix-em. Niby wszystko czyste - ale problemy nie zniknely.
Po wlaczeniu kompa i wcisnieciu Alt+Ctrl+Del dopiero po ok. 15 minutach wyskoczylo okienko menadzera systemu. svchost zuzywal 100% CPU.
Przeskanowalem kompa OTL i GMER - tak jak jest tutaj napisane na forum. Oto logi:
GMER:
http://www.wklej.eu/index.php?id=39177f45fe
OTL:
http://www.wklej.eu/index.php?id=200611e624
Komp dziala tylko w safe-mode. Normalnie tak muli, ze nie da rady go uzywac.
Czy cos sie jeszcze da z tym zrobic, czy tylko format pomoze.
PS. Przepraszam za brak polskich znakow, pisze w safe-mode i nie wiem jak tu przelaczyc klawiature.
Problem zaczal sie w piatek. Po uruchomieniu wyskoczyl komunikat z antywirusa (Avast 4.8 - Proffesional) o znalezieniu Rootkit:gen. Dalem opcje napraw, programowi sie nie udalo. Po chwili zaczely wyskakiwac kolejne okienka z Avasta o wykryciu innych wirusow, trojanow i robali. Bylo tego mnostwo. Nie nadazalem z zamykaniem okienek. Ustawilem skanowanie przy starcie i zrestartowalem kompa. Avast znalazl kilkanascie infekcji, ktore usunal. Potem przeskanowalem kompa Malware Bytes - Antimalware. Znalazl 11 infekcji i je usunal z powodzeniem.
Wlaczylem mozille i znowu wyskoczyl komunikat z Avasta o znalezionych wirusach. Przeskanowalem znowu przed startem i znowu cos usunal.
Komp sie zawiesza i strasznie dlugo sie wlacza.
Poczytalem troche na necie o rootkitach i przeskanowalem kompa w safe mode SDFix-em. Niby wszystko czyste - ale problemy nie zniknely.
Po wlaczeniu kompa i wcisnieciu Alt+Ctrl+Del dopiero po ok. 15 minutach wyskoczylo okienko menadzera systemu. svchost zuzywal 100% CPU.
Przeskanowalem kompa OTL i GMER - tak jak jest tutaj napisane na forum. Oto logi:
GMER:
http://www.wklej.eu/index.php?id=39177f45fe
OTL:
http://www.wklej.eu/index.php?id=200611e624
Komp dziala tylko w safe-mode. Normalnie tak muli, ze nie da rady go uzywac.
Czy cos sie jeszcze da z tym zrobic, czy tylko format pomoze.
PS. Przepraszam za brak polskich znakow, pisze w safe-mode i nie wiem jak tu przelaczyc klawiature.
Re: Win32:Rootkit-gen - prosba o pomoc
28 Lut 2010, 19:36
Jeszcze dodam informacje z antywirusa o znalezionym syfie:
http://www.wklej.eu/index.php?id=0812d5cc54
http://www.wklej.eu/index.php?id=0812d5cc54
Re: Win32:Rootkit-gen - prosba o pomoc
28 Lut 2010, 20:46
Widzę, że używałeś Combofixa, więc podaj log który wtedy utworzył.
Uruchom OTL
w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Uruchom OTL
w oknie Custom Scans/Fixes wklej::OTL
O4 - Startup: C:\Documents and Settings\Administrator\Start Menu\Programs\StartUp\Vongo Tray.lnk = C:\Program Files\Vongo\Tray.exe File not found
O4 - Startup: C:\Documents and Settings\Default User\Start Menu\Programs\StartUp\Vongo Tray.lnk = C:\Program Files\Vongo\Tray.exe File not found
O4 - Startup: C:\Documents and Settings\Witold.PC170042226520\Start Menu\Programs\Startup\sysfgs32.exe ()
:Files
C:\Documents and Settings\Witold.PC170042226520\Start Menu\Programs\Startup\sysfgs32.exe
C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\System32\sshnas21.dll
:Services
sshnas
:Commands
[emptytemp]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Re: Win32:Rootkit-gen - prosba o pomoc
28 Lut 2010, 21:34
Z tego co pamietam to z Combofixem bylo tak, ze gdzies o nim przeczytalem na forum i go sciagnalem, uruchomilem, ale antywirus go zablokowal (teraz wiem, ze chyba powinienem wylaczyc Avasta), wiec ostatecznie nim nie skanowalem kompa. Ale moze sie myle, bo juz tyle rzeczy przez dwa dni na kompie probowalem zrobic. Jestem raczej malo zaawansowany jezeli chodzi o tego typu rzeczy, wiec nie bardzo wiedzialem co robic.
Czy mam nim przeskanowac teraz kompa i wrzucic loga?
Przed chwila w safe mode uruchomilem OTL, wkleilem to co napisales i dalem Run Fix.
Potem program zapytal o restart kompa, zgodzilem sie. Uruchomil sie ponownie, ale nie w safe mode tylko normalnie. Wyskoczyl log z usuwania:
http://www.wklej.eu/index.php?id=c8062d0834
I juz nic sie nie dalo zrobic na kompie bo sie zwiesil.
Zrestartowalem go, uruchomilem w safe mode, puscilem skan w OTL. Tutaj log:
http://www.wklej.eu/index.php?id=03dbd24831
Czy mam nim przeskanowac teraz kompa i wrzucic loga?
Przed chwila w safe mode uruchomilem OTL, wkleilem to co napisales i dalem Run Fix.
Potem program zapytal o restart kompa, zgodzilem sie. Uruchomil sie ponownie, ale nie w safe mode tylko normalnie. Wyskoczyl log z usuwania:
http://www.wklej.eu/index.php?id=c8062d0834
I juz nic sie nie dalo zrobic na kompie bo sie zwiesil.
Zrestartowalem go, uruchomilem w safe mode, puscilem skan w OTL. Tutaj log:
http://www.wklej.eu/index.php?id=03dbd24831
Re: Win32:Rootkit-gen - prosba o pomoc
28 Lut 2010, 23:29
W takim razie użyj Combofixa i daj log z niego.
Re: Win32:Rootkit-gen - prosba o pomoc
01 Mar 2010, 00:06
OK. Przeskanowalem Combofixem. Log:
http://www.wklej.eu/index.php?id=b71d140f2e
http://www.wklej.eu/index.php?id=b71d140f2e
Re: Win32:Rootkit-gen - prosba o pomoc
01 Mar 2010, 17:23
Wklej do notatnika:
Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
- Kod:
File::
c:\windows\system32\drivers\lbrtfdc.sys
c:\windows\system32\dllcache\lbrtfdc.sys
c:\windows\system32\drivers\changer.sys
c:\windows\system32\dllcache\changer.sys
c:\windows\system32\drivers\arp1394.sys
c:\windows\system32\dllcache\arp1394.sys
c:\windows\system32\config\systemprofile\Application Data\pdytbs.dat
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Witold.PC170042226520^Start Menu^Programs^StartUp^sysfgs32.exe]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"=-
"igfxhkcmd"=-
"igfxpers"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Re: Win32:Rootkit-gen - prosba o pomoc
01 Mar 2010, 20:46
Wkleilem to do notatnika, zapisalem i przenioslem na ikone Combofixa. Oto log:
http://www.wklej.eu/index.php?id=0c840b5389
http://www.wklej.eu/index.php?id=0c840b5389
Re: Win32:Rootkit-gen - prosba o pomoc
01 Mar 2010, 22:41
Nic tu więcej nie widać.
Pobierz OTC uruchom i kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)
Pobierz OTC uruchom i kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
InstrukcjaWykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik
Zapisz Listę Raportu)
Re: Win32:Rootkit-gen - prosba o pomoc
02 Mar 2010, 09:29
Zrobilem po kolei wszystko jak napisales. Tutaj raport z Dr.Web:
http://www.wklej.eu/index.php?id=ca2c149381
http://www.wklej.eu/index.php?id=ca2c149381
Re: Win32:Rootkit-gen - prosba o pomoc
02 Mar 2010, 09:32
Ok, jak teraz wygląda sytuacja???
Re: Win32:Rootkit-gen - prosba o pomoc
02 Mar 2010, 14:57
Dalej jest coś nie tak.Włączyłem kompa w normalnym trybie pracy. Niby się uruchamia. Mogę włączyć wszystko co jest na pulpicie (otwierają się foldery ze zdjęciami, pliki txt, katalogi), ale nie włącza się menu Start, Menadżer Zadań (wciśnięcie Alt+Ctrl+Del nic nie daje).
Włączyłem Mozille, po niepełnym uruchomieniu strony startowej zawiesiła się. Mogłem bez problemu ją zminimalizować. W dalszym ciągu mogłem otwierać wszystko na pulpicie, ale Start i cały pasek na dole nie działał.
Poczekałem 10-15 minut - bez reakcji. Jak przeszedłem do okienka Mozilli (tylko Alt+Tab, bo na pasku na dole na pulpicie nawet nie było pokazane, że jest otwarta) to strona dalej zawieszona (klepsydra zamiast normalnego kursora).
W końcu musiałem zrestartować komputer.
Działa tylko safe-mode.
Włączyłem Mozille, po niepełnym uruchomieniu strony startowej zawiesiła się. Mogłem bez problemu ją zminimalizować. W dalszym ciągu mogłem otwierać wszystko na pulpicie, ale Start i cały pasek na dole nie działał.
Poczekałem 10-15 minut - bez reakcji. Jak przeszedłem do okienka Mozilli (tylko Alt+Tab, bo na pasku na dole na pulpicie nawet nie było pokazane, że jest otwarta) to strona dalej zawieszona (klepsydra zamiast normalnego kursora).
W końcu musiałem zrestartować komputer.
Działa tylko safe-mode.
Re: Win32:Rootkit-gen - prosba o pomoc
02 Mar 2010, 17:29
Widzę, że niestety z tą infekcją w większości przypadków tak jest. Spróbuj jeszcze instalacji nakładkowej [strona nie jest już dostępna]
[strona nie jest już dostępna]
Re: Win32:Rootkit-gen - prosba o pomoc
03 Mar 2010, 00:56
Zrobiłem instalację nakładkową, ale niestety część programów nie działała.
Skopiowałem interesujące mnie dane na komputer stacjonarny, nagrywam je na płytkę, a na laptopie robię format.
Szkoda, że nie dało się w łagodniejszy sposób sobie z tym poradzić
Mimo to dziękuję bardzo za pomoc i poświęcony czas.
Pozdrawiam.
Skopiowałem interesujące mnie dane na komputer stacjonarny, nagrywam je na płytkę, a na laptopie robię format.
Szkoda, że nie dało się w łagodniejszy sposób sobie z tym poradzić
Mimo to dziękuję bardzo za pomoc i poświęcony czas.
Pozdrawiam.
Re: Win32:Rootkit-gen - prosba o pomoc
08 Mar 2010, 18:29
Hej ja mam tez taki problem i na dodatek jestem zielona jesli chodzi te całe comba. Sytuacja wygląda tak: wlącza mi się co chwile avast z informacją, ze wykryl tego calego Win:32Rootkit-gen [rtk], a kiedy próbuje to usunąc (avastem) lub dać do kwarantanny, to wyskakuje mi:" nie mozna przetworzyc pliku..." i kolejna informacja o znalezionym zakazonym pliku . Nie mam pojęcia co robić, czy mógłby mi ktoś pomóc, tak najlepiej krok po kroku? Z góry dziękuje 
. Nie mam pojęcia co robić, czy mógłby mi ktoś pomóc, tak najlepiej krok po kroku? Z góry dziękuje