[wirus] ROOTKIT na komputerze

Uzywam Avasta oraz ZoneAlarm. Dokladnie wczoraj ( 9.05.08 ) dostalem ostrzezenie od avasta ktore wyglada nastepujaca:

I mimo ze daje usun Teraz, avast! prosi o reset komputera, podczas którego wykona skan komputera. Za każdym razem jednak nic nie znajduje. Szukalem juz roznych tematow na forach zwiazym z tym problemem skanowalem komputer rowniez F-Secure BlackLight i niby znalazl ukryte pliki i je usunalem, lecz i tak to nic nie pomoglo co oznaczalo ze nie byl to ten rootkit tylko jakis inny plik. Skanowalem rowniez programem RootkitRevealer, logi ktore mi pokazalo sa dostepne w zalaczniku. Szczegulnie mnie zainteresowal plik HKU\S-1-5-21-1935655697-842925246-682003330-1004\Software\Adobe\MediaBrowser\MRU\Photoshop\ApplicationPath 2008-05-09 20:08 ze wzgledu na date, bo to wlasnie od wczoraj ( 09.02.08 ) zaczal mi avast wykrywac rootkita. Prosze pomoc, totalnie sie na tym wszystkim nie znam, z gory dziekuje za jaka kolwiek pomoc...

Usun Avasta,zainstaluj cos innego,moze Ad-aware,lub SpyBot pomoga.

pozdrawiam
Daniel

Ad-aware i Spybot to programy antyspyware i jako takie nie wykrywają rootkitów, nie można nimi także zastępować antywirusa ! . Co prawda Spybot się do tego przymierza, ale jak na razie nic mi o tym nie wiadomo.

Jeśli chodzi o Avasta to dopiero niedawno został wyposażony w moduł antyrootkitowy i jak narazie trzeba podchodzić do jego wyników ostrożnie.

Nie jestem specjalistą od usuwania syfu lecz nie widzę, aby RootkitReveal coś znalazł.

Pobierz : MBR.exe klik
Plik zapisz bezpośrednio na dysku C:\ i uruchom. Log ze skanowania będzie zapisany też bezpośrednio na C:\ jako mbr.log

Ten log wklej na forum.

Ściągnij Kasperskyego 7, przełącz go w tryb 30-dniowy-testowy i zrób full skan dysków

Popieram zalecenie @karolkuicha - bo to na pewno jest Rootkit w MBR dysku.!
Z tym, że kolejność postępowania może być inna:
1) użyj >>Dr. Web CureIt. (daj z niego raport).

2) daj log z >>mbr.exe

3) usuń ręcznie raporty o wszystkim, co robiłeś na komputerze, przygotowane do wysyłki do "hakiera":

C:\WINDOWS\Temp\bca4e2da
C:\WINDOWS\Temp\fa56d7ec

Pliki mogą być ukryte!
Zamiast usuwać ręcznie, możesz:
użyć >>SDFix i dać tu Report.txt znajdujący się w folderze SDFix

4) daj log z ComboFix.
Opis użycia ComboFix jest na dole tej strony z linku.
Log wklej na http://wklej.org/, a tu daj tylko link.

ordynat

No to tak przeskanowalem Dr.WEB i znalazlo mi sporo syfu z reszta sami zobaczycie w logu, zrobilem rowniez log z mbr, a co do ComboFix, to czytalem skutki jakie moga byc tego no i poki co nie uzywalem tego programu, jestem naprawde amatorem i nie wiem czy bym sobie poradzil w razie jakis problemow jakie moglby by wyniknac z uzycia tego programu, a jak narazie format nie wchodzi w gre ... A co do usuniecia loginow to niestety ( dalem opcje pokaz ukryte pliki ) w folderze TEMP nie widzi mi danych plikow

C:\WINDOWS\Temp\bca4e2da
C:\WINDOWS\Temp\fa56d7ec

I oto raporty:

MBR:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x950a600 size 0x194 !
copy of MBR has been found in sector 62 !

Dr.Web

A0070740.exe;C:\System Volume Information\_restore{DFC4F712-1A42-4635-A452-4DC6D27B72DD}\RP67;Trojan.Packed.370;Usunięty.;
HamachiSetup-1.0.2.5-pl.exe;G:\Download\Programy;Program.StealthLog.11;;					
mirc.exe;G:\Programy\mIRC;Program.mIRC.623;;								
VDownloader.exe;G:\Programy\vdonwload;Trojan.PWS.Banker.14538;Usunięty.;					
A0076335.exe;G:\System Volume Information\_restore{DFC4F712-1A42-4635-A452-4DC6D27B72DD}\RP71;Trojan.PWS.Banker.14538;Usunięty.;
mirc.chm\ctcp_events.htm;H:\mIRC1\mirc.chm;IRC.Generic.32;;							
mirc.chm;H:\mIRC1;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;					
mirc.exe;H:\mIRC1;Program.mIRC.621;;

-------------------------------

wlasnie przed chwila jeszcze zanim dodalem tego newsa program Dr.Web znalazl mi jakeis nie pamietam nazwy dokladnie ale cos ala "MB BackDoor" ale teraz juz chyba jest wszystko dobrze bo zeskanowalem Dr.Web znalazl mi 4 zainfekowane obiekty i po tym juz wszystko dziala normalnie, komputer sie nie wiesz nie ma zadnych juz objaw z tych co byly podczas gdy byl zainfekowany wiec wyglada na to ze wszystko dziala. ale prosze jeszce o rade co teraz ? czy skanowac sobie cos jeszcze ? np. tym SDFix ? I mam pytanie bo znalazl mi wlasnie zainfekowane pliki w programie MIRC wiec to moze oznaczac ze wlasnie przez Mirca mi sie "wbili" lub przez mirca mialem zainfekowany komputer ?? Mirc jest u mnie najczesciej uzywanym programem;] prosze o ta odpowiedz i dziekuje za pomoc





i mam pytanie skanowalem znowu i zaznaczylo mi program MIRc ( zainstalowalem starsza wersje ) jako typ riskware to jest zle ? Bo ja z tego programu caly czas korzystam i nie usmiecha mi sie z niego zaprzestac, dziekuje za odp. !

Załącz logi z programów jakie zalecił ordynat. Logi są potrzebne do tego aby sprawdzić jakie programy są zainstalowane.

Aby pozamykać niebezpieczne porty zainstaluj :

WWDC oraz SeconfigXP klik